Питання 403 заборонено проти 401 неавторизованих HTTP-відповідей


Для веб-сторінки, яка існує, але для якої користувач не має достатніх привілеїв (вони не ввійшли або не належать до належної групи користувачів), яка відповідна HTTP-відповідь служити? 401? 403? Щось ще? Те, що я прочитав на кожному, поки не дуже чітко визначає різницю між двома. Які випадки використання відповідають кожній відповіддю?


1905
2017-07-21 07:21


походження


401 "Неавторизоване" має бути 401 "Неавтентифікований", проблема вирішена! - Christophe Roussy
Ого. Відповіді нижче смішно по всій карті. Здається, що правильна відповідь невизначена для аутентифікації без HTTP. - Joe Lapp
Я не пам'ятаю, скільки разів мені та моїм колегам повернувся до поточного потоку для цього питання. Може бути, у стандартах HTTP слід враховувати модифікацію імен або описів для 401 і 403. - neurite
Фактично, я отримую іншу версію цієї помилки. як "os_authType був" будь-який ", і недійсний файл cookie був відправлений". Так що не в змозі з'ясувати, як це вирішити. Googled дуже багато часу, отримали причини, але не отримали рішення. - Sandeep Anand
@ QWERTY немає, новий RFC7231 виправдовує RFC2616. 403 має інше значення зараз. - fishbone


Відповіді:


Чітке пояснення від Даніель Ірвін:

Там проблема 401 Несанкціонований, код статусу HTTP для помилок автентифікації. І це просто: це для автентифікації, а не авторизації.   Отримавши 401 відповідь, сервер повідомляє вам: "Ви не є   автентифікований - або не підтверджено взагалі, або автентифіковано   неправильно, але будь ласка, повторно перевірте автентичність та повторіть спробу. "Щоб допомогти вам,   він завжди включає в себе a WWW-Authenticate заголовок, який описує як   для автентифікації

Це відповідь, як правило, повертається вашим веб-сервером, а не вашою мережею   заявка

Це також щось дуже тимчасове; сервер просить вас спробувати   знову

Отже, для авторизації я використовую 403 Заборонено відповідь Його   постійний, це пов'язано з моєю логікою застосування, і це більш конкретно   відповідь, ніж 401.

Отримавши відповідь 403, сервер повідомляє вам: "Мені шкода. я знаю   хто ти - я вірю, кого ти кажеш, що ти - але ти просто не маєш   дозвіл на доступ до цього ресурсу. Може бути, якщо ви запитаєте систему   Адміністратор добре, ви отримаєте дозвіл. Але будь ласка, не турбуйтеся   ще раз, поки не зміниться ваша ситуація ".

Таким чином, a 401 Несанкціонований відповідь слід використовувати для пропущення   або погана автентифікація, і a 403 Заборонено відповідь має бути використана   потім, коли користувач автентифікується, але не має повноважень   виконати запитувану операцію на заданому ресурсі.

Інше гарний мальовничий формат про те, як слід використовувати коди стану http.


2844
2017-08-04 06:24



Стандартне повідомлення IIS 403: "Це загальна помилка 403 та означає, що автентифікований користувач не має права переглядати сторінку", що, здається, згодні. - Ben Challenor
@ JPReddy Ваша відповідь правильна. Однак я б очікував, що 401 буде називатися "Unauthenticated", а 403 - "Unauthorized". Дуже незрозуміло, що 401, що має відношення до аутентифікації, має формат супровідного тексту "Несанкціонований" .... Якщо я не добре англійською мовою (це цілком можливо). - p.matsinopoulos
@ ZaidMasud, згідно з RFC, ця інтерпретація не є правильною. Відповідь Кумбайха зрозуміла. 401 означає "ви не маєте належної авторизації". Звідси випливає, що "якщо ви хочете, ви спробуєте самі перевірити себе". Таким чином, як клієнт, який не перевірив себе належним чином, а належним чином авторизований клієнт не отримав авторизацію, отримає 401. 403 означає "Я не буду відповідати на це, хто б ви не був". RFC чітко стверджує, що "авторизація не допоможе" у випадку 403. - Davide R.
401 - помилка автентифікації, 403 - помилка авторизації. Просто як це. - Shahriyar Imanov
Ви виключили "Ну, це моя точка зору на це в усякому разі :)" при копіюванні з його блогу і, на жаль, його думка неправильна. Як інші заявили, 403 означають, що ви не можете отримати доступ до ресурсу незалежно від того, хто ви автентифікували як. Я зазвичай використовую цей код статусу для ресурсів, заблокованих діапазонами IP-адрес або файлами в моєму webroot, яким я не хочу прямого доступу (тобто скрипт повинен їх обслуговувати). - Kyle


Побачити RFC2616:

401 Несанкціонований:

Якщо в запиті вже включені облікові дані авторизації, тоді відповідь 401 вказує на те, що для цих облікових записів було відмовлено у авторизації.

