爲什麼瓶安全重定向到未經授權的視圖

Question

我給瓶安全一個去...它有很多很好的作品。儘管我不明白，但我遇到了一些古怪的行爲。從我看到的代碼看起來非常有意識的是代碼的工作方式，但我無法理解其原理。

如果使用@auth_token_required保護視圖並且不符合條件，則返回401。非常有意義。

但是，如果使用@roles_required保護視圖並且不符合條件，則服務器會將（302）重定向到未經授權的視圖。

這對我來說毫無意義，爲什麼他們都不會表現一貫。事實上，在這兩種情況下，我希望和期待一個401.

任何人都可以解釋的原因，爲什麼我可能想要這樣嗎？或者可以有人解釋自定義@roles_required行爲的最佳方式？

謝謝！

Answer 1

我相信這與不同級別的未經授權的響應有關。第一個是401錯誤，第二個是403錯誤。

這裏有兩個區別：

總之，未經授權的響應應該用於丟失或 壞認證和紫禁城反應，應以後使用 ，當用戶通過認證但未授權時至 對給定資源執行請求的操作。

來源：403 Forbidden vs 401 Unauthorized HTTP responses