401 和 403 的区别
| 状态码 | 含义 | 测试场景 | 论文说明 |
|---|---|---|---|
| 401 Unauthorized | 未授权 | 未登录访问受保护接口 | 系统拦截未认证请求 |
| 403 Forbidden | 禁止访问 | 普通用户访问管理员接口 | RBAC 拒绝权限不足用户 |
返回内容示例
如果雇主要求接口统一,可以使用同一个路径,例如 /api/order/download,分别展示未登录和权限不足时的返回。
HTTP/1.1 401 Unauthorized
{
"code": 401,
"message": "未授权,请先登录后再访问",
"path": "/api/order/download"
}
HTTP/1.1 403 Forbidden
{
"code": 403,
"message": "禁止访问,当前角色无权操作",
"path": "/api/order/download"
}
截图放论文哪里?
建议放在“系统测试”章节,命名为“权限控制测试结果”。文字说明要写清楚:401 验证登录态校验,403 验证角色权限控制。