403 Заборонено:

Сервер зрозумів запит, але відмовляється виконувати його.

Оновити

З вашого випадку використання з'являється, що користувач не автентифікується. Я повернувся б 401.


Редагувати: RFC2616 є застарілим, див RFC7231 і RFC7235.


336
2017-07-21 07:28



Спасибі, це допомогло зрозуміти це для мене. Я використовую обидва - 401 для неаутентифікованих користувачів, 403 для автентифікованих користувачів з недостатньою кількістю дозволів. - VirtuosiMedia
Я не зменшився, але я вважаю цю відповідь досить оманливою. 403 заборонено, більш доречно використовується у вмісті, який ніколи не буде поданий (наприклад, файли .config у asp.net). його або те, або 404. imho, було б недоцільно повернути 403 за те, що можна отримати, але у вас просто не було правильних вказівок. моє рішення полягає в наданні доступу до відхиленого повідомлення з можливістю зміни облікових даних. що або 401. - Mel
"Відповідь ПОВИНЕН включати поле заголовка WWW-Authenticate (розділ 14.47), що містить виклик, що застосовується до запитуваного ресурсу". Здавалося б, якщо ви не хочете використовувати аутентифікацію в стилі HTTP, код відповіді 401 не підходить. - Brilliand
Я поверну Billiand тут. Заява є "Якщо запит уже містив облікові дані авторизації". Це означає, що це відповідь із запиту, який надавав обліковий запис (наприклад, відповідь на спробу автентифікації RFC2617). По суті, це дозволить серверу сказати: "Погана пароля облікового запису / пароля, повторіть спробу". У поставленому питанні користувач імовірно автентифікується, але не авторизований. 401 ніколи не є відповідною відповіддю на ці обставини. - ldrut
Бріліан правильно, 401 лише підходить для автентифікації HTTP. - Juampi


Відсутні інші відповіді відсутні в тому, що слід розуміти, що автентифікація та авторизація в контексті RFC 2616 стосуються ТІЛЬКИ до протоколу автентифікації HTTP RFC 2617. Аутентифікація за схемами поза межами RFC2617 не підтримується в кодах стану HTTP і не розглядається при вирішенні питання про використання 401 або 403 ..

Короткий і короткий

Неавторизований означає, що клієнт не перевіряється на RFC2617, а сервер ініціює процес автентифікації. Заборонений вказує або те, що клієнт перевірено на RFC2617 і не має авторизації або що сервер не підтримує RFC2617 для запитуваного ресурсу.

Це означає, що у вас є власний власний процес реєстрації, який ніколи не використовує автентифікацію HTTP, 403 завжди є належною відповіддю, і 401 ніколи не слід використовувати.

Детальна і глибинна

З RFC2616

10.4.2 401 Неавторизований

Запит вимагає автентифікації користувача. Відповідь ПОВИНЕН включати поле заголовка WWW-Authenticate (розділ 14.47), що містить виклик, що застосовується до запитуваного ресурсу. Клієнт МОЖЕТ повторити запит за допомогою відповідного поля заголовка авторизації (розділ 14.8).

і

10.4.4 403 Заборонено   Сервер зрозумів запит, але відмовляється виконувати його. Авторизація не допоможе, і запит НЕ МАЄ повторювати.

Перше, що потрібно мати на увазі, полягає в тому, що "автентифікація" та "авторизація" в контексті цього документа стосуються, зокрема, протоколів автентифікації HTTP з RFC 2617. Вони не стосуються жодних власних протоколів автентифікації, які ви створили використовуючи сторінки входу та ін. Я буду використовувати "логін" для посилання на аутентифікацію та авторизацію методами, відмінними від RFC2617

Отже, реальна різниця не в тому, що таке проблема, або навіть якщо є рішення. Різниця в тому, що сервер очікує, що клієнт буде робити далі.

