4
我正在实现REST API,并且身份验证模块基于JWT。这里是下面我为它定义的HTTP状态代码:REST API:身份验证违规的HTTP状态代码
- 请求没有身份验证令牌:401未经授权
- 身份验证令牌过期:410未经授权
- 验证令牌不包含所需的声明:403 FORBIDDEN
- 身份验证违规(即令牌被篡改):???
如果令牌被篡改,应该使用什么HTTP状态码? 401(UNAUTHORIZED或417(EXPECTATION_FAILED)?
JWT是放在头和它与密钥签名。如果签名不太多,那么就意味着令牌被篡改了。 – j3d