Я вважаю, що ви можете перевести методи LOGIN & LOGOUT в основні операції CRUD CREATE & DELETE. Оскільки ви створюєте новий ресурс під назвою SESSION і знищуєте його при виході з системи:
- POST / login - створює сеанс
- DELETE / logout - знищує сеанс
Я б ніколи не робив LOGOUT as GET, тому що кожен міг здійснити атаку, просто надіславши електронне повідомлення з тегом IMG або посиланням на веб-сайт, де такий тег IMG існує. ( <img src="youtsite.com/logout" />
)
PS Довгий час мені було цікаво, як би ви створили RESTful вхід / вихід, і виявилося, що це дійсно просто, ви робите це так само, як я описав: використовуйте / сеанс / кінцеву точку з методами CREATE та DELETE, і у вас все добре. Ви також можете використовувати UPDATE, якщо хочете оновити сесію тим чи іншим способом ...