401 вказує на те, що ресурс не може бути наданий, але сервер запитує, що клієнт увійшов через автентифікацію HTTP і відправив заголовки відповідей для ініціювання процесу. Можливо, існують дозволи, які дозволять отримати доступ до ресурсу, можливо, їх немає, але давайте спробуємо побачити, що станеться.

403 означає, що ресурс не може бути наданий, і для поточного користувача це неможливо вирішити через RFC2617, і немає сенсу намагатися. Це може бути тому, що відомо, що рівень автентифікації недостатній (наприклад, через чорний список IP), але це може бути тому, що користувач вже автентифікував і не має повноважень. Модель RFC2617 - це однокористувацька, одна облікові дані, тому може бути проігноровано той випадок, коли користувач може мати другий набір облікових даних, які можуть бути дозволені. Він не передбачає і не означає, що певна сторінка входу або інший протокол автентифікації не RFC2617 може допомогти або не допомогти, тобто не відповідає стандартам та визначенням RFC2616.


Редагувати: RFC2616 є застарілим, див RFC7231 і RFC7235.


254
2018-02-05 17:14



ІМХО, це, безумовно, найкраща і точна відповідь. - Juampi
Тож що ми повинні робити, коли користувач запитує сторінку, для якої потрібна аутентифікація без http? Надіслати код статусу 403? - marcovtwout
Це відповідь, яка відповіла на мої запитання про відмінність. - Patrick
Це важливо: "якщо у вас є власний рулонний процес входу та ніколи не використовує автентифікацію HTTP, 403 завжди є належною відповіддю, і 401 ніколи не слід використовувати". - ggg
Чи RFC7235 не передбачає "виклик вашої власної" або альтернативної автентичності? Чому неможливо моє додаток для входу поточного представляє свою проблему у формі a WWW-Authenticate заголовок? Навіть якщо браузер не підтримує його, мій додаток React може ... - jchook


Відповідно до RFC 2616 (HTTP / 1.1) 403 надсилається, коли:

Сервер зрозумів запит, але відмовляється виконувати його. Авторизація не допоможе, і запит НЕ МАЄ повторювати. Якщо метод запиту не був HEAD, і сервер хоче оприлюднити, чому запит не виконано, він повинен описувати причину відмови в організації. Якщо сервер не бажає зробити цю інформацію доступною клієнту, замість нього може використовуватися код стану 404 (не знайдено)

Іншими словами, якщо Клієнт може отримати доступ до ресурсу за допомогою автентифікації, 401 слід надіслати.


95
2017-07-21 07:26



І якщо незрозуміло, чи можуть вони отримати доступ, чи ні? Скажімо, у мене є 3 рівні користувачів - загальнодоступні, члени і преміум-члени. Припустимо, що сторінка призначена тільки для членів преміум-класу. Загальнодоступний користувач в основному неаутентифікований і міг бути членами або членами преміум-класу, коли вони входитимуть. Для рівня користувачів користувача 403 буде здаватися правильним. Для членів преміум-класу - 401. Однак, що ви служите громадськості? - VirtuosiMedia
imho, це найточніша відповідь. це залежить від програми, але, як правило, якщо автентифікований користувач не має достатніх прав на ресурс, ви можете запропонувати спосіб зміни облікових даних або надіслати 401. Я вважаю, що 403 найкраще підходить для вмісту, який ніколи не подає. У asp.net це означає файли web.config * .resx і т. Д. Тому, незалежно від того, який користувач входить до системи, ці файли ніколи не будуть подані, тому немає сенсу знову спробувати. - Mel
Ця відповідь заслуговує на більшу популярність. Я згоден з @Mel. - Camilo Martin
+1, але невизначений +1. Логічний висновок полягає в тому, що 403 ніколи не повинно бути повернуто, оскільки 401 або 404 буде суто кращою відповіддю. - CurtainDog
@Mel Я думаю, що файл, до якого не повинен мати доступ клієнт, повинен бути 404. Це файл, який є внутрішнім для системи; назовні навіть не слід знати, що він існує. Повертаючи 403, ви дозволяєте клієнту знати, що він існує, не потрібно давати цю інформацію хакерів. Спец. Для 403 говорить An origin server that wishes to "hide" the current existence of a forbidden target resource MAY instead respond with a status code of 404 (Not Found). - Juan Mendes


Версія TL; DR;

    GET ресурс, існує?
    | |
    | |
    v проти
НІ: 404 ТАК: Чи підтверджено автентичність?
             | |
             | |
             v проти
           НІ: 401 ТАК: Можна отримати доступ до ресурсу?
           (або: 404) | |
           або 301 | |
           перенаправити v v
           щоб увійти NO: 403 OK 200, 301, ...

