我正在为一个应用程序实现身份验证,并且使用了“身份验证方法”的可插拔系统。这使我能够同时实现基于HTTP基本认证和基于HTML的认证方式。
使用HTTP基本/摘要认证,服务器将发送401 未经授权
响应头。然而,根据HTTP / 1.1 RFC:
响应必须包含一个包含适用于请求资源的挑战(第14.47节) 的 WWW-Authenticate 头字段。
由于我不知道任何“html”WWW-Authenticate头,因此使用带有HTML登录表单的401
似乎不合适。这方面是否有任何替代方案? 我想以符合RESTful标准的方式设计我的应用程序。
对于基于HTML的登录表单,正确的HTTP状态码(和标头)是什么? 登录失败时的正确代码是什么?
注意:我对摘要认证不感兴趣。