Hi,

Zum besseren Verständnis: Content Negotiation by User

Einloggen hier
Benutzer: xf
Passwort: xf

Du siehst dann auf rolfrost.de/ dem xf sein Forum.

Ein anderer Benutzer
Benutzer: xforum
Passwort: xforum

sieht auf demselben URL ein anderes Forum. Nicht angemeldete Benutzer sehen auf diesem URL meine Startseite.

Und Nutzer, die sich in beiden Foren anmelden wollen? (Nicht unbedingt gleichzeitig, meinetwegen auch nacheinander.)

Ich könnte dem xf sein Forum auch auf /xf.html unterbringen, Das Forum für Benutzer xforum auf /xforum.htm usw. Klar, kann ich machen, hätte dann evntl. wieder neue Abhängigkeiten und hätte den Path /xforum.html möglicherweise auch gar nicht in der Routing-Table für nicht angemeldete Benutzer (Status 404).

Ergo: Es ist eine Frage der Organisation.

Ja. Deine scheint fehlerhaft zu sein.

MfG ChrisB

Aloha ;)

Ich versteh den 400er anders, nämlich so, dass die Anfrage z.B. einen Syntaxfehler - aber auf jeden Fall keine übergeordnete Rolle bezüglich der anderen 4XXer - hat.

"10.4.1 400 Bad Request

The request could not be understood by the server due to malformed syntax. The client SHOULD NOT repeat the request without modifications." (Quelle)
Das unterstützt wohl meine Meinung und widerlegt deine.

Tja, das ist so die Sache mit den verschiedenen Übersetzungen und Tradierungen. Falls es hilft: In diesem Fall legt nicht das W3C die Standards fest, sondern die Status Codes sind in RFC's festgehalten. Das Dokument des W3C ist mehr eine Erläuterung dazu.

Und in RFC 7231 heißt es:

6.5.1.  400 Bad Request

The 400 (Bad Request) status code indicates that the server cannot or
   will not process the request due to something that is perceived to be
   a client error (e.g., malformed request syntax, invalid request
   message framing, or deceptive request routing).

Du siehst also, der 400er Fehler ist tatsächlich generisch. Das, was vom W3C als Wahrheit hingestellt wird, ist tatsächlich nur eine der Möglichkeiten. Kurz gesagt: Error 400 sagt nur aus, dass der Request nicht das gewünschte Ergebnis bringt, da der Client etwas falsch gemacht hat. Was er falsch gemacht hat, könnte man mit anderen 4xx-Fehlern genauer spezifizieren.

Das ist übrigens auch das, was die Fehlermeldung sagt. "Bad Request" heißt ja nur, dass der Request in dieser Form (das umschließt auch den Status des Angemeldet-sein oder nicht) kein Ergebnis bringen wird. Hätte das W3C recht, gäbe es keinen Grund, das Kind "Bad Request" zu nennen. Dann hieße es sinnigerweise ja wohl eher "Malformed Request Syntax"... Fehlermeldungen sind aus gutem Grund immer so spezifisch wie möglich - und eine derart unspezifische Aussage wie "Bad Request" macht nur dann Sinn, wenn der zugehörige Fehler ebenso unspezifisch ist...

Vergleiche dazu auch: 100 bedeutet soviel wie: Der Request ist am Laufen (generischer Statuscode für ablaufende Requests), 200 bedeutet soviel wie: Alles okay (also auch generisch, denn das sagt noch nicht zwangsläufig was drüber aus, ob ne Antwort kommt, oder ob nicht, oder ob erst später was passiert - ähnlich wie 400 ggü. den 4xx-ern. Und 500 ist wohl der generischste Status von allen mit der Bedeutung: Der Server hat irgendwas falschgemacht (im Gegensatz zu 400, wo der client was falsch gemacht hat).

Disclaimer: Meine Meinung. Andere mögen das für Bullshit halten ;)
Egal was man sagt, wie man argumentiert, oder ob es Bullshit ist, es ist deren Meinung, das muss man doch nicht extra sagen ;)

Stimmt - hilft aber manchmal :D Wenn man Leute extra dran erinnert, sind die Reaktionen meist milder :D Zumal ich zum Zeit meines Postings auch noch nicht im RFC nachgelesen hatte, sondern nur Sekundärquellen aufweisen konnte :D

Grüße,

RIDER

Hallo,

Mich würde jetzt noch interessieren, wie ich das mit 401 machen muss, damit der Browser NICHT das Fenster für die Credentials aufklappt. Meine Authentifizierung findet cookies.only statt :-)

Wenn also kein Auth-Cookie mitkommt, bekommt der Client demnächst die Antwort 401 - mit Angabe, wie bzw. wo er sich ein Token holen kann - vorausgesetzt, ich krieg das hin ohne das Fenster!

es geht nicht. Status 401 und HTTP-AUTH sind untrennbar miteinander verknüpft. Sobald du 401 sendest, wird der Browser immer sein eingebautes(!) Abfragefenster für die nötigen Credentials aufpoppen lassen, das AFAIK auch nicht mit einem eigenen Design gepimpt werden kann.

Wenn du eine andere Form der Authentifizierung willst, z.B. wie angedeutet über Cookies, musst du das serverseitig selbst managen, aber um Himmels Willen keinen 401 senden.