Перевірки, як правило, виконуються в такому порядку:

  • 401, якщо не ввійшов в систему або закінчився сеанс
  • 403, якщо користувач не має права доступу до ресурсу
  • 404 якщо ресурс не існує

НЕАУТУРИРОВАНО: Код статусу (401), який вказує, що вимагається запит автентифікація. Користувач / агент, невідомий сервером. Можна повторювати з іншими повноваженнями. ПРИМІТКА. Це незрозуміло, оскільки це слід було назвати "неавтентифікованим", а не "неавторизованим".

ЗАБУДИТИ: Код статусу (403), який вказує на те, що сервер зрозумів запит, але відмовився виконати його. Користувач / агент, відомий сервером, але має недостатньо повноважень. Повторний запит не спрацьовує.

НЕ ЗНАЙДЕНО: Код статусу (404), який вказує, що запитуваний ресурс недоступний. Відомий користувач / агент, але сервер не розкриває нічого про ресурс, ніби його не існує. Повторення не спрацює. Це спеціальне використання 404 (наприклад, github).


46
2018-02-23 11:00



github.com/for-GET/http-decision-diagram - Christophe Roussy
Наприклад, я увійшов у систему, і я можу отримати доступ до сторінки, але це не дозволено для мене. Який код статусу повернеться? - barteloma
@ Bookmarker Loggin in називається автентифікація, що є першим кроком. Отже, якщо у вас немає дозволу після входу в систему, ви отримаєте 403 Заборонено (недостатність вказівок означає, що у вас недостатньо дозволів). - Christophe Roussy
Ясний і просте пояснення. Тільки що мені потрібно - Estevez


Якщо автентифікація, як інший користувач надасть доступ до запитуваного ресурсу, то 401 Неавторизований повинен бути повернений. 403 Заборонений в основному використовується, коли доступ до ресурсу забороняється всім або обмежується певною мережею або допускається лише через SSL, незалежно від того, наскільки воно не пов'язане з автентифікацією.

З RFC 7235 (протокол передачі гіпертексту (HTTP / 1.1): автентифікація):

3.1. 401 Несанкціонований

Код стану 401 (неавторизований) вказує на те, що запит має   не було застосовано, оскільки воно не має дійсних автентифікаційних посвідчень   для цільового ресурсу. Сервер походження ПОВИННІ відправити a   Поле заголовка WWW-Authenticate (розділ 4.4) містить щонайменше один   виклик, що застосовується до цільового ресурсу. Якщо запит   включені автентифікаційні облікові дані, потім 401 відповідь   вказує на те, що дозвіл на них було відхилено   повноваження. Клієнт МОЖЕТ повторити запит за допомогою нового або   замінено поле заголовка авторизації (розділ 4.1). Якщо 401   відповідь містить ту ж саму проблему, що й попередня відповідь, і   користувацький агент вже намагався перевірити автентичність принаймні один раз, потім   користувацький агент МОЖЕТ представити додане представлення до   користувач, оскільки він зазвичай містить відповідну діагностичну інформацію.

І це з RFC 2616:

10.4.4 403 Заборонено

Сервер зрозумів запит, але відмовляється виконувати його.
Авторизація не допоможе і запит НЕ МАЄ повторювати.
  Якщо метод запиту не був HEAD, і сервер хоче зробити
  Чому цей запит не виконується, він ПОВИННІ описувати   причина відмови в організації. Якщо сервер не хоче   зробити цю інформацію доступною для клієнта, код статусу 404
  (Не знайдено).

Редагувати: RFC 7231 (протокол передачі гіпертексту (HTTP / 1.1): семантика та зміст) змінює значення 403:

6.5.3. 403 Заборонено

Код статусу 403 (заборонений) вказує на те, що сервер   зрозуміло цей запит, але відмовляється його санкціонувати. Сервер, який   бажає оприлюднити, чому запит заборонений   опишіть цю причину у відповідному корисному навантаженні (якщо є).

Якщо в запиті були надані облікові дані для автентифікації, то
  сервер вважає їх недостатніми для надання доступу. Клієнт
  ПОВИННІ автоматично повторити запит тим самим
  повноваження Клієнт МОЖЕТ повторити запит з новим або іншим   повноваження Проте запит може бути заборонений з причин
  не пов'язані з повноваженнями.

