HTTP状态码使用问题

[downdawn]

401未授权，未登录、Token 失效
403禁止访问，已登录但无权限、账号被封

问题一：现在需要jwt的接口，直接访问返回的是403，但是应该是401
问题二：很多地方使用403不合适，比如已注册应该是ConflictError409比较合适

[downdawn]

class CustomHTTPBearer(HTTPBearer):
    async def __call__(self, request: Request) -> HTTPAuthorizationCredentials | None:
        try:
            return await super().__call__(request)
        except HTTPException as e:
            if e.status_code == 403:
                raise TokenError()
            raise e


# JWT authorizes dependency injection
DependsJwtAuth = Depends(CustomHTTPBearer())

合理的话我提个pr

[wu-clan]

这里是因为直接访问没有带 token，没有走内部 token 鉴权，而是 fastapi HTTPBearer 的默认错误

[wu-clan]

不过确实 401 更为合理，尤其是只调用 api 的情况下

[wu-clan]

至于其他错误状态码，则内置越简单越好，很多公司都不会使用标准状态码

[downdawn]

是的，fastapi HTTPBearer默认的是403，不知道是出于什么考虑。但是对前端来说，返回401应该是更加合理的，我知道要去跳转去登录，如果是403，前端显示的是权限不足的提示

[wu-clan]

class CustomHTTPBearer(HTTPBearer):
    async def __call__(self, request: Request) -> HTTPAuthorizationCredentials | None:
        try:
            return await super().__call__(request)
        except HTTPException as e:
            if e.status_code == 403:
                raise TokenError()
            raise e


# JWT authorizes dependency injection
DependsJwtAuth = Depends(CustomHTTPBearer())

合理的话我提个pr

让我们先创建 pr

1. 异常处理部分是否可以直接简化为 raise TokenError()？
2. 需要添加注释指向 issues：HTTPBearer security scheme is returning 403 instead or 401 fastapi/fastapi#10177