web-services - segura - json web token java
¿Qué código de estado debo usar cuando el token de sesión no sea válido? (2)
Mirando a través de HttpStatusCode enum , creo que Unauthorized es probablemente lo más cercano a lo que está buscando.
Echa un vistazo a la lista y lee las descripciones de cada uno.
Al crear un servicio web (RESTful), ¿qué código de estado debo usar cuando el token de sesión no es válido? Actualmente, el de mi empresa me envía un 404, no encontrado, pero creo que no es correcto, porque el recurso existe. Tal vez debería usar 401 no autorizado. ¿Qué piensas? ¿Qué código de estado me recomienda usar en este escenario? Gracias.
401 no autorizado.
Su token de sesión existente no lo autoriza más, por lo que no está autorizado.
No olvide que un token de sesión es solo un atajo para evitar tener que proporcionar credenciales para cada solicitud.
Enviar 404 es incorrecto porque, como observa, el recurso existe. Simplemente no tienes actualmente la autorización para verlo.
NB No use 403 Prohibido; la especificación HTTP lo define de la siguiente manera: "El servidor entendió la solicitud, pero se niega a cumplirla. La autorización no ayudará y la solicitud NO DEBE repetirse". Eso no se aplica en este caso, ya que la autorización ayudará.