Сервер походження, який хоче "сховати" поточне існування a
  Заборонений цільовий ресурс МОЖУТЬ замість цього відповідати кодом стану
  404 Не знайдено).

Таким чином, 403 тепер може означати що завгодно. Забезпечення нових облікових даних може допомогти ... або це не може.


37
2018-02-27 09:44



Це цікаво. На основі RFC 7231 та RFC 7235 я не бачу явної різниці між 401 і 403 - Brian
403 означає "Я знаю вас, але ви не можете бачити цей ресурс". Немає причин для плутанини. - Michael Blackburn
"Якщо запит містив автентифікаційні посвідчення, то відповідь 401 вказує на те, що авторизація була відхилена для цих облікових даних. Клієнт МОЖЕТ повторити запит за допомогою нового або заміненого поля заголовка авторизації (розділ 4.1)." Однак тоді "4.2. Поле заголовка" Авторизація "дозволяє користувальницькому агенту автентифікувати себе з сервером-початком". Схоже, у RFC7235 вони використовують термін "авторизація", як і "автентифікація". У такому випадку може здатися, що авторизований, але не авторизований користувач не повинен отримати 401, а 403 - arcuri82


Це старіше питання, але один варіант, який ніколи не виховувався, полягав у поверненні 404. З точки зору безпеки, найвищий проголосований відповідь страждає потенційним вразливість витоку інформації. Скажімо, наприклад, що захищена веб-сторінка, про яку йде мова, є сторінка адміністратора адміністратора, або, що частіше, це запис у системі, на яку користувач не має доступу. В ідеалі ви не хочете, щоб зловмисний користувач навіть знав, що там є сторінка / запис, не кажучи вже про те, що вони не мають доступу. Коли я будую щось подібне, я спробую записати неавторизовані / неавторизовані запити у внутрішньому журналі, але повернути 404.

OWASP має кілька більше інформації про те, як зловмисник може використовувати цей тип інформації в рамках атаки.


20
2017-12-25 09:09



Використання 404 було згадано у попередніх відповідях. Ви перебуваєте на місці: витоку інформації, і це має бути важливим фактором для тих, хто переходить до власної схеми автентифікації / авторизації. +1 для згадування OWASP. - Dave Watts


Це питання було задано деякий час тому, але мислення людей продовжується.

Розділ 6.5.3 в цьому проекті (автор Філдінг і Решке) дає код статусу 403 зовсім інший зміст, ніж документований в RFC 2616.

Це відображає те, що відбувається в схемах автентифікації та авторизації, що використовуються багатьма популярними веб-серверами та системами.

Я підкреслив те, що, на мою думку, є найважливішим.

6.5.3. 403 Заборонено

Код статусу 403 (заборонений) вказує на те, що сервер зрозумів цей запит, але відмовляється його авторизувати. Сервер, який бажає оприлюднити, чому запит заборонено, може описувати цю причину у відповідному завантаженні інформації (якщо така є).

Якщо в запиті було надано облікові дані для автентифікації, сервер вважає їх недостатніми для надання доступу. Клієнт НЕ МОЖЕТ повторити запит з тими ж обліковими даними. Клієнт МОЖЕТ повторити запит з новими або різними обліковими даними.  Однак запит може бути заборонений з причин, не пов'язаних з обліковими даними.

Сервер походження, який хоче "сховати" існуюче заборонене цільове ресурс МОЖЕ, замість цього, відповісти з кодом стану 404 (не знайдено).

Незалежно від того, яку конвенцію ви використовуєте, важливо забезпечити одноманітність на вашому сайті / API.


19
2018-05-22 10:54



Проект був затверджений, і тепер це RFC 7231. - Vebjorn Ljosa


TL; DR

  • 401: відмова, яка має відношення до автентифікації
  • 403: Відмова, яка НІЩЕ пов'язана з автентифікацією

Практичні приклади

Якщо apache  вимагає аутентифікації (через .htaccess), і ти ударив Cancel, він відповість а 401 Authorization Required

Якщо nginx знаходить файл, але не має права доступу (користувач / група), щоб читати / отримати доступ до нього, він відповість з 403 Forbidden

RFC (2616 Розділ 10)

401 Несанкціонований (10.4.2)

Значення 1: Потрібно автентифікувати

Запит вимагає автентифікації користувача. ...

