3.6. Результат аутентификации
По завершении аутентификационного обмена сервер передает клиенту сообщение, показывающее результат обмена. Точный формат сообщения определяется протоколом.
Аутентификация завершается отказом, если
- аутентификационный обмен прерван по любой причине;
- клиентские свидетельства (credentials) не были подтверждены;
- сервер не может связать идентификацию со свидетельствами клиента;
- представленная сервером для проверки полномочий строка идентификации имеет некорректный формат;
- идентификация, связанная со свидетельствами клиента, не может использоваться в качестве идентификации при проверке полномочий;
- согласованный уровень защиты (или его отсутствие) не удовлетворяет требованиям;
- сервер по какой-либо причине не желает предоставлять свои услуги клиенту.
Протокол может включать дополнительное поле данных в сообщении о результате аутентификации. Это поле может включать дополнительную информацию лишь в тех случаях, когда аутентификация завершилась успешно.
Если результат аутентификации положительный и уровень защиты согласован, этот уровень устанавливается. Если аутентификация завершилась отказом или уровень защиты не был согласован, сохраняется текущий уровень защиты.
Передаваемое сервером сообщение о результате аутентификации может обеспечивать для клиента способ различать ошибки, при которых лучше всего повторно запросить у пользователя его свидетельства (credentials), от ошибок, при которых лучше всего рекомендовать клиенту обратиться к серверу позднее, или ошибок,при которых пользователю следует обратиться к системному администратору для решения проблем (см. коды откликов SYS и AUTH POP [RFC3206] в качестве примера). Такая возможность полезна, в частности, в периоды запланированного обслуживания сервера, поскольку она позволяет снизить расходы на поддержку. Важно также настроить сервер так, чтобы сообщения о результате аутентификации не позволяли отличить корректного пользователя с некорректными свидетельствами от некорректного пользователя.