웹 페이지에서 YUI 연결 관리자 / 데이터 소스를 사용하여 AJAX 요청을 서버에 보냅니다. 세션 (사용자 인증 여부에 대한 정보 포함)이 이미 시간 초과 된 경우 인증 된 사용자 만 볼 수있는 AJAX 응답 사용자는 http 상태 코드를 반환하여 클라이언트에게 세션이 이미 시간 초과되었음을 알리고 클라이언트는 단순히 로그인 페이지로 리디렉션하거나 세션을 연장 할 것인지 묻습니다.
내 질문은이 상황에서 클라이언트에게 세션이 시간 초과되었음을 알리는 데 가장 적합한 http 상태 코드는 무엇입니까?
답변:
내가 제안 할 수있는 최선의 방법은 WWW-Authenticate 헤더가있는 HTTP 401 상태 코드입니다.
403 요청 의 문제 는 RFC 2616이 "승인이 도움이되지 않으며 요청을 반복해서는 안됩니다."라고 말합니다. (즉, 인증 여부는 중요하지 않습니다. 해당 리소스에 액세스 할 수 없습니다.)
401 요청 의 문제점 은 "WWW-Authenticate 헤더 필드를 포함해야합니다"라는 것입니다. 마찬가지로 누군가가 언급 한 WWW 인증 헤더에 사용자 정의 값을 사용할 수있는 사양을 위반 한 것으로 표시되지 않습니다.
RFC 2617 에서 HTTP 401 상태가 사용자 지정 WWW-Authenticate 헤더와 결합 된 상태 가 좋지 않은 이유를 알 수 없습니다 .
WWW-Authenticate: MyAuthScheme realm="http://example.com"
의 OAuth 스펙 (그들은 내 마음은 RFC의 이상한 해석이 있지만) 그들이이 추천으로 실제로, 다만이 작업을 수행 할 것 같다 :
WWW-Authenticate: OAuth realm="http://server.example.com/"
이것은 RFC에 의해 특별히 제재 된 것으로 보이지는 않지만 실제로 금지되어 있다는 것을 알 수 없습니다 (MUST 또는 NOT, SHOULD 또는 SHOULD NOT 조건과 충돌하지 않는 것 같습니다).
시간 초과 및 CSRF 토큰이 유효하지 않은 것과 같은 것에 대한보다 구체적인 HTTP 상태 코드가 있었으면 좋겠습니다.
HTTP 401을 권장합니다.
403은 기본적으로 "허용되지 않는다, 떠나고 돌아 오지 마라"라고 말하는 반면, 401은 "당신이 신분증을 가져 오지 않았기 때문에 당신이 허락되는지 아닌지 모른다. 그것을 얻고 다시 시도하십시오. "
Wikipedia의 정의 비교 :
HTTP 403- 요청이 합법적 인 요청 이었지만 서버가 응답을 거부하고 있습니다.
HTTP 401-403 금지와 유사하지만 특히 인증이 가능하지만 실패했거나 아직 제공되지 않은 경우에 사용됩니다.
response MUST include a WWW-Authenticate header field. 따라서 WWW-Authenticate 헤더 필드 없이 해당 코드를 보내는 것은 잘못 되었습니다 .
HttpServletResponse다른 신뢰할 수있는 소스를 알고있는 경우 참조하는 것이 더 나은 Java @John 에서는 사용할 수 없습니다 .
적절한 코드가 403 / 금지 될 것이라고 생각합니다. 세션과 직접적으로 관련된 것은 없습니다.
authorization will not help-HTTP 인증 이 도움이되지 않는다는 의미 입니다. 맞습니다. Authorization 헤더를 보내도 아무것도 변경되지 않습니다. 어느 쪽도 401도 403 이상은 없지만, 나는 403이 생각 보다 이상 401 (401)가 잘못된 RFC 2616는 명시 적으로 언급하기 때문에 세션 시간 초과 client MAY repeat the request with a suitable Authorization header field. 그러나이 경우 클라이언트 는 요청을 반복 해서는 안됩니다 (적어도 중간 단계 없이는 안 됨). 불행히도 우리는 상태 코드로 후반부를 전달할 수 없습니다.
