Единообразно.
Если GET - то URL
если POST - то в BODY, а в URL ни ни.
Rest services. Best Practices.
-
newyorker
- Уже с Приветом
- Posts: 292
- Joined: 09 Aug 2007 21:20
- Location: new york
Re: Rest services. Best Practices.
Мотивирует тем что нужно - передавать параметры "через одно и то же место "
Единообразно.
Если GET - то URL
если POST - то в BODY, а в URL ни ни.
Единообразно.
Если GET - то URL
если POST - то в BODY, а в URL ни ни.
-
Леонид Ильич Брежнев
- Уже с Приветом
- Posts: 8632
- Joined: 22 Mar 2011 01:40
Re: Rest services. Best Practices.
Пригласили меня тут на консультацию в одну из Капиталистичеких Партий на востоке (Коммунисты бы до такого не додумались). У них тут обратная задача. В HTTP GET запросах (URL) они хотят передавать sensitive информацию в request body. И проблемa даже не в том, что стандарт этого не запрещает, и даже не в том, что возврат HTTP STATUS CODE в зависимости от данных в body это в принципе against стандaрта (это в конце концев пол беды - кто контролирует web service, тот и определяет политику). Проблемa в том, что похоже нету клиентов окромя curl который в принципе может передавать body в HTTP GET. A народ хочет поддержку клиентов на чуть ли не всех программных языках. Кто что думает на сей счет?
И, предвосхищая возможный ответ, возникает вопрос, а как можно эффективно "шифровать" sensitive информацию, если ее таки прийдется в URL передавать. Что-нибудь из хороших и быстрых решений под Java.
Спасибо,
Л.И.
И, предвосхищая возможный ответ, возникает вопрос, а как можно эффективно "шифровать" sensitive информацию, если ее таки прийдется в URL передавать. Что-нибудь из хороших и быстрых решений под Java.
Спасибо,
Л.И.
-
kostik78
- Уже с Приветом
- Posts: 3175
- Joined: 17 May 2007 14:07
Re: Rest services. Best Practices.
А чем им POST помешал? Если хотят потдержку на всех языках пускай не выеживаються и делают POST Иначе им надо самим разрабатывать клиента под свой сервис что в принципе может оказаться непосильной ношей.
По поводу шифрования URL честно говоря не слышал такого не разу. Обычно пытаються гарантировать что URL в пути никто не подифицировал и используют HMAC. Конечно можно извратиться и зашифровать "на коленке" но опять какую задачу решают? Для таких целей обычно https используют тогда все зашифровано peer to peer
Бояться ssl-proxy - пускай используют mutial authorization.
Иначе им надо самим разрабатывать клиента под свой сервис что в принципе может оказаться непосильной ношей.По поводу шифрования URL честно говоря не слышал такого не разу. Обычно пытаються гарантировать что URL в пути никто не подифицировал и используют HMAC. Конечно можно извратиться и зашифровать "на коленке" но опять какую задачу решают? Для таких целей обычно https используют тогда все зашифровано peer to peer
Бояться ssl-proxy - пускай используют mutial authorization.-
Леонид Ильич Брежнев
- Уже с Приветом
- Posts: 8632
- Joined: 22 Mar 2011 01:40
Re: Rest services. Best Practices.
Там была интересная беседа, собственно говоря речь идет не столько об (1) HTTP GET, сколько об попытке придумать (2) HTTP SEARCH (эдакий экстеншен к стандартному REST). Так вот (1) оставят HTTP GET-ом, а (2) реализуют через HTTP POST. При этом проблема шифровки и различных man in the middle attack, она откладывается до будущих времен. Типа закрыли глаза и значит спрятались