对于公共rest API,有点理解,因为它提供了更好的信息,但这是必要的吗?不管怎样,人们仍然需要阅读文档。。。
对于受保护(需要身份验证(的rest API,只需200或404就可以防止泄露重要的服务器统计信息?
例如:假设我有一个API端点,并且身份验证失败或其他措施导致身份验证失败,我应该发送401代码还是只说404(或任何通用代码(来拒绝请求?
例如:假设我有API端点,身份验证失败或其他措施导致身份验证失败,我应该发送401代码还是只说404(或任何通用代码(来拒绝请求?
这是一个非常有用的问题,对于私有API,答案是404。不要给打电话的人任何信息。不要说";你应该验证";或";您的身份验证是错误的";或";如果你做了一些稍微不同的事情,那么这就会奏效"对于私有API,任何连接的人都应该知道需要什么。任何不该离开的人都应该离开。然后发送404。这里没有人。这不是一个有趣的端点。停止扫描我。
对于公共API,您希望尽可能多地帮助呼叫者。告诉他们所犯的错误,以及他们如何将请求修改为可接受的。对于一个私人API,什么都不给。