什麼是登錄失敗的合適HTTP狀態

Question

我有一個用於登錄我的AngularJS應用程序的API。它只是發佈到一個登錄URL，然後獲得一個會話對象，如果它運行良好。如果它出錯了，什麼是正確的HTTP代碼來回答？

• 401：未經授權。那麼不是真的。用戶有權嘗試登錄，只是憑據錯誤。
• 400：錯誤的請求。那麼不是真的。我理解這個請求，只是證書不匹配。

如果您認爲401會是最好的，那麼會遇到另一個問題：我有一個攔截器來捕獲401s並顯示登錄模式。這個想法是，只有當會話過期（或有關用戶改變了）纔會發生401，並且用戶應該重新進行身份驗證。

什麼是最好的解決方案？

Answer 1

僅當數據確實處於不良格式時，API纔會返回400：錯誤請求。

我會返回422：無法處理的實體

這裏有兩篇文章：

http://www.restpatterns.org/HTTP_Status_Codes/422_-_Unprocessable_Entity http://www.bennadel.com/blog/2434-http-status-codes-for-invalid-data-400-vs-422.htm