فهم 403 محظور مقابل 401 استجابات HTTP غير المصرح بها

Arthur Petit

الأحد، ٣٠ يونيو ٢٠٢٤ ١٢:٤٠:٥٢ م

فك رموز حالة HTTP: 403 مقابل 401
في مجال تطوير الويب، قد يكون تحديد استجابة HTTP الصحيحة لمشكلات التحكم في الوصول أمرًا صعبًا. على وجه التحديد، عندما يواجه المستخدم صفحة ويب موجودة ولكنها تفتقر إلى الامتيازات اللازمة للوصول إليها، يصبح الاختيار بين الاستجابة 401 غير مصرح به والاستجابة 403 محظورًا أمرًا بالغ الأهمية.
تهدف هذه المقالة إلى توضيح الفروق بين رمزي حالة HTTP هذين وتقديم إرشادات حول الاستخدام المناسب لهما. ومن خلال فهم السيناريوهات الخاصة بكل استجابة، يمكن للمطورين ضمان اتخاذ تدابير أمنية مناسبة وتجربة المستخدم على مواقعهم الإلكترونية.

يأمر وصف

app.use(express.json()) برنامج وسيط لتحليل طلبات JSON الواردة ووضع البيانات التي تم تحليلها في req.body.

res.status() يضبط رمز حالة HTTP للاستجابة.

req.headers.authorization التحقق من وجود رأس التفويض في الطلب.

req.user.role التحقق من دور المستخدم المصادق عليه، عادةً بعد فك تشفير معلومات المستخدم من رمز مميز.

fetch('/admin', { method: 'GET' }) يقدم طلب GET إلى نقطة النهاية /admin.

.then(response =>.then(response => response.text()) يتعامل مع الاستجابة عن طريق تحويلها إلى نص.

Event Listener يضيف مستمع حدث إلى عنصر للتعامل مع تفاعلات المستخدم.

response.status يتحقق من رمز حالة HTTP للاستجابة لتحديد الإجراء المناسب.

يأمر	وصف
app.use(express.json())	برنامج وسيط لتحليل طلبات JSON الواردة ووضع البيانات التي تم تحليلها في req.body.
res.status()	يضبط رمز حالة HTTP للاستجابة.
req.headers.authorization	التحقق من وجود رأس التفويض في الطلب.
req.user.role	التحقق من دور المستخدم المصادق عليه، عادةً بعد فك تشفير معلومات المستخدم من رمز مميز.
fetch('/admin', { method: 'GET' })	يقدم طلب GET إلى نقطة النهاية /admin.
.then(response =>.then(response => response.text())	يتعامل مع الاستجابة عن طريق تحويلها إلى نص.
Event Listener	يضيف مستمع حدث إلى عنصر للتعامل مع تفاعلات المستخدم.
response.status	يتحقق من رمز حالة HTTP للاستجابة لتحديد الإجراء المناسب.

شرح البرامج النصية Node.js وJavaScript

البرنامج النصي الأول هو تطبيق الواجهة الخلفية باستخدام و . يبدأ الأمر بإعداد تطبيق Express باستخدام الأمر وتحليل طلبات JSON الواردة باستخدام app.use(express.json());. وظيفة الوسيطة يتحقق مما إذا كان الطلب يحتوي على header. إذا لم يكن الأمر كذلك، فإنه يرسل أ الاستجابة باستخدام res.status(401).send('401 Unauthorized');. إذا تمت مصادقة المستخدم، فإن البرنامج الوسيط التالي، ، يتحقق مما إذا كان المستخدم لديه دور "المسؤول". . إذا لم يكن الأمر كذلك، أ يتم إرسال الرد باستخدام res.status(403).send('403 Forbidden');. وأخيرا، إذا تحقق كلا الشرطين، فإن يرسل معالج الطريق رسالة ترحيب إلى منطقة الإدارة.

البرنامج النصي الثاني هو تطبيق الواجهة الأمامية باستخدام و ال . تتم إضافة مستمع الحدث إلى زر به ، مما يؤدي إلى fetch طلب إلى نقطة النهاية "/admin". يتضمن الطلب header. ثم يتم التحقق من الاستجابة و رموز الحالة باستخدام response.status. يتم عرض رسائل التنبيه المناسبة بناءً على حالة الاستجابة. إذا نجح الطلب، فسيتم عرض نص الاستجابة في العنصر with . يضمن هذا المزيج من البرامج النصية للواجهة الخلفية والواجهة الأمامية أن المستخدمين المصادق عليهم والمصرح لهم فقط هم من يمكنهم الوصول إلى منطقة الإدارة المحمية.

التمييز بين 403 ممنوع و401 غير مصرح به

الواجهة الخلفية: Node.js مع Express

const express = require('express');
const app = express();
const port = 3000;
app.use(express.json());
// Middleware to check authentication
const isAuthenticated = (req, res, next) => {
  if (req.headers.authorization) {
    next();
  } else {
    res.status(401).send('401 Unauthorized');
  }
};
// Middleware to check authorization
const isAuthorized = (req, res, next) => {
  if (req.user && req.user.role === 'admin') {
    next();
  } else {
    res.status(403).send('403 Forbidden');
  }
};
app.get('/admin', isAuthenticated, isAuthorized, (req, res) => {
  res.send('Welcome to the admin area!');
});
app.listen(port, () => {
  console.log(`Server running at http://localhost:${port}`);
});

إدارة حالة استجابة HTTP

الواجهة الأمامية: جافا سكريبت مع Fetch API

document.getElementById('fetchAdminData').addEventListener('click', () => {
  fetch('/admin', {
    method: 'GET',
    headers: {
      'Authorization': 'Bearer token_here'
    }
  })
  .then(response => {
    if (response.status === 401) {
      alert('401 Unauthorized: Please log in.');
    } else if (response.status === 403) {
      alert('403 Forbidden: You do not have access.');
    } else {
      return response.text();
    }
  })
  .then(data => {
    if (data) {
      document.getElementById('adminContent').innerText = data;
    }
  })
  .catch(error => console.error('Error:', error));
});

الغوص بشكل أعمق في رموز حالة HTTP

تعد رموز حالة HTTP ضرورية للاتصال بين العميل والخادم. فهم الاختلافات بين و تعد الاستجابات أمرًا بالغ الأهمية لتنفيذ الإجراءات الأمنية المناسبة على موقع الويب. أ تشير الاستجابة إلى أن طلب العميل لم يكتمل لأنه يفتقر إلى بيانات اعتماد مصادقة صالحة للمورد الهدف. وفي المقابل أ 403 Forbidden تشير الاستجابة إلى أن الخادم يفهم الطلب ولكنه يرفض السماح به. يضمن هذا التمييز حصول المستخدمين على تعليقات واضحة حول مشكلات الوصول الخاصة بهم، مما يساعدهم على فهم ما إذا كانوا بحاجة إلى تسجيل الدخول أو إذا كان حساب المستخدم الخاص بهم يفتقر إلى الأذونات اللازمة.

بالنسبة لمطوري الويب، يعد اختيار رمز الحالة الصحيح أمرًا ضروريًا للحفاظ على موقع ويب آمن وسهل الاستخدام. على سبيل المثال، إذا حاول مستخدم الوصول إلى صفحة محظورة دون تسجيل الدخول، فيجب أن يستجيب الخادم بـ الحالة، مما يطالب المستخدم بتقديم بيانات اعتماد صالحة. من ناحية أخرى، إذا حاول مستخدم قام بتسجيل الدخول الوصول إلى صفحة ليس لديه الأذونات المطلوبة لها، فيجب أن يستجيب الخادم بـ حالة. يساعد هذا التحديد الواضح بين المصادقة والترخيص على منع الوصول غير المصرح به ويعزز الوضع الأمني العام للتطبيق.

ماذا يعني رمز الحالة غير المصرح به 401؟
ال رمز الحالة يعني أن الطلب يتطلب مصادقة المستخدم. يجب على العميل تقديم بيانات اعتماد مصادقة صالحة للوصول إلى المورد المطلوب.
ماذا يعني رمز الحالة 403 المحظور؟
ال يشير رمز الحالة إلى أن الخادم يفهم الطلب ولكنه يرفض السماح به. يحدث هذا عادةً عندما لا يكون لدى المستخدم الأذونات اللازمة.
متى يجب علي استخدام رمز الحالة 401 غير مصرح به؟
استخدم ال رمز الحالة عندما يحتاج المستخدم إلى المصادقة للوصول إلى المورد، ولكن بيانات الاعتماد المقدمة مفقودة أو غير صالحة.
متى يجب علي استخدام رمز الحالة 403 المحظور؟
استخدم ال رمز الحالة عندما تتم مصادقة المستخدم ولكن ليس لديه الأذونات المطلوبة للوصول إلى المورد.
هل يمكن استخدام رمز الحالة 403 محظور لحظر IP؟
نعم يمكن استخدام رمز الحالة للإشارة إلى أن الوصول محظور بسبب حظر IP أو قيود أخرى مماثلة.
ما الفرق بين رموز الحالة 401 و403؟
الفرق الرئيسي هو ذلك يشير إلى عدم وجود بيانات اعتماد مصادقة صالحة، في حين يشير إلى عدم وجود الأذونات اللازمة على الرغم من المصادقة.
هل يمكن أن يتضمن رمز الحالة 401 رأس WWW-Authenticate؟
نعم ا غالبًا ما تتضمن الاستجابة أ حقل رأس يحتوي على معلومات حول كيفية المصادقة.
هل 403 ممنوع خطأ في العميل أو الخادم؟
ال يعتبر رمز الحالة خطأ من العميل لأنه يشير إلى أن طلب العميل كان صالحًا ولكن الخادم يرفض تنفيذه.
كيف يمكنني التعامل مع الاستجابة غير المصرح بها 401 من جانب العميل؟
من جانب العميل، يجب عليك مطالبة المستخدم بتسجيل الدخول أو إعادة المصادقة عند تلقي رسالة إجابة.

في الختام، يعد تحديد رمز حالة HTTP الصحيح بين 401 غير مصرح به و403 محظور أمرًا حيويًا للتحكم السليم في الوصول في تطبيقات الويب. تطالب الاستجابة 401 المستخدمين بالمصادقة، بينما تشير الاستجابة 403 إلى عدم كفاية الأذونات على الرغم من المصادقة. يؤدي تنفيذ هذه الرموز بشكل صحيح إلى تحسين الأمان وتجربة المستخدم، مما يوفر تعليقات واضحة حول مشكلات الوصول. يساعد هذا الوضوح المستخدمين على فهم ما إذا كانوا بحاجة إلى تسجيل الدخول أو طلب أذونات إضافية، مما يؤدي في النهاية إلى موقع ويب أكثر أمانًا وسهولة في الاستخدام.