4
我正在實現REST API,並且身份驗證模塊基於JWT。這裏是下面我爲它定義的HTTP狀態代碼:REST API:身份驗證違規的HTTP狀態代碼
- 請求沒有身份驗證令牌:401未經授權
- 身份驗證令牌過期:410未經授權
- 驗證令牌不包含所需的聲明:403 FORBIDDEN
- 身份驗證違規(即令牌被篡改):???
如果令牌被篡改,應該使用什麼HTTP狀態碼? 401(UNAUTHORIZED或417(EXPECTATION_FAILED)?
JWT是放在頭和它與密鑰簽名。如果簽名不太多,那麼就意味着令牌被篡改了。 – j3d