Значення 2: Автентифікація недостатня

... Якщо в запиті вже включені облікові дані авторизації, тоді відповідь 401 вказує на те, що для цих облікових записів відмовлено у наданні дозволу. ...

403 заборонено (10.4.4)

Значення: Не стосується автентифікації

... Авторизація не допоможе ...

Детальніше:

  • Сервер зрозумів запит, але відмовляється виконувати його.

  • Вона повинна описувати причину відмови в організації

  • Замість цього можна використовувати код статусу 404 (не знайдено)

    (Якщо сервер хоче зберегти цю інформацію від клієнта)


9
2018-02-25 09:03





вони не ввійшли або не належать до належної групи користувачів

Ви вказали два різних випадки; кожна справа повинна мати іншу відповідь:

  1. Якщо вони взагалі не ввійшли, вам слід повернутися 401 Несанкціонований
  2. Якщо вони увійшли до системи, але не належать до належної користувацької групи, вам слід повернутися 403 Заборонено

7
2017-10-01 14:34



Це не правильно. Відноситься до RFC і на відповідь @ Cumbaya. - Davide R.
@DavideR RFC використовує автентифікація і авторизація взаємозамінно. Я вважаю, що це має сенс, коли читається з автентифікація сенс - Zaid Masud
Ця відповідь зворотна. Неавторизоване не те саме, що Un-authenticated. @DavideR правильно. Аутентифікація та авторизація НЕ взаємозамінні - BozoJoe
@BozoJoe ми всі погоджуємося на різницю між неавторизованими та неаутентифікованими. Якщо користувач не входить до системи, він не піддається автентифікації, а еквівалент HTTP 401, який помилково називається неавторизованим. Якщо подивитися на розділ 10.4.2 тут він зазначає, що для 401 Unauthorized, що "Запит вимагає користувача автентифікація"Отже, якщо ви неавтентифіковані, 401 є правильною відповіддю. Якщо ви неавторизовані (в семантично правильному сенсі), то 403 - це правильна відповідь. - Zaid Masud
2616 слід спалити. Кілька нових RFC набагато чіткіше, що існує потреба диференціювати "Я не знаю вас" і "я знаю вас, але ви не можете отримати доступ до цього". є немає законна причина, щоб визнати наявність ресурсу, який ніколи не буде виконаний (або не виконується через http), про що пропонують 403-правові особи. - Michael Blackburn


Я думаю, що важливо врахувати, що в браузері 401 ініціює діалогове вікно автентифікації для введення нових облікових даних, а 403 - ні. Браузери вважають, що якщо повернеться 401, користувач повинен повторно автентифікувати. Таким чином, 401 означає недійсну автентифікацію, а 403 означає відсутність дозволу.

Ось декілька випадків під цією логікою, де помилка буде повернута з аутентифікації або авторизації, з важливими фразами напівжирним шрифтом.

  • Ресурс вимагає аутентифікації, але немає повноважень були зазначено.

401: Клієнт повинен вказати облікові дані.

  • Вказані облікові дані знаходяться в невірний формат.

400: Це не 401, ні 403, оскільки синтаксичні помилки завжди повинні повертати 400.

  • Вказані облікові дані вказують на a користувач котрий не існує.

401: Клієнт повинен вказати дійсні облікові дані.

  • Вказаний повноваження є недійсний але вкажіть дійсного користувача (або не вказуйте користувача як вказаного користувача, це не обов'язково).

401: Знову ж таки, клієнт повинен вказати дійсні облікові дані.

  • Вказаний повноваження мати закінчився.

401: Це практично так само, як взагалі недійсні облікові дані, тому клієнт повинен вказати дійсні облікові дані.

  • Вказані облікові дані цілком правильні, але ні достатньо особливий ресурс, хоча це можливо, що можна отримати повноваження з більшим дозволом.

403: Визначення дійсних облікових даних не дасть доступу до ресурсу, оскільки поточні облікові дані вже є дійсними, але не мають дозволу.

  • Особливо ресурс є недоступний незалежно від повноважень.

403: Це незалежно від облікових даних, тому вказівки дійсних посвідчень не можуть допомогти.

  • Вказані облікові дані цілком правильні, але конкретні клієнт є заблокований від їх використання.

403: Якщо клієнт заблоковано, то вказівки нових облікових даних нічого не роблять.


3
2018-06-02 23:34