当用户尝试使用其他用户令牌时,您能推荐哪种HTTP状态代码适合返回吗? 401或400?
HTTP 403 Forbidden服务器理解请求但拒绝授权。对你的情况更好。
403将是最合适的响应代码。以下是RFC 7231的完整描述。
403(禁止)状态代码表示服务器理解请求但拒绝授权。希望公开请求被禁止的服务器可以在响应有效负载中描述该原因(如果有的话)。
如果请求中提供了身份验证凭据,则服务器认为它们不足以授予访问权限。客户端不应该使用相同的凭据自动重复请求。客户端可以使用新的或不同的凭据重复请求。但是,出于与凭证无关的原因,可能会禁止请求。
希望“隐藏”禁止目标资源的当前存在的源服务器可以以状态代码404(未找到)来响应。
第2段适用于您的方案。客户端/用户提供了其他人的凭据,服务器认为它们“不足”。