Какие http коды ошибок возвращать?

Question

[Илья]

День добрый. Написал апи для мобильного приложения. Написано оно на php(один из популярных фреймворков). Работает всё отлично, обрабатываю ошибку. Но возник вопрос. Какие коды http ошибок возвращать? Приведу пример, чтобы была ясна суть вопроса.

Например. Мобильное приложение посылает запрос на апи для авторизации юзера. Сам запрос дошел до апи, но пароль не подходит. По сути, мы должны вернуть 200 OK, так как запрос дошел, но ведь данные с пользовательской информацией не вернулись мобильному приложению. И что возвращать? 500, 404 и т.д. И множество подобных примеров можно привести. Разъясните пожалуйста.

P.S. Знаю, что фейсбук всегда шлет 200 OK, но мне кажется это неправильно.

К чему вопрос. Не понимаю как обрабатывать коды ошибок на самом мобильном приложении. Например:

$http.post('http://api/v1/users/index/', {'login': user.login, 'password': user.password}).
			success(function(data) {
				$localStorage.userAuthData = data.response;
				console.log(data.response);
				if (data.response !== 'Password is not valid.') {
					if (data.response.approved == 0) 
					{
						$location.path('/success-reg');
					};
					if (data.response.approved == undefined)
					{
						$location.path('/success-auth');
					};
				} else {
					$ionicLoading.show({
						template: 'Bad password'
					});
					$timeout(function() {
						$ionicLoading.hide();
					}, 800);
				};
			}).
			error(function(err) {
				$ionicLoading.show({
					template: 'Bad request'
				});
				$timeout(function() {
					$ionicLoading.hide();
				}, 800);
			});

Здесь сработает Bad request. Потому что не вернутся 200 OK. Но тогда я не смогу обрабатывать ошибки типа пароль неправильный или юзера не существует.

Answer 1

[Abdula Magomedov]

А почему нельзя все время посылать 200 OK? Ведь запрос успешный, просто в ответ на запрос отправляйте собственные коды ошибок, просто число, а не код ответа http.
Например 101 авторизация удалась, 102 неправильный пароль. 103 такой логин не зарегистрирован в системе...

Comments

[Илья]

А вот ваша идея мне нравится, спасибо.

[FanatPHP]

вообще-то, писать раздельные ошибки по логину и паролю - это облегчать брутфорс

[Yuri Shikanov]

всегда посылать 200 ОК это не по RESTful

[Илья]

FanatPHP: Как пример же.

[FanatPHP]

хомячки не понимают что это пример. Они любой код расценивают как манну небесную, которую им господь бог послал. И тут же тащат в норку. И потом эти "примеры" по 20 лет в скриптах одни и те же. А потом мы удивляемся, почему весь мир от пхп тошнит. ИЗ-ЗА ПРИМЕРОВ

[zedzhen]

FanatPHP,

вообще-то, писать раздельные ошибки по логину и паролю - это облегчать брутфорс

Только если ты не говоришь существует ли такой логин во время сброса пароля, и попытке зарегистрироваться. Иначе это не облегчает.

Answer 2

[Дмитрий Энтелис]

Есть 2 точки зрения.
Классический REST говорит что надо отдавать ошибки в http кодах сервера.
На практике занимались разработкой api под мобильные приложения несколько лет и столкнулись с тем, что многие библиотеки используемые для работы с апи на мобильных приложениях:
а) хреново работают с любым заголовком отличным от 200
b) хреново работают с любыми методами отличными от GET/POST

В итоге пришли к следующему решению (кусок из внутренней документации):

где code 400 говорит о том что серверу не нравятся какие то данные в запросе, error_code говорит о том что именно не нравится (почта, пароль итд - список свой в каждом методе api)

Answer 3

[Дмитрий]

Если ваш скрипт успешно обработал запрос, успешно полученный веб-сервером, то код ответа должен быть 200. Для примера, код 400 - не найдено. Скрипт же найден? Значит о каком 404 речь? Также с остальными.

Comments

[Илья]

Читал статья на хабре - habrahabr.ru/post/181988
Там объясняется, что такая практика не гуд. Да и как контролировать тогда, дошел ли запрос до сервера?

[Дмитрий]

Илья: ставьте timeout в своём запросе в приложении и если по таймауту ничего не вернулось (отдельная ветвь обработки этого случая), значит запрос не дошел. В противном случае будет какой-то http response code от сервера

[ikasparov]

Если вы по АПИ запрашиваете что-либо - то 404 это значит то что вы запрашиваете не найдено. Речь про запрашиваемый ресурс, а не скрипт.

То есть если Вы имеете запрос на продукт GET /products/41
404 - Продукт с ИД 41 отсутствует
403 - Отсутствует доступ к ресурсу с ИД 41
500 - Ошибка сервера (вот тут Ваш скрипт не найден)

Answer 4

[Гурбан Гурбанов]

Есть вот ресурс со всеми кодами ответа www.restapitutorial.ru/httpstatuscodes.html