Thoát ra: NHẬN hoặc POST?

Câu hỏi này không phải là về thời điểm sử dụng GET hoặc POST nói chung; đó là về một trong những đề xuất để xử lý đăng xuất khỏi ứng dụng web. Tôi đã tìm thấy nhiều thông tin về sự khác biệt giữa GET và POST theo nghĩa chung, nhưng tôi không tìm thấy câu trả lời chắc chắn cho kịch bản cụ thể này.

Là một người theo chủ nghĩa thực dụng, tôi có xu hướng sử dụng GET, bởi vì việc thực hiện nó đơn giản hơn POST; chỉ cần thả một liên kết đơn giản và bạn đã hoàn tất. Điều này dường như là trường hợp với phần lớn các trang web tôi có thể nghĩ ra, ít nhất là từ đỉnh đầu của tôi. Ngay cả Stack Overflow cũng xử lý đăng xuất bằng GET.

Điều khiến tôi ngần ngại là lập luận (mặc dù cũ) rằng một số trang tăng tốc / proxy trang web bộ đệm trước bằng cách truy cập và truy xuất mọi liên kết họ tìm thấy trong trang, vì vậy người dùng nhận được phản hồi nhanh hơn khi cô nhấp vào chúng. Tôi không chắc liệu điều này có còn áp dụng hay không, nhưng nếu đây là trường hợp, thì theo lý thuyết, người dùng có một trong những máy gia tốc này sẽ bị đuổi khỏi ứng dụng ngay khi cô đăng nhập, bởi vì máy gia tốc của cô sẽ tìm và lấy ra đăng xuất liên kết ngay cả khi cô ấy không bao giờ nhấp vào nó.

Tất cả mọi thứ tôi đã đọc cho đến nay đều đề xuất rằng POST nên được sử dụng cho "hành động phá hoại", trong khi các hành động không làm thay đổi trạng thái bên trong của truy vấn giống như ứng dụng và nên được xử lý bằng GET . Dựa trên điều này, câu hỏi thực sự ở đây là:

Việc đăng xuất khỏi ứng dụng có được coi là hành động phá hoại / nó có làm thay đổi trạng thái bên trong của ứng dụng không?

Sử dụng POST.

Trong năm 2010, sử dụng GETcó lẽ là một câu trả lời chấp nhận được. Nhưng hôm nay (năm 2013), các trình duyệt sẽ tìm nạp trước các trang mà họ "nghĩ" bạn sẽ truy cập tiếp theo.

Đây là một trong những nhà phát triển StackOverflow nói về vấn đề này trên twitter:

Tôi muốn cảm ơn ngân hàng của mình vì đã đăng xuất yêu cầu GET và nhóm Chrome đã tìm nạp URL tiện dụng.- Nick Craver ( @Nick_Craver ) ngày 29 tháng 1 năm 2013

sự thật thú vị: StackOverflow được sử dụng để xử lý đăng xuất thông qua GET, nhưng không còn nữa.

Trong REST không nên có phiên, do đó không có gì để hủy. Một khách hàng REST xác thực trên mọi yêu cầu. Đăng nhập hoặc thoát ra, đó chỉ là ảo ảnh.

Những gì bạn thực sự yêu cầu là trình duyệt nên tiếp tục gửi thông tin xác thực trên mỗi yêu cầu.

Có thể cho rằng, nếu ứng dụng của bạn tạo ra ảo ảnh khi đăng nhập, thì bạn sẽ có thể "đăng xuất" bằng cách sử dụng javascript. Không yêu cầu chuyến đi khứ hồi.

Luận án Fielding - Phần 5.1.3

mỗi yêu cầu từ máy khách đến máy chủ phải chứa tất cả thông tin cần thiết để hiểu yêu cầu và không thể tận dụng bất kỳ bối cảnh được lưu trữ nào trên máy chủ. Do đó, trạng thái phiên được giữ hoàn toàn trên máy khách

Một cách GETcó thể bị lạm dụng ở đây là một người (có lẽ là đối thủ cạnh tranh :) đã đặt thẻ hình ảnh với src="<your logout link>"MỌI NƠI trên internet và nếu người dùng trang web của bạn tình cờ thấy trang đó, anh ta sẽ vô tình đăng xuất.

Để chính xác, GET / POST (hoặc các động từ khác) là các hành động trên một số tài nguyên (được giải quyết bằng URL) - vì vậy, nói chung là về trạng thái của tài nguyên chứ không phải về trạng thái ứng dụng như vậy. Vì vậy, trong tinh thần thực sự, bạn nên có một URL như [host name]\[user name]\session, sau đó 'XÓA' sẽ là động từ chính xác cho hành động đăng xuất.

Sử dụng [host name]\bla bla\logoutnhư URL không thực sự là một cách đầy đủ REST (IMO), vậy tại sao lại tranh luận về việc sử dụng GET / POST chính xác trên nó?

Tất nhiên, tôi cũng sử dụng GET để một url đăng xuất trong các ứng dụng của mình :-)

Đăng xuất không làm gì cho chính ứng dụng. Nó thay đổi trạng thái của người dùng liên quan đến ứng dụng. Trong trường hợp này, có vẻ như câu hỏi của bạn dựa nhiều hơn vào cách lệnh nên được bắt đầu từ người dùng để bắt đầu hành động này. Vì đây không phải là "hành động phá hoại", chắc chắn phiên bị bỏ hoặc hủy nhưng ứng dụng hoặc dữ liệu của bạn không bị thay đổi, nên không thể cho phép cả hai phương thức bắt đầu quy trình đăng xuất. Bài đăng nên được sử dụng bởi bất kỳ hành động nào do người dùng khởi tạo (ví dụ: người dùng nhấp vào "Đăng xuất"), trong khi get có thể được dành riêng cho đăng xuất do ứng dụng khởi tạo (ví dụ: một ngoại lệ phát hiện sự xâm nhập của người dùng tiềm năng chuyển hướng đến trang đăng nhập với đăng xuất GET ).

Xin chào theo quan điểm của tôi, khi bạn đăng nhập, bạn kiểm tra tên người dùng / mật khẩu và nếu chúng phù hợp với bạn, hãy tạo mã thông báo đăng nhập.

TẠO mã thông báo => phương thức POST

Khi bạn đang đăng xuất, bạn phân phối mã thông báo, vì vậy với tôi phương thức hợp lý nhất phải là XÓA

XÓA mã thông báo => phương thức XÓA

Kịch bản của bộ nhớ đệm trước là một điều thú vị. Nhưng tôi đoán rằng nếu nhiều trang web không bao giờ lo lắng về điều này thì có lẽ bạn cũng không nên.

Hoặc có lẽ liên kết có thể được thực hiện trong javascript?

Chỉnh sửa: Theo tôi hiểu, về mặt kỹ thuật, một GET nên dành cho các yêu cầu chỉ đọc, không thay đổi trạng thái ứng dụng. POST nên dành cho các yêu cầu ghi / chỉnh sửa thay đổi trạng thái. Tuy nhiên, các vấn đề ứng dụng khác có thể thích NHẬN hơn POST cho một số yêu cầu thay đổi trạng thái và tôi không nghĩ có vấn đề gì với việc này.

Chà, nếu bạn để ứng dụng web của bạn từ bỏ phiên thông qua tập lệnh đăng xuất, bạn thường không cần. Thông thường có một biến phiên duy nhất cho phiên bạn muốn từ bỏ.

Gần đây tôi đang thực hiện một dự án tôi sử dụng GET để đăng xuất Dưới đây là mã trong Nodejs Express và nó hoạt động hoàn toàn tốt

bộ định tuyến của bạn

const express = require("express");
router.get("/signout", signout);

control.js của bạn

exports.signout  = (req, res) => {
        res.clearCookie('t'); //clearing cookie, which is 
            //assign to the user during sign in.          
            res.json({message : 'Signout success'});   
        };

Tôi không thấy cách đăng xuất (giảm quyền người dùng) là một hành động mang tính mô tả. Đó là bởi vì hành động "đăng xuất" chỉ nên có sẵn cho người dùng đã đăng nhập nếu không nó sẽ bị lỗi thời.

Một chuỗi được tạo ngẫu nhiên có trong cookie trình duyệt của bạn là tất cả đại diện cho phiên người dùng của bạn. Có rất nhiều cách để phá hủy nó để đăng xuất hiệu quả chỉ là một dịch vụ cho khách truy cập của bạn.