如何構建由於授權失敗而導致的部分REST響應？

Question

鑑於我的API響應：

{ 
    "public_field1": "value1", 
    "public_field2": "value2", 
    "auth_required_field": "secret" 
} 

我想知道什麼是一些戰略，利用以表明響應包含由於授權失敗的部分數據。

最初我只是想從響應中刪除字段，但理想情況下，客戶端會有某種跡象表明響應無法全部顯示。

這裏有一些想法，我認爲：

• 返回一個HTTP 206（可能性非常小，因爲其目的是完全不同的，從用例）。
• 只是刪除該字段，並讓客戶端自己照顧。
• 拆除現場，並添加自定義標題（X-失敗的授權：更具體的細節）

Answer 1

我個人的餡料，你不應該給用戶說，有一些隱藏字段是隻有在認證和授權時纔可用。否則，這可能是一個安全問題。

此外，我沒有看到一個用例，其中非授權用戶需要知道是否有一些隱藏的字段。