REST, HTTP DELETE та параметри

Чи є щось непогашене у наданні параметрів для HTTP DELETE-запиту?

Мій сценарій полягає в тому, що я моделюю "Ви впевнені, що хочете видалити це?" сценарій. У деяких випадках стан ресурсу говорить про те, що запитуване видалення може бути недійсним. Ви, напевно, можете собі уявити деякі сценарії, де потрібно підтвердження видалення

Ми прийняли рішення - передати параметр запиту на видалення, щоб вказати, що нормально продовжувати видалення ("? Force_delete = true")

напр

DELETE http://server/resource/id?force_delete=true

Я вважаю, що все ще спокійно:

(a) Семантика DELETE не змінюється - користувач може все-таки надіслати звичайний DELETE-запит, але це може бути невдалим із номером 409, і тіло відповіді пояснить, чому. Я кажу, що це може бути невдалим, оскільки (з причин, які не варто пояснювати) в деяких випадках немає підстав спонукати користувача.

(b) У дисертації Роя немає нічого, що дозволяє припустити, що це суперечить духу REST - чому б це було, оскільки HTTP - це лише одна реалізація REST, тому чому передача параметрів HTTP має значення

Чи може хтось вказати мені на остаточне твердження про те, що цвяхи є причиною, чому це не ВІДПОВІДНО?

Що стосується питання, якщо користувач не вказав force_delete, то я повертаюся 409 Conflict- це найбільш підходящий код відповіді?

Слідувати

Після деяких подальших досліджень я думаю, що додавання параметрів до DELETE може порушити декілька принципів.

Перший полягає в тому, що реалізація, можливо, порушує "Уніфікований інтерфейс" (див. Розділ 5.1.5 дисертації Роя

Додаючи "force_delete", ми додаємо додаткове обмеження на вже чітко визначений метод DELETE. Це обмеження має значення лише для нас.

Ви також можете стверджувати, що він порушує "5.1.2 клієнт-сервер", оскільки діалог підтвердження насправді викликає занепокоєння інтерфейсу, і знову не всі клієнти захочуть підтвердити видалення.

Пропозиції кому?

Ні, це не ВІДПОВІДНО. Єдина причина, чому вам слід вводити verged ( force_delete) в URI, це якщо вам потрібно буде перевантажувати GET / POST методи в середовищі, де методи PUT / DELETE недоступні. Судячи з використання методу DELETE, це не так.

Код помилки HTTP 409/Conflictповинен використовуватися в ситуаціях, коли виникає конфлікт, який заважає службі RESTful виконувати операцію, але все ж є ймовірність, що користувач міг би вирішити конфлікт сам. Підтвердження попереднього видалення (де немає реальних конфліктів, які заважали б видаленню) не є конфліктом сам по собі, оскільки ніщо не заважає API виконувати запитувану операцію.

Як сказав Олексій (я не знаю, хто його порушив, він прав), це слід вирішувати в інтерфейсі, оскільки служба RESTful як така просто обробляє запити і тому повинна бути без громадянства (тобто вона не повинна покладатися на підтвердження, тримаючи будь-яку інформацію про запит на стороні сервера).

Два приклади, як це зробити в інтерфейсі, можна зробити:

• pre-HTML5 : * покажіть користувачеві діалогове вікно підтвердження JS та надішліть запит, лише якщо користувач підтвердить це
• HTML5 : * використовуйте форму з дією DELETE, де форма міститиме лише кнопки "Підтвердити" та "Скасувати" ("Підтвердити" була б кнопкою подання)

(*) Зауважте, що версії HTML до 5 не підтримують методи PUT і DELETE HTTP спочатку, проте більшість сучасних браузерів можуть виконувати ці два способи за допомогою AJAX-дзвінків. Детальну інформацію про підтримку крос-браузера див. У цій темі .

Оновлення (на основі додаткових розслідувань та обговорень):

Сценарій, коли служба вимагає наявності force_delete=trueпрапора, порушує єдиний інтерфейс , визначений у дисертації Роя Філдінга. Крім того, згідно з HTTP RFC , метод DELETE може бути замінений на початковому сервері (клієнті), маючи на увазі, що це не робиться на цільовому сервері (службі).

Отже, як тільки сервіс отримує DELETE-запит, він повинен обробити його, не потребуючи додаткового підтвердження (незалежно від того, чи служба насправді виконує операцію).

Я думаю, це неспокійно. Я не думаю, що спокійний сервіс не повинен відповідати вимозі змусити користувача підтвердити видалення. Я б вирішив це в інтерфейсі користувача.

Чи має значення вказати force_delete = true, якщо це API програми? Якщо хтось писав сценарій для видалення цього ресурсу, ви хочете змусити їх вказати force_delete = true, щоб фактично видалити ресурс?

Це старе питання, але ось кілька коментарів ...

1. У SQL команда DELETE приймає параметр "CASCADE", який дозволяє вказати, що залежні об'єкти також слід видалити. Це приклад параметра DELETE, який має сенс, але "man rm" може надати іншим. Як би ці випадки могли бути реалізовані в REST / HTTP без параметра?
2. @Jan, мабуть, є усталеною умовою, що частина шляху URL-адреси ідентифікує ресурс, тоді як рядок запитів не (принаймні, не обов'язково). Прикладів багато: отримання одного і того ж ресурсу, але в іншому форматі, отримання конкретних полів ресурсу тощо. Якщо ми розглядаємо рядок запитів як частину ідентифікатора ресурсу, неможливо мати поняття "різні погляди одного ресурсу" не звертаючись до таких механізмів, які не є RESTful, такими як узгодження HTTP-вмісту (що може бути небажаним з багатьох причин).

Окрім відповіді Алекса:

Зауважте, що http: // server / resource / id? Force_delete = true ідентифікує інший ресурс, ніж http: // server / resource / id . Наприклад, велика різниця в тому, чи ви видалите / замовники /? Статус = старий чи / клієнти /.

Січ