Код відповіді HTTP для POST, коли ресурс уже існує

Я будую сервер, який дозволяє клієнтам зберігати об’єкти. Ці об'єкти повністю побудовані на стороні клієнта, а також ідентифікатори об'єкта, які є постійними протягом усього терміну експлуатації об'єкта.

Я визначив API, щоб клієнти могли створювати або змінювати об'єкти за допомогою PUT:

PUT /objects/{id} HTTP/1.1
...

{json representation of the object}

{Id} - ідентифікатор об'єкта, тому він є частиною URI-запиту.

Тепер я також розглядаю можливість дозволити клієнтам створити об'єкт за допомогою POST:

POST /objects/ HTTP/1.1
...

{json representation of the object, including ID}

Оскільки POST позначається як операція "додавання", я не впевнений, що робити у випадку, якщо об'єкт вже є. Чи повинен я ставитись до запиту як до запиту на модифікацію чи повинен повернути якийсь код помилки (який)?

Моє почуття є 409 Conflictнайбільш підходящим, проте, рідко, звичайно, це спостерігається:

Запит не вдалося виконати через конфлікт із поточним станом ресурсу. Цей код дозволений лише в тих випадках, коли очікується, що користувач зможе вирішити конфлікт і подати повторно запит. Орган реагування ДОЛЖЕН би включити достатньо інформації, щоб користувач міг розпізнати джерело конфлікту. В ідеалі суб'єкт відповіді повинен містити достатню кількість інформації для користувача або агента користувача, щоб вирішити проблему; однак це може бути неможливим і не потрібно.

Конфлікти, швидше за все, виникають у відповідь на запит PUT. Наприклад, якщо використовувались версії і сутність PUT включала зміни до ресурсу, які суперечать тим, які були зроблені попереднім (стороннім) запитом, сервер може використовувати відповідь 409, щоб вказати, що він не може виконати запит . У цьому випадку суб'єкт відповіді, ймовірно, міститиме список відмінностей між двома версіями у форматі, визначеному відповіддю Content-Type.

У відповідності з RFC 7231 , A 303 See Other МОЖЕ використовуватися Якщо результат обробки POST буде еквівалентно поданням існуючого ресурсу .

Особисто я йду з розширенням WebDAV 422 Unprocessable Entity.

За даними RFC 4918

Код 422 Unprocessable Entityстатусу означає, що сервер розуміє тип вмісту об'єкта запиту (отже, 415 Unsupported Media Typeкод статусу є невідповідним), а синтаксис об'єкта запиту є правильним (таким чином, 400 Bad Requestкод статусу є невідповідним), але не зміг обробити містяться інструкцій.

Вся справа в контексті , а також, хто відповідає за обробку дублікатів у запитах (сервер, клієнт або обидва)

Якщо сервер просто вказує дублікат , подивіться на 4xx:

• 400 Поганий запит - коли сервер не обробляє запит, оскільки це очевидна помилка клієнта
• 409 Конфлікт - якщо сервер не буде обробляти запит, але причина цього не з вини клієнта
• ...

Для неявного поводження з дублікатами подивіться на 2XX:

• 200 ОК
• 201 Створено
• ...

якщо очікується, що сервер щось поверне , подивіться на 3XX:

• 302 Знайдено
• 303 Див. Інше
• ...

коли сервер може вказати на наявний ресурс, це передбачає перенаправлення.

Якщо вищезазначеного недостатньо, завжди корисно підготувати деяке повідомлення про помилку в тілі відповіді.

Можливо, пізно до гри, але я натрапив на це питання семантики, намагаючись зробити API REST.

Щоб трохи розширити відповідь Вріккена, я думаю, ви могли б використовувати 409 Conflictабо 403 Forbiddenзалежно від ситуації - коротше кажучи, використовувати помилку 403, коли користувач не може зробити абсолютно нічого для вирішення конфлікту та завершення запиту (наприклад, він не може надіслати DELETEзапит явно видалити ресурс) або використовувати 409, якщо щось можливо зробити.

