498 Token expired/invalid ("срок действия токена истек/он недействителен")

Описание

Код состояния 498 Invalid Token — неофициальный статус, используемый в API для указания на то, что предоставленный токен доступа недействителен, повреждён, просрочен или не распознан сервером.

Основные характеристики:

• Часто используется в REST и GraphQL API, особенно с JWT (JSON Web Token)
• Позволяет явно отличить ошибку **недействительного токена** от ошибок аутентификации (401) или авторизации (403)
• Не входит в официальный список HTTP-кодов, но поддерживается многими фреймворками (например, Firebase, Apigee, собственные API)

Типичное использование:

GET /api/user/profile HTTP/1.1
Authorization: Bearer invalid_or_expired_jwt

HTTP/1.1 498 Invalid Token
Content-Type: application/json

{
    "error": "Invalid or expired token",
    "code": 498
}

Особенности заголовков:

• Authorization — содержит просроченный или неправильный токен
• WWW-Authenticate — может быть добавлен для пояснения схемы авторизации

Когда использовать (внутри API):

1. Если передан токен, который не прошёл валидацию (например, неверная подпись или формат)
2. Если срок действия токена истёк (exp), но клиент не обновил его
3. Для разграничения причин отказа при работе с токенами

Дополнительно:

• Неофициальный код: не определён в спецификациях IETF или RFC
• Некоторые сервисы (например, Apigee или Firebase) используют 498 для ошибок JWT
• Можно использовать вместе с 499 (например, для отмены со стороны клиента)
• Официально аналог — 401 Unauthorized, но 498 даёт более точную информацию

Документация: https://http.dev/498

Похожие статусы

499

закрытый запрос клиента