問題

網址賬號正確，密碼錯誤返回的狀態碼是多少

我的回答

當賬號正確但密碼錯誤時，服務器通常會返回401 Unauthorized狀態碼。這個狀態碼表示"未授權"，意味著客戶端請求缺乏有效的身份驗證憑據，或者提供的憑據無效。

在實際應用中，401響應通常會附帶一個WWW-Authenticate響應頭，告訴客戶端應該使用什么樣的認證方式。比如說，如果是基本認證(Basic Authentication)，響應頭可能會是這樣的：

WWW-Authenticate:?Basic?realm="Access?to?the?site"

舉個具體的例子，假設我嘗試登錄一個網站的API：

• 我發送請求：POST?/api/login，帶上用戶名"user123"和密碼"wrong123"
• 服務器驗證發現用戶名存在，但密碼不匹配
• 服務器返回401狀態碼，響應體可能包含類似"Invalid credentials"的消息

值得注意的是，401和403(Forbidden)有明顯區別：

• 401表示"你沒有正確的身份驗證"，暗示如果提供正確的憑據就能訪問

• 403表示"我知道你是誰，但你沒有權限訪問這個資源"，即使身份驗證成功也不允許訪問

在某些系統中，為了安全考慮，可能不會明確區分"用戶名不存在"和"密碼錯誤"的情況，而是統一返回類似"用戶名或密碼錯誤"的消息，同樣使用401狀態碼。這是為了防止攻擊者通過錯誤信息推斷出有效的用戶名。

另外，在現代Web應用中，登錄失敗可能不會直接返回401狀態碼，而是返回200?OK，但在響應體中包含登錄失敗的信息。這種做法在前后端分離的架構中比較常見，因為前端JavaScript更容易處理成功的HTTP響應，而不是處理HTTP錯誤。

從安全角度考慮，無論使用哪種方式，都應該：

• 限制登錄嘗試次數，防止暴力破解
• 使用HTTPS加密傳輸憑據
• 不要在錯誤消息中泄露過多信息
• 考慮實現多因素認證來增強安全性