2
從語義上講,API應返回適合該情況的錯誤消息。例如,如果一個用戶發出請求到GET /article/2386
,它應該返回(在用戶需要身份驗證,請求API來處理權限管理):處理禁止的REST請求403 vs 404
- 文章的數據,如果它存在,並且用戶有權限,
- 404如果不存在,則會顯示錯誤消息
- 403如果用戶沒有權限,則會顯示錯誤消息並被禁止。
現在,我不知道,如果它不是明智返回403在這兩種情況下禁止,作爲一個邪惡的用戶都可以嘗試隨機地掃描資源並得到他們是否存在見解與否(403,如果存在的話,404如果他們不「T)。
那麼,在這兩種情況下返回403還是「犯罪」是可取的?
感謝您的回答。我還發現這個[很有用的文章](http://www.bennadel.com/blog/2400-handling-forbidden-restful-requests-401-vs-403-vs-404.htm)觀點中的觀點 – Buzut