Conteúdo original nessa thread do Twitter

Ei dev,

Tá claro o que "HTTP 401 Unauthorized" e "HTTP 403 Forbidden" significam? Você se confunde às vezes?

Chega mais que vou tentar desenrolar esse negócio :)

cc @sseraphini

🧵

[ IMPORTANTE! O cenário aqui serve para quando a autenticação é requerida, tipo login/senha, por exemplo, ok? Existem cenários onde a autorização (ou não) independem da identificação ou, se preferir, a identificação anônima é suficiente. ]

Vou usar como analogia/exemplo aquele cenário clássico de visitar um prédio comercial que tem que dar o RG, pegar crachá, etc. pra tentar clarear esse negócio pra vc.

A primeira coisa a entender é que vc precisa se autenticar antes pra depois ser autorizado (ou não).

Se meter o louco e tentar acessar alguma coisa protegida sem autenticação, vai tomar um 401.

Pra passar dessa fase (não tomar um 401), vc se autentica.

Aí depois, pra vc poder tomar um 403, tem que estar autenticado e tentar acessar alguma coisa que não é pro seu bico.

Depois de autenticado E autorizado, aí sim vc passa da fase 403.

É simplesmente isso do que tratam as respostas 401 e 403!

Algumas dicas:

• Lembre-se da ordem 401 -> 403.
• 401 Unauthorized significa sem credenciais válidas.
• 403 Forbidden significa que vc está identificado, mas não tem permissão.
• O oposto de Unauthorized é Authenticated.
• O oposto de Forbidden é Authorized (é zuado, eu sei)

Espero que tenha gostado e principalmente te ajudado em alguma coisa :)

Se ainda ficou com alguma dúvida, comenta aí que a gente se ajuda.