幂等性和安全性是HTTP方法的属性。 HTTP RFC定义了这些属性,并告诉我们哪些HTTP方法是安全且幂等的。 服务器应用程序应确保正确执行安全和幂等的语义,如客户端期望的那样。
安全的HTTP方法
如果HTTP方法不更改服务器状态,则认为它们是安全的。 因此,安全方法只能用于只读操作。 HTTP RFC定义了以下安全方法:GET,HEAD,OPTIONS和TRACE。
实际上,通常不可能以不改变任何服务器状态的方式来实现安全方法。
例如,GET请求可能会创建日志或审核消息,更新统计值或触发服务器上的缓存刷新。
RFC在这里告诉我们:
自然地,不可能确保服务器不会由于执行GET请求而产生副作用; 实际上,一些动态资源认为该功能。 这里的重要区别是用户没有要求副作用,因此不能对它们负责。
幂等HTTP方法
幂等意味着多个相同的请求将具有相同的结果。 因此,发送请求一次还是多次都没有关系。 以下HTTP方法是幂等的:GET,HEAD,OPTIONS,TRACE,PUT和DELETE。 所有安全的HTTP方法都是幂等的,但PUT和DELETE是幂等的,但并不安全。
请注意,幂等性并不意味着服务器必须对每个请求以相同的方式进行响应。
例如,假设我们要使用DELETE请求通过ID删除项目:
DELETE /projects/ 123 HTTP/ 1.1
作为响应,我们可能会收到HTTP 200状态代码,指示该项目已成功删除。 如果我们再次发送此DELETE请求,则可能会收到HTTP 404作为响应,因为该项目已被删除。 第二个请求没有更改服务器状态,因此即使我们得到不同的响应,DELETE操作也是幂等的。
幂等性是API的一项积极功能,因为它可以使API更具容错性。 假设客户端存在问题,并且请求被多次发送。 只要使用幂等操作,就不会在服务器端造成任何问题。
HTTP方法概述
下表总结了哪些HTTP方法是安全的和幂等的:
HTTP方法 | 安全 | 等幂的 |
得到 | 是 | 是 |
头 | 是 | 是 |
选项 | 是 | 是 |
跟踪 | 是 | 是 |
放 | 没有 | 是 |
删除 | 没有 | 是 |
开机自检 | 没有 | 没有 |
补丁 | 没有 | 没有 |
翻译自: https://www.javacodegeeks.com/2020/02/http-methods-idempotency-and-safety.html