사실, 세션 시간 초과에 대한 표준 HTTP 상태 코드가 없습니다. 세션은 HTTP 전송 계층이 아닌 애플리케이션 계층에서 구현됩니다.
Microsoft가 세션 시간 제한에 대해 사용했던 사용자 지정 상태 코드 : 599 또는 5xx 범위에서 사용자 고유의 상태 코드를 구성하십시오.
상태 코드 위키에서 :
599 네트워크 연결 시간 초과 오류 (알 수 없음)이 상태 코드는 RFC에 지정되어 있지 않지만 Microsoft Corp. HTTP 프록시에서 프록시 뒤의 네트워크 연결 시간 초과를 프록시 앞의 클라이언트에 알리는 데 사용됩니다.
세션 시간 제한에 사용자 지정 상태 코드 599를 사용한 다음 AJAX 응답에서 확인합니다.
Bobo가 위에서 제공 한 Http 상태 코드 의 Wikipedia 링크에 따라 :
440 Login Timeout (Microsoft)
A Microsoft extension. Indicates that your session has expired.
링크를 게시 할 때 해당 링크에서이 HTTP 상태 코드 440을 찾았습니다 . 세션 만료에 대해 440 HTTP 상태 코드를 사용할 수 있습니다.
440 로그인 시간 초과
The client's session has expired and must log in again.
401 Unauthorized 사용자 로그인 자격 증명이 잘못되었을 때 사용할 수 있습니다. 또는 헤더에 전달 된 인증 토큰이 잘못되었습니다.
403 금지됨 사용자에게 요청 된 리소스에 대한 특정 권한이 없을 때 사용할 수 있습니다.
그래서 제 생각에는 440 Login Time-out을 사용해야 합니다 .
기술적으로 허용되는 대답은 물론 정확합니다. 요청에 실패 할 것이라는 것을 이미 알고 있고 반환 할 실패 코드를 묻는 경우 HTTP 401 "Unauthorized (Unauthenticated)"가 적절한 것입니다. 재 인증을 요청합니다.
그러나 우선 스스로에게 물어보십시오. 요청을 실패해야합니까?
사용자가 단순히 귀하의 웹 사이트의 공개 페이지를 방문하고있을 수 있으며,이 경우 "승인되지 않았습니다!"라는 메시지가 표시됩니다. 일반적으로 인증없이 볼 수있는 페이지를보기 위해 재 인증을 요구합니다. 멋지지 않습니다.
내 조언은 세션 토큰을 알 수 없다는 사실을 무시하고 단순히 새 세션 토큰을 생성하고 새 세션을 생성하는 것입니다. 세션의 초기 상태는 물론 "아직 인증되지 않음"이므로 사용자가 비공개 페이지에 액세스하려고하면 페이지는 HTTP 401 "인증되지 않음 (인증되지 않음)"을 수신하는 것으로 간주합니다. "이며 인증해야합니다. 그러나 사용자가 공개 페이지에 도달하면 다른 것을 알아 차리지 못할 것입니다.
비 Ajax 요청의 경우 302 리디렉션을 사용합니다.
Ajax 요청의 경우 알려진 오류에 200을 사용 합니다. 그렇게하면 데이터 개체를 활용할 수 있습니다. 정보를 위해 jqXHR을 구문 분석하는 것보다 데이터 객체를 사용하기가 더 쉽습니다. 그리고 내 상황에 맞게 용도 를 변경 하기 위해 어떤 HTTP 상태 코드에 대해 걱정할 필요가 없습니다 .
jQuery 예 :
$.ajax({
//send data to server
})
.done(function(data, textStatus, jqXHR) {
if (data.success) {
//then process return data
}
else {
//get error type or message from data object
//could use custom error codes
}
})
.fail(function(jqXHR, textStatus, errorThrown) {
//handle unknown errors
});
코드 408. "요청 시간 초과", 완벽 해 보임 -RFC 2616에서 설명
클라이언트는 서버가 대기 할 준비가 된 시간 내에 요청을 생성하지 않았습니다.
즉, 정확히 "시간 제한"이 필요합니다.