Bleibt nur das Problem, dass ich noch nnciht weiß, wie der Browser darauf reagiert, wenn er anstelle eines Bildes dann einen Text bekommt. Muss ich erstmal nachschauen und ausprobieren, ob das überhaupt zulässig ist und geht, dass man einem <img>-Request einfach durch einen anderen Content-Type mitteilt, dass ätsch ist!

Klar geht das - du kannst mit einem img-Element eine Bildressource anfordern, und in Wirklichkeit sendet der Server unter http://example.org/iwantaphoto.jpg eine HTML-Ressource mit dem "passenden" Content-Type text/html. Technisch kein Problem.
Der anfragende Browser wird dann aber sein "broken image"-Symbol anzeigen, weil er die Serverantwort nicht als Bild interpretieren kann, was in dem Kontext aber notwendig ist.

So long,
 Martin

Aloha ;)

Mich würde jetzt noch interessieren, wie ich das mit 401 machen muss, damit der Browser NICHT das Fenster für die Credentials aufklappt. Meine Authentifizierung findet cookies.only statt :-)

Wenn also kein Auth-Cookie mitkommt, bekommt der Client demnächst die Antwort 401 - mit Angabe, wie bzw. wo er sich ein Token holen kann - vorausgesetzt, ich krieg das hin ohne das Fenster!

Hast du meinen Hinweis bzgl. unbekannter Auth-Methode schon abgearbeitet? Imho müsste das nämlich wie gewünscht funktionieren...

Grüße,

RIDER

Aloha ;)

Imho nicht 403...

Um den ging es aber konkret bei meiner Antwort, deshalb hab ich das auch ins Zitat aufgenommen.

ACK. Mein Posting versteht sich in dem Sinne auch mehr als Ergänzung denn als Gegenrede.

Mir impliziert das nichts. Für mich heisst ein 403, das genau zum aktuellen Zeitpunkt die Ressource nicht verfügbar ist, weil ich nicht die nötigen Rechte habe. Das kann sich nach einem Login durchaus ändern, ebenfalls durch eine Freischaltung o.ä.

Ich hab mir die offizielle Definition des 403 noch einmal angeschaut.

Da steht:

The 403 (Forbidden) status code indicates that the server understood
   the request but refuses to authorize it.  A server that wishes to
   make public why the request has been forbidden can describe that
   reason in the response payload (if any).

If authentication credentials were provided in the request, the
   server considers them insufficient to grant access.  The client
   SHOULD NOT automatically repeat the request with the same
   credentials.  The client MAY repeat the request with new or different
   credentials.  However, a request might be forbidden for reasons
   unrelated to the credentials.

An origin server that wishes to "hide" the current existence of a
   forbidden target resource MAY instead respond with a status code of
   404 (Not Found).

Tatsächlich hatte ich nicht ganz Recht damit, zu sagen, 403 sei von Anmeldung oder nicht unabhängig. Es ist eher so:

Fall 1) Eine Ressource ist nie freigegeben (unabhängig von der Berechtigungsstufe), ihr Aufenthaltsort / ihre Existenz darf aber bekannt sein. Dann sollte von Anfang an 403 kommen und eventuell ein Text, der den Grund des Versteckens erklärt.

Fall 2) Eine Ressource ist nie freigegeben, ihre Existenz soll nicht bekannt sein. Dann sollte von Anfang an 404 erscheinen.

Fall 3) Eine Ressource ist ab einer bestimmten Berechtigungsstufe freigegeben. Für unangemeldete Besucher sollte 401 kommen, für angemeldete Nutzer mit nicht-ausreichender Berechtigungsstufe sollte 403 kommen (eventuell mit Möglichkeit, durch andere Anmeldedaten Zugriffsberechtigung zu erhalten).

Für mich hat ein 403 nicht in einer SuMa aufzutauchen. Und exakt das habe ich in dem Post ausgesagt, den suit kommentiert hat.

In den Fällen 2 und 3 bekommt eine Suchmaschine als public user bei korrektem Einsatz nie eine 403 zu Gesicht, sondern eine 401 oder eine 404.

Bleibt noch Fall 1. Ich gebe dir Recht - es macht keinen rechten Sinn, Suchmaschinen in diesem Fall zuzulassen. Denn da steht ja dann maximal der Grund, warum die Ressource für niemanden zur Verfügung steht. Es ist tatsächlich unsinnig, so etwas per Suchmaschine listen zu lassen.

Grüße,

RIDER

Hallo,

Für mich hat ein 403 nicht in einer SuMa aufzutauchen.

die Aussage ist ungenau, und mir ist nicht klar, was du genau meinst.

Selbstverständlich soll ein Server auch einem Bot, wenn er ihn denn als solchen erkennt, den Status 403 signalisieren, wenn die Ressource nicht ohne weiteres zugänglich ist.

Andererseits sollte eine Suchmaschine Ressourcen, die beim Indizieren mit 403 beantwortet wurden, auch nicht in die Suchergebnisliste aufnehmen. Denn kaum etwas ist ärgerlicher als wenn man beispielsweise per Google etwas sucht, die Liste der Treffer sieht, ein Ergebnis anklickt und dann mit einem 403er (oder auch 404er) abgewiesen wird,

Der Status 403 sagt aus, dass eine Ressource existiert, aber nur unter ganz bestimmten Voraussetzungen zugänglich ist, die momentan nicht gegeben sind. Von einer Suchmaschine erwarte ich aber, dass sie mir nur Ergebnisse listet, auf die ich auch zugreifen kann. Alles andere wäre ein Ärgernis.

So long,
 Martin