403 Forbidden
HTTP の 403 Forbidden クライアントエラーレスポンスステータスコードは、サーバーがリクエストを理解したものの、処理を拒否したことを示します。
このステータスは 401 と似ていますが、 403 Forbidden レスポンスが異なるのは、認証または再認証を行っても違いがないことです。
リクエストの失敗は、リソースに対するその権限の不足やアクションなどのアプリケーションロジックに関連したものです。
403 レスポンスを受け取ったクライアントは、リクエストを変更せずに繰り返しても、同じエラーで失敗する可能性があることを想定しておくべきです。
サーバーの所有者は、権限のないクライアントにリソースの存在を通知することが望ましくない場合、404 レスポンスを 403 の代わりに送信することを選択できます。
ステータス
http
403 Forbidden
例
リクエストが権限が不十分なため失敗
次の例のリクエストは、ユーザー管理用の API に対して行われます。
リクエストには Authorization ヘッダーが含まれており、アクセストークンを含む Bearer 認証スキームを使用しています。
http
DELETE /users/123 HTTP/1.1
Host: example.com
Authorization: Bearer abcd123
サーバーはリクエストを認証しましたが、権限が不十分なためアクションは失敗し、レスポンス本体には失敗の理由が格納されています。
http
HTTP/1.1 403 Forbidden
Date: Tue, 02 Jul 2024 12:56:49 GMT
Content-Type: application/json
Content-Length: 88
{
"error": "InsufficientPermissions",
"message": "Deleting users requires the 'admin' role."
}
仕様書
| Specification |
|---|
| HTTP Semantics # status.403 |