1
我一直在設計時遵循良好的RESTful API實踐。其中一人恰好是非常簡單和常見的弟妹難追:REST API,HTTP動詞和訪問日誌
- 使用
GET
HTTP動詞來獲取資源
爲什麼?考慮你有一個URI來獲取賬戶信息如下:
凡AXY_883772
是在銀行系統中的帳戶ID。安全審計將提出一個警告,指出:
- 帳戶ID將出現在HTTP訪問日誌
- 帳戶ID可能會在瀏覽器的歷史緩存(儘管不太可能使用瀏覽器經常訪問一個RESTful API)
他們最終通過「推薦」應該使用動詞POST
來代替。
所以,我的問題是:
我們能做些什麼呢?只要遵循安全建議並避免在大多數情況下使用GET
?使用某種特殊的APACHE/IIS/NGINX訪問日誌配置,以避免日誌訪問某些URL?
我想說,當它不適用於您的項目時不要編寫RESTful。 – kapa 2012-07-13 13:46:23