REST API：身份驗證違規的HTTP狀態代碼

Question

我正在實現REST API，並且身份驗證模塊基於JWT。這裏是下面我爲它定義的HTTP狀態代碼：

• 請求沒有身份驗證令牌：401未經授權
• 身份驗證令牌過期：410未經授權
• 驗證令牌不包含所需的聲明：403 FORBIDDEN
• 身份驗證違規（即令牌被篡改）：???

如果令牌被篡改，應該使用什麼HTTP狀態碼？ 401（UNAUTHORIZED或417（EXPECTATION_FAILED）？

Answer 1

如何判斷令牌是否被篡改？在我看來，你只能知道它是正確還是不正確。有人試圖使用無效令牌在我看來要UNAUTHORIZED。EXPECTATION _FAILED專指Expect頭，它似乎並不適用於本案。