В спецификации HTTP 1.1 говорится:
10.4.4 403 Запрещено
Сервер понял запрос, но отказывается его выполнить.
Авторизация не поможет, и запрос НЕ ДОЛЖЕН повторяться. [...]
Означает ли это только базовую авторизацию, как в WWW-Authenticate: Basic
? Следует ли когда-либо выдавать 403 для ресурсов, где какой-либо другой пользователь потенциально может получить доступ к запрещенному ресурсу с помощью средств, отличных от базовой HTTP-аутентификации (например, через его файл cookie сеанса, OpenID и т. Д.)?
Я спрашиваю об этом, поскольку HTTP 401 говорит, что ...
ответ ДОЛЖЕН включать поле
WWW-Authenticate header
... и я не уверен, стоит ли мне добавлять заголовок вроде WWW-Authenticate: Custom
.
Многие люди, кажется, используют 403, даже в тех случаях, когда простой файл cookie мог сделать ресурс доступным. Они все не правы?