Nginx禁止访问该用401还是403

之前在某些文章中看到建议在nginx配置中用return401而不用403，也没说具体原因，最近这不闲了，突然想起来，google了半天也没有任何相关的信息(可能不太会用google)，没办法，只能自己实践看看了

401 Unauthorized：该HTTP状态码表示认证错误，它是为了认证设计的，而不是为了授权设计的。收到401响应，表示请求没有被认证—压根没有认证或者认证不正确—但是请重新认证和重试。（一般在响应头部包含一个WWW-Authenticate来描述如何认证）。通常由web服务器返回，而不是web应用。从性质上来说是临时的东西。（服务器要求客户端重试）

403 Forbidden：该HTTP状态码是关于授权方面的。从性质上来说是永久的东西，和应用的业务逻辑相关联。它比401更具体，更实际。收到403响应表示服务器完成认证过程，但是客户端请求没有权限去访问要求的资源

上面是两个状态码的解释，总的来说，401响应应该用来表示缺失或错误的认证；403响应应该用来表示当用户被认证后，但用户没有被授权对特定资源的访问或操作，这不是今天的重点

既然是nginx中配置的，那就配置nginx，访问下。这里用的nginx1.17.7版本测试，编译--with-debug，开启了debug，先查看return 401，为了方便，配置好之后，清空了日志，浏览器访问之后

查看日志大小

查看host.access.log，正常的401请求日志

查看host.error.log，详细记录了从请求进入的整个处理过程

查看error.log，只有epoll的定时器

接着改成return 403

查看日志，大小差不多

查看host.access.log

正常的403日志返回，查看host.error.log，403请求详细记录

查看error.log，同样只有epoll的定时器

从上面的测试结果来看，401和403对于nginx来说，好像没什么不同，该处理的，还是要处理，没有少任何步骤，所以401和403的选择，应该是根据你要返回给客户端什么样的信息来决定

另外附HTTP状态码决策图，建议收藏！

图片来源：https://www.loggly.com/blog/http-status-code-diagram/