10.4.4 403 Заборонено

Сервер зрозумів запит, але відмовляється його виконувати. Авторизація не допоможе, і запит НЕ повинен повторюватися. Якщо метод запиту не був HEAD і сервер бажає оприлюднити, чому запит не був виконаний, він ДОЛЖЕН описувати причину відмови в організації. Якщо сервер не бажає надавати цю інформацію клієнту, замість цього може використовуватися код статусу 404 (Не знайдено).

Сьогодні хтось каже "403", і дозволу або проблеми автентифікації приходить на думку, але специфікація каже, що це в основному сервер, який каже клієнту, що він не збирається цього робити, не запитувати його знову, і ось чому клієнт не повинен 'т.

Що стосується PUTvs. POST... POSTслід використовувати для створення нового примірника ресурсу, коли користувач не має можливості або не повинен створити його ідентифікатор. PUTвикористовується, коли особа ресурсу відома.

9.6 PUT

...

Принципова відмінність запитів POST від PUT відображається в різному значенні Request-URI. URI у запиті POST ідентифікує ресурс, який буде обробляти додану сутність. Цей ресурс може бути процесом прийняття даних, шлюзом до якогось іншого протоколу або окремим об'єктом, який приймає примітки. На відміну від цього, URI у запиті PUT ідентифікує об'єкт, укладений із запитом - агент користувача знає, для чого призначений URI, і сервер НЕ МОЖЕ намагатися застосувати запит до якогось іншого ресурсу. Якщо сервер бажає, щоб запит було застосовано до іншого URI,

ОБОВ'ЯЗКОВО надіслати відповідь 301 (постійно переміщена); користувальницький агент МОЖЕ приймати власне рішення щодо перенаправлення запиту чи ні.

"302 знайдено" для мене звучить логічно. І RFC 2616 говорить, що на нього МОЖЕ відповідати на інші запити, ніж GET і HEAD (а це, безумовно, включає POST)

Але він все ще тримає відвідувача за цією URL-адресою, щоб отримати цей "Знайдений" ресурс, RFC. Щоб перейти безпосередньо до реальної "Знайденої" URL-адреси, слід використовувати "303 See Other", що має сенс, але примушує черговий дзвінок отримати GET наступну URL-адресу. З іншого боку, цей GET є кешованим.

Я думаю, що я використовував би "303 See Other" . Я не знаю, чи можу я відповісти на "річ", знайдену в тілі, але я хотів би зробити це, щоб зберегти один переворот на сервер.

ОНОВЛЕННЯ: Після повторного читання RFC я все ще думаю, що неіснуючий код "4XX + 303 знайдено" має бути правильним. Однак "Конфлікт 409" є найкращим кодом відповідей (на що вказував @Wrikken), можливо, включаючи заголовок Location, що вказує на існуючий ресурс.

Я не думаю, що ти повинен це робити.

POST, як відомо, модифікує колекцію, і вона використовується для СТВОРЕННЯ нового елемента. Отже, якщо ви надсилаєте ідентифікатор (я думаю, це не дуже гарна ідея), ви повинні модифікувати колекцію, тобто змінити елемент, але це заплутано.

Використовуйте його для додавання елемента без ідентифікатора. Це найкраща практика.

Якщо ви хочете захопити UNIQUE обмеження (не ідентифікатор), ви можете відповісти 409, як це можна зробити в запитах PUT. Але не ідентифікатор.

Я б пішов з 422 Unprocessable Entity, який використовується, коли запит недійсний, але питання не в синтаксисі чи автентифікації.

Як аргумент проти інших відповідей, використання будь-якого 4xxкоду без помилок означає, що це не помилка клієнта, і, очевидно, є. Використовувати 4xxкод без помилок для представлення помилки клієнта просто не має сенсу.

