Abbiamo un server di autorizzazione che ha il compito di controllare la validità, la scadenza dei token ecc. Quale codice di stato HTTP dovrebbe essere restituito se il server di autorizzazione è inattivo?
Dovrebbe essere 401 con il messaggio "Server di autorizzazione inattivo", errore 500 o qualcos'altro?
503 Servizio non disponibile
The 503 (Service Unavailable) status code indicates that the server is currently unable to handle the request due to a temporary overload or scheduled maintenance, which will likely be alleviated after some delay. The server MAY send a Retry-After header field (Section 7.1.3) to suggest an appropriate amount of time for the client to wait before retrying the request.
503 è preferibile a 4xx perché comunica correttamente che la richiesta stessa andava bene, che il problema risiede sul server, e riprovare la richiesta in un secondo momento dovrebbe funzionare.
503 è preferibile a 500 perché fa un lavoro migliore esprimendo il fatto che la condizione dovrebbe essere temporanea (specialmente nel caso in cui il server di origine sia in grado di fornire Retry-After).
Arte nota:
Leggi altre domande sui tag rest microservices http-response authorization