http 安全性和幂等性

幂等性和安全性是HTTP方法的属性。 HTTP RFC定义了这些属性，并告诉我们哪些HTTP方法是安全且幂等的