Здається, 409 Conflictце найпоширеніша відповідь тут, але, згідно з специфікацією, це означає, що ресурс вже існує і нові дані, які ви застосовуєте до нього, несумісні з його поточним станом. Якщо ви надсилаєтеPOSTзапит, наприклад, із уже взятим іменем користувача, він насправді не суперечить цільовому ресурсу, оскільки цільовий ресурс (ресурс, який ви намагаєтесь створити) ще не розміщений. Це помилка спеціально для контролю версій, коли існує конфлікт між збереженою версією ресурсу та запитуваною версією ресурсу. Це дуже корисно для цієї мети, наприклад, коли клієнт кеширував стару версію ресурсу та надсилає запит, заснований на тій неправильній версії, яка більше не буде умовно дійсною. "У цьому випадку представлення відповідей, ймовірно, міститиме інформацію, корисну для об'єднання відмінностей на основі історії ревізії." Запит на створення іншого користувача з цим ім'ям користувача просто не підлягає обробці і не має нічого спільного з контролем версій.

Для запису 422 - це також код статусу, який GitHub використовує при спробі створити сховище за іменем, яке вже використовується.

Я думаю, що для REST ви просто повинні прийняти рішення щодо поведінки для тієї конкретної системи, і в цьому випадку, я думаю, що "правильна" відповідь була б одним із пари відповідей, наведених тут. Якщо ви хочете, щоб запит зупинився і поводився так, ніби клієнт допустив помилку, яку йому потрібно виправити, перш ніж продовжувати, тоді використовуйте 409. Якщо конфлікт дійсно не такий важливий, і ви хочете продовжувати запит, тоді відповідайте, перенаправляючи клієнт юридичної особи, яку було знайдено. Я думаю, що належні API REST повинні перенаправляти (або принаймні надавати заголовок місцеположення) до кінцевої точки GET для цього ресурсу після POST, так що така поведінка дасть постійний досвід.

РЕДАКТУВАННЯ. Також варто зазначити, що вам слід розглянути PUT, оскільки ви надаєте ідентифікатор. Тоді поведінка проста: "Мені все одно, що там зараз, поклади цю річ". Значить, якщо нічого там немає, воно буде створене; якщо щось там є, його замінять. Я думаю, POST є більш доцільним, коли сервер управляє цим ідентифікатором. Відокремлення двох понять в основному говорить вам, як з цим боротися (тобто PUT є безсильним, тому він повинен працювати завжди до тих пір, поки корисне навантаження підтверджується, POST завжди створюється, тож якщо відбувається зіткнення ідентифікаторів, 409 описує цей конфлікт) .

Ще одне потенційне лікування - це використання PATCH. PATCH визначається як щось, що змінює внутрішній стан і не обмежується додаванням.

PATCH вирішить проблему, дозволивши оновити вже наявні елементи. Див.: RFC 5789: PATCH

Чому б не прийнято 202 ? Це ОК-запит (200-ті роки), помилок клієнта (400) не було, як наслідок.

З 10 визначень коду статусу :

"Прийнято 202. Запит прийнято до обробки, але обробка не завершена."

... тому що його не потрібно було завершувати, тому що воно вже існувало. Клієнт не знає, що це вже існувало, вони нічого поганого не зробили.

Я схиляюсь до того, щоб кинути 202, і повертати аналогічний вміст, до якого /{resource}/{id}повернувся б GET .

Натрапили на це питання під час перевірки правильності коду для повторюваного запису.

Вибачте моє невігластво, але я не розумію, чому всі ігнорують код "300", який чітко говорить про "вибір" чи "неоднозначний"

На мою думку, це був би ідеальний код для побудови нестандартної чи певної системи для власного використання. Я можу помилитися також!

https://tools.ietf.org/html/rfc7231#section-6.4.1

Швидше за все 400 Bad Request

6.5.1. 400 Поганий запит

Код стану 400 (поганий запит) вказує на те, що сервер не може або не обробляє запит через те, що сприймається як помилка клієнта (наприклад, синтаксис неправильного запиту, неправильне обрамлення повідомлення запиту або оманливе маршрутизація запиту).

Оскільки запит містить повторюване значення (значення, яке вже існує), воно може сприйматися як помилка клієнта. Потрібно змінити запит до наступної спроби.
Розглядаючи ці факти, ми можемо зробити висновок як поганий запит HTTP STATUS 400.

А як щодо 208 - http://httpstatusdogs.com/208- вже повідомлено ? Це варіант?

На мою думку, якщо єдине - це повторний ресурс, помилка не повинна виникати. Адже помилок немає ні на стороні клієнта, ні на сервері.