[Ludwig]

Hej!
Vi har en websida där man kan logga in och komma åt privata sidor. Om man försöker komma åt en sådan sida utan att ha loggat in, är det då rätt av servern att skicka http-response med kod 401?
Många sidor skriver att man även behöver en "WWW-Authenticate header", ex http://en.wikipedia.org/wiki/HTTP_401#4xx_Client_Error
Men ingen går in på vad det eg innebär. Är det någon som vet vad detta är för något?

[emilv]

http://www.ietf.org/rfc/rfc2617.txt

[wdb]

Exempel: En adminpanel

Besökaren är inte inloggad -> 401 Unauthorized
Besökaren är inloggad men är inte admin -> 403 Forbidden

värt att nämna är väl att du inte borde skcika den headern manuellt, utan den används för login på http-nivå, så svar på din fråga är nej, du borde inte skicka headern för dina egna cookie-baserade loginsystem.

[Ludwig]

Citat:

Ursprungligen postat av wdb

Exempel: En adminpanel

Besökaren är inte inloggad -> 401 Unauthorized
Besökaren är inloggad men är inte admin -> 403 Forbidden

värt att nämna är väl att du inte borde skcika den headern manuellt, utan den används för login på http-nivå, så svar på din fråga är nej, du borde inte skicka headern för dina egna cookie-baserade loginsystem.

Okej. Tanken är mest för googlebot. Ibland lyckas den komma åt adresser till sidor som ej är publika, men jag ska ändå skicka 200 när den indexerar dem och kommer till vår sida som säger "du har inte rätt att se sidan"?

[emilv]

Ja, du ska skicka 200 som svarskod.

Sådana sidor ska du även lägga in i robots.txt och/eller lägga in en robots-meta-tagg på.

[Ludwig]

Ok, tack för info