Должен ли я вернуть код состояния http 401 в html-форме входа в систему? Страница представляет собой специальную форму входа в систему и не имеет никакого другого значимого контента, кроме структуры сайта. Однако URL может быть для страницы, которая имеет содержательное содержимое, но требует входа в систему. Обратите внимание, что эта настройка возвращает только код состояния 401 и не запрашивает у пользователя обычную аутентификацию.
Глядя на стандарты, кажется, что 401 - неподходящий код статуса для html-форм входа в систему. Однако я никогда не испытывал и не слышал о каких-либо вредных последствиях этого.
При отправке 401 «ответ ДОЛЖЕН включать поле заголовка WWW-Authenticate (раздел 14.47), содержащее запрос, применимый к запрашиваемому ресурсу».
требование, упомянутое здесь:
http://tools.ietf.org/html/rfc2616#section-10.4.2
подробно здесь:
http://tools.ietf.org/html/rfc2617#section-3.2.1
Я знаю, что есть способы обойти поисковики, чтобы убедить их проиндексировать или нет страницы, основываясь на наличии формы входа, но я бы предпочел использовать коды состояния http, в частности 401, так как это определение выглядит как идеально подходит, если не для требования заголовка WWW-Authenticate.
Есть ли причина, по которой я не должен использовать 401 в этом случае? С семантической точки зрения, есть ли разница между отсутствием Авторизации на уровне http и Авторизацией на уровне приложений? Очевидно, что вы можете использовать и то, и другое, но разве аутентификация не выполняется на уровне http только для простоты не реализации ее на уровне приложения?