1
假設我更新的員工記錄我們是否應該始終在HTTP PUT請求中驗證url和body中的資源ID?
網址 - /api/employees/10
體 -
{
id : 10,
name : xyz
}
我應該驗證在URL中的員工ID是一樣的反應呢?由於一名員工可以自己點擊網址,但通過在PUT正文中發送另一個值來更新另一名員工的數據。
A
回答
0
如果您必須驗證,那麼您可能希望使用POST。 POST不是冪等的,你應該管理這個變化。
PUT是冪等的,它只是創建一個資源。這意味着你實際上並不關心什麼是id 10,以及它是一個新的id還是一個現有的id。您只需使用您提供的資源替換ID 10。你只有在知道uri應該是什麼時才使用PUT。
+0
我完全不同意。 PUT用於當您想要更新(創建新的*或*替換現有的)位於URI的資源。當您想要告訴該資源執行某些操作時,POST是用於。聽起來PUT非常適合OP的用例。當使用PUT時,服務器當然可以*應該*驗證用戶試圖放置的對象是否合理並且可以接受:格式正確,是否自我一致,是否違反其他對象的約束,等等... – Celada 2013-05-11 10:57:35
0
是的,如果對象在表體中包含自己的鍵,則應驗證它是否與URL中的鍵匹配。對於客戶端來說,嘗試在/api/employees/10上放置一個對於員工#10的記錄不是有效值的對象時出錯,因此應該檢查該對象並將其報告爲錯誤,就像檢查對象是否具有正確的語法。
我相信在這種情況下返回的最佳錯誤代碼是422 Unprocessable Entity,但我可能是錯誤的。
你可以做的另一件事是在身體中不要包含任何鑰匙。然而,我發現保持關鍵是與API的其他部分(可能嵌入其他對象內部)表示同一類型的對象的方式保持一致。使用XML時尤其如此(儘管看起來您在這裏使用JSON)。
相關問題
- 1. 如何指定python請求http put body?
- 2. 我們是否應該始終在特質中使用`override`
- 3. 我是否應該對資源URL進行PUT,POST和DELETE?如果我從嵌套路由中請求了一個集合,我發起了一個GET請求?
- 4. REST API PUT請求更新資源
- 5. Http PUT在body body中:錯誤的請求錯誤,無法解析API令牌
- 6. Rest資源始終由Id?
- 7. 我應該在REST API響應中包含URL還是資源ID?
- 8. 請求的資源不支持HTTP mehod「Put」
- 9. ASP.NET Web Api「請求的資源不支持http方法PUT/DELETE」
- 10. 驗證PUT動作的資源
- 11. 是否應該在Jmeter中記錄HTTP請求?
- 12. 重寫PUT請求的URL
- 13. 資源請求驗證,服務或業務層的責任?
- 14. 驗證請求的HTTP響應
- 15. Tomcat Web服務器上的資源的HTTP請求是否鎖定資源?
- 16. 在沒有提供ID的情況下,資源上的PUT請求的正確HTTP狀態碼是什麼?
- 17. 響應在Jemter web方法是 「否HTTP資源發現匹配的請求URI」
- 18. 發送HTTP請求(驗證請求)
- 19. REST:我們是否可以部分執行POST/PUT/DELETE資源以同時執行多個請求的API
- 20. 通過驗證的代理和驗證的http資源捲曲
- 21. 在REST中驗證代表資源和子資源的輸入
- 22. 驗證iPhone HTTP請求
- 23. 在REST中,我是否應該返回表示以響應PUT?
- 24. HTTP身份驗證和SOAP請求
- 25. Laravel:拒絕驗證中的空PUT請求
- 26. 相對URL是否創建HTTP請求?
- 27. HTTP資源的父路徑應該總是有資源嗎?
- 28. 我們是否應該始終保留JavaScript內置對象方法的副本?
- 29. C#HTTP PUT請求代碼
- 30. PUT http請求查詢
聽起來像你已經回答了你自己的問題。如果你不信任用戶,他們可以以你不想要的方式使用你的系統,那麼**是**驗證! – 2013-04-07 09:02:46
但是,如果這是一般情況,那麼首先應該永遠不允許在PUT請求中使用IDS。爲什麼複製數據和驗證? – 2013-04-07 09:09:30