1
我一直在设计时遵循良好的RESTful API实践。其中一人恰好是非常简单和常见的弟妹难追:REST API,HTTP动词和访问日志
- 使用
GET
HTTP动词来获取资源
为什么?考虑你有一个URI来获取账户信息如下:
凡AXY_883772
是在银行系统中的帐户ID。安全审计将提出一个警告,指出:
- 帐户ID将出现在HTTP访问日志
- 帐户ID可能会在浏览器的历史缓存(尽管不太可能使用浏览器经常访问一个RESTful API)
他们最终通过“推荐”应该使用动词POST
来代替。
所以,我的问题是:
我们能做些什么呢?只要遵循安全建议并避免在大多数情况下使用GET
?使用某种特殊的APACHE/IIS/NGINX访问日志配置,以避免日志访问某些URL?
我想说,当它不适用于您的项目时不要编写RESTful。 – kapa 2012-07-13 13:46:23