REST API: користувацькі заголовки HTTP проти параметрів URL

Коли ви використовуєте власні заголовки HTTP у частині запиту REST API?

Приклад:

Чи могли б ви коли-небудь використовувати

GET /orders/view 
(custom HTTP header) CLIENT_ID: 23

замість

GET /orders/view/client_id/23 or 
GET /orders/view/?client_id=23

URL-адреса вказує на сам ресурс. А «клієнт» є ресурсом , який можна впливати, так повинно бути частиною базового URL: /orders/view/client/23.

Параметри - саме це, щоб параметризувати доступ до ресурсу. Це особливо вступає в гру зі стовпчиками та пошуки: /orders/find?q=blahblah&sort=foo. Там тонка грань між параметрами і суб-ресурсів: /orders/view/client/23/active versus /orders/view/client/23?show=active. Для пошуку я рекомендую стиль підресурсу та параметри резерву.

Оскільки кожна кінцева точка репрезентує перенесення стану (для маніпуляції мнемонікою), користувацькі заголовки слід використовувати лише для речей, які не включають ім'я ресурсу (url), стан ресурсу (тіло) або параметри безпосередньо впливає на ресурс (параметри). Це залишає справжні метадані про запит на власні заголовки.

HTTP має дуже широкий вибір заголовків, які охоплюють майже все, що вам потрібно. Там, де я бачив власні заголовки, з’являється система для системного запиту, що працює від імені користувача. Проксі-система перевірить користувача та додасть " X-User: userid" до заголовків та використає системні облікові дані для досягнення кінцевої точки. Система, що отримує, перевіряє, що облікові дані системи мають дозвіл діяти від імені користувача, а потім перевіряє, що користувач уповноважений виконувати дію.

Спеціальні заголовки мають наступні переваги:

• Легко читаються мережевими інструментами / сценаріями (автентифікація, метаінформація, ...)
• Зберігає URL-адреси без захисних матеріалів (безпечніше, не в кешах браузера / проксі-сервера)
• Зберігає URL-адреси чистішими: дозволяє покращити кешування ресурсів

Я використовував би спеціальний заголовок лише тоді, коли немає іншого способу передавати інформацію за стандартом чи за домовленістю. Darren102 пояснює типовий спосіб передачі цього значення. Ваш Api буде набагато більш доброзичливим, використовуючи типові візерунки з використанням користувацьких заголовків. Це не означає, що у вас не буде випадку використовувати їх, просто вони повинні бути крайнім засобом і чимось, що ще не обробляється специфікацією HTTP.

Коли ви використовуєте ... заголовки HTTP у частині запиту REST API?

Аутентифікація: GUID, базова автентифікація, власні маркери тощо, наприклад, Базова автентифікація з маркером Guid для REST api замість імені користувача / пароля

Якщо ви берете участь у передачі токенів або іншої інформації, схожої на автентифікацію, між доменами, охопленими PCI-DSS або іншими правилами безпеки, вам також може знадобитися поховати параметри, оскільки деякі правила прямо вимагають, щоб елементи автентифікації не потрапляли в URL-адреси, які можуть бути тривіально відтворені (з історії браузера, журнали проксі тощо).

Не існує стандарту для REST, проте прийнятим був би такий спосіб

GET /orders/view/23

Не використовуючи користувацькі заголовки і, отже, подання 23 після припускає, що це ідентифікатор, отже у вас буде функція, яка приймає ідентифікатор і, отже, виробляє саме цю інформацію.

Я б не використовував власні заголовки, оскільки ви не знаєте, чи передадуть їх будь-які проксі. На основі URL-адреси - це шлях.

GET / orders / view / client / 23

Безумовно, добре:

GET /orders/view/client_id/23 or 
GET /orders/view/?client_id=23

Також добре:

GET /orders/view/23 or 

Я думаю, це теж буде нормально:

POST /orders/view 
(custom HTTP header) CLIENT_ID: 23

Ви можете використовувати спеціальні заголовки, щоб включити більше інформації про частково оброблений запит, враховуючи, що обгортання - це не найкраща практика. Заголовки надійно захищені .