J'ai essayé de suivre de bonnes pratiques d'API RESTful lors de leur conception. L'un d'entre eux qui se trouve être très simple et commun ne cesse de se difficile à suivre:API REST, verbes HTTP et JOURNAUX D'ACCES
- Utilisez
GET
verbe http pour récupérer les ressources
Pourquoi? Considérez-vous un URI pour obtenir des informations de compte comme ceci:
Où AXY_883772
est un identifiant de compte dans un système bancaire. Audit de sécurité soulèvera un avertissement indiquant que:
- ID de compte apparaîtra sur l'accès HTTP JOURNAUX
- ID du compte peut se cache sur l'histoire du navigateur (même si il est peu probable d'utiliser un navigateur régulièrement pour accéder à un RESTful API)
Et ils finissent par "recommander" que verbe POST
devrait être utilisé à la place.
Alors, ma question est:
Que pouvons-nous faire à ce sujet? Il suffit de suivre les recommandations de sécurité et éviter d'utiliser GET
la plupart du temps? Utiliser une sorte de configuration spéciale du journal d'accès APACHE/IIS/NGINX pour éviter de consigner l'accès à certaines URL?
Je dirais ne pas écrire RESTful quand il ne s'applique pas à votre projet. – kapa