我有一个 API 端点,并且请求应该有一个 cookie(不是身份验证)。如果不存在,返回的正确 HTTP 状态代码是什么?
我认为400 Bad Request 是最好的。
【问题讨论】:
标签: http http-status-codes http-status
您的问题中没有提供太多细节,但我猜400(错误请求)是一个不错的选择:
400(错误请求)状态码表示服务器不能或 由于某些被认为是 客户端错误(例如,格式错误的请求语法、无效请求 消息框架或欺骗性请求路由)。
但是,根据您的要求,您也可以考虑在 WebDAV 规范中定义的 422(不可处理实体)状态代码,它只是 HTTP 协议的扩展:
11.2. 422 Unprocessable Entity
422(不可处理实体)状态码表示服务器 理解请求实体的内容类型(因此415(不支持的媒体类型)状态码不合适),并且 请求实体的语法是正确的(因此是400(Bad Request) 状态码不合适)但无法处理包含的 指示。例如,如果 XML 请求正文包含格式正确(即语法正确),但是 语义错误的 XML 指令。
请记住在响应负载中提供一个很好的描述,解释请求中缺少什么。
【讨论】:
我会考虑在这种情况下使用403 forbidden 状态代码 - 其他一切都很好,但请求缺少 cookie。要从链接参考中复制其详细信息:
服务器理解请求但拒绝授权。
如果请求中提供了身份验证凭据,则服务器认为它们不足以授予访问权限
状态401 unauthorized 用于请求缺少身份验证凭据的情况。但是 401 还要求响应包含 WWW-Authenticate 标头字段。根据这个问题,请求应该有一个cookie但没有,这不是身份验证的问题。
Status 400 是客户端请求错误的时候,这对于 OP 描述的场景可能有点误导。
Status 422 可能是合适的,但我认为这有点太笼统了,因为这意味着一切正常,但服务器无法处理请求。
【讨论】: