Вариант использования для ответа с кодом состояния 403
Недавно я начал разрабатывать Java EE-приложения, и я пытаюсь понять больше о кодах состояния HTTP и когда их следует использовать.
Один случай, который у меня есть, - это когда пользователь входит в систему и хочет проверить статус заказа. Требование состоит в том, что пользователь не может проверить статус заказа, который им не принадлежит.
URL для проверки заказа, например:
mysite.com/order/status?id=22594
Сервлет, который обрабатывает этот запрос, будет проверять параметр ID, а также отключить и получить заказ из базы данных.
Если пользователь вводит идентификатор заказа, который они не отправили, было бы целесообразным вернуть 403 или ответить не на заказ?
-
0Я бы перешел к правильному 403, потому что для пользователя запрещен доступ к этому URL.Luiggi Mendoza
4 ответа
В вашей типичной ситуации я могу думать о следующих случаях использования:
Идентификатор заказа не найден
- Отправить 404. Заказ не существует.
Идентификатор заказа принадлежит кому-то другому.
- Отправить 403, если пользователь вошел в систему. (403 означает: "Я знаю, кто вы, и вам не разрешен доступ к этому ресурсу)
- Отправить 404. Иногда он подходит для отправки этого статуса. Вы не хотите, чтобы конечный клиент знал, существует ли ресурс. Либо ресурс существует для этого аутентифицированного и авторизованного пользователя, либо нет.
Пользователь не зарегистрирован
- При попытке доступа к ресурсу отправьте запрос 401 "Аутентификация".
от w3.org :
Сервер понял запрос, но отказывается его выполнять. Авторизация не поможет, и запрос НЕ ДОЛЖЕН повториться. Если метод запроса не был HEAD, и сервер хочет сообщить, почему запрос не был выполнен, ему ДОЛЖЕН описать причину отказа в сущности. Если сервер не хочет предоставлять эту информацию клиенту, вместо этого может использоваться код состояния 404 (Not Found).
в вашем случае, по соображениям безопасности, может быть хорошей идеей показать, что порядок не найден, но в целом ответ составляет 403
Если пользователь не отправил заказ или если заказ не принадлежит пользователю, тогда его необходимо вернуть любой из нижеприведенных ответов:
- 404- Ресурс не найден. Это не покажет пользователю, существует ли этот идентификатор заказа для другого пользователя.
- 401-Несанкционированное. Это покажет, что порядок существует, но не принадлежит запрашивающему пользователю.
С точки зрения безопасности лучше вернуть 404.
Я бы склонялся к возврату HTTP 404 для идентификатора заказа, который пользователь не отправил (отсутствует или нет, его порядок). Примером здесь является то, что пользователю разрешен доступ к странице /order/status но не указан конкретный идентификатор заказа.
Я возвращаю HTTP 403 в случае неправильного идентификатора заказа, который отправляет неправильное сообщение пользователю (здесь вы не можете его использовать).
Независимо от того, какой заказ не существует или заказ не принадлежит аутентифицированному пользователю; ошибка должна быть одинаковой или вы рискуете "утечкой" информации о заказах в вашей системе.
Ещё вопросы
- 0Почему ByRef выдает исключение при передаче в неуправляемый код?
- 0получить выбранный переключатель из группы
- 0Первый щелчок по выбору не выбирает значение
- 0Phalcon datetime в модели запроса об ошибке
- 0KineticJS - передать элемент DOM в конструктор
- 0явный пример создания шаблона класса c ++ на macos, не работает на ubuntu
- 0Как показать Gmail вставленные изображения на моей веб-странице
- 0Пакет AWS Pear не работает для Macports php56
- 1Проверьте наличие специальных символов без использования регулярных выражений
- 1Реализация шаблона фабричного дизайна в rt.jar
- 1SQL Trigger с Entity Framework
- 1React Native - отключить воспроизведение звука в фоновом режиме через определенное время
- 0Вставьте строку JSON в таблицу
- 0Как запустить Javascript и CSS в угловой директивы вывода?
- -1показ jQuery не определен, даже если загружен файл jQuery
- 1Сборный размер Unity
- 0UDP-сообщения продолжают поступать даже после остановки клиента или перезапуска сервера
- 0Создание более конкретного отчета в скрипте Sql / php
- 0REGEX PHP Строка в JSON Вывод
- 1Удаление nltk стоп-слов из строк csv DataFrame
- 0Назначение аргументов командной строки для функций
- 0Настройка программного обеспечения для точек продаж, выполненного с использованием codeigniter
- 0Как написать поисковый запрос в MySQL, который сопоставляет столбцы из разных таблиц и возвращает другой столбец из первой таблицы?
- 1unregisterReceiver (получатель) в onPause заставляет получателя не регистрироваться
- 0как посчитать количество скрытых элементов ввода в Div
- 1Java: байт [1] против байта [1024]
- 0объединить 2 sql запрос местоположения и средний рейтинг
- 1Конкретный числовой формат Python в Excel
- 1Как я могу убедиться, что все пакеты были получены и сохранены в массиве?
- 0Typeahead AngularStrap: слишком много вызовов $ http
- 0обработка параллелизма в cron php
- 1Как программно получить имя универсального класса?
- 0MessageBox Threading Проблемы
- 0Векторы разного размера в зависимости от ввода пользователя
- 0OS X 10.10 (yosemite) PHP 5.5.14 - есть ли способ установить поддержку png без HomeBrew
- 1Как использовать Фрагмент перехода на Android 8 (API 26, Oreo)
- 0Btn-group, накладывающаяся на изменение размера окна (меньше)
- 0AngularJS просмотры нарушены после перенаправления oauth
- 1FileLoadException не обработан
- 1Получить базу данных Fire в реальном времени, используя условие where
- 1Папка Temp в устройствах Pixel 2
- 0Как прочитать значения динамической HTML-таблицы из текстового файла?
- 0Получить внешний HTML и затемнить / задержать полученные элементы
- 1Защита WebAPI с атрибутом [Authorize] против User.Identiy.IsAuthenticated
- 0меню немного расширяется вправо
- 0Laravel PHP: создание объекта по умолчанию из пустого значения ошибки
- 0angularjs: проверить длину фильтра в повтор
- 0Jquery замораживание на шоу ()
- 1Использовать асинхронный метод на сервисном уровне из MVC 5?
- 1Предварительная обработка Sklearn Imputer, когда в столбце отсутствуют значения
