w3schools tag sirve que para http rest http-status-codes

tag - Código de estado HTTP para la autenticación faltante



ol tag attributes (3)

HTTP define el estado 401 No autorizado para la autenticación faltante, pero este estado solo se aplica a la autenticación HTTP. ¿Qué estado debería devolver con un sistema basado en cookies de sesión, cuando ocurre una solicitud no autorizada?


403 Creo que es técnicamente correcto (y probablemente más efectivo si está implementando un API / protocolo personalizado).

401 no es apropiado ya que se refiere a la autorización con un encabezado WWW-Authenticate, que no es una cookie de sesión.

Si este es un sitio web público donde está intentando denegar el acceso basado en una cookie de sesión, 200 con un cuerpo apropiado para indicar que es necesario iniciar sesión o un redireccionamiento temporal 302 a una página de inicio de sesión suele ser lo mejor.


Formalmente, 403 Prohibido es la respuesta correcta. Se define como

La autorización no ayudará y la solicitud NO DEBE repetirse.

La parte confusa puede ser "La autorización no ayudará", pero realmente significa "autenticación HTTP" (WWW-Autenticación)


Puede hacer uso de una condición de prueba y pasar la

Código de error: 401.1-Error de inicio de sesión. El intento de inicio de sesión no tuvo éxito, probablemente debido a un nombre de usuario o contraseña que no es válido.

Que se utiliza específicamente para la contraseña incorrecta o el nombre de usuario y la contraseña no coincidentes. Espero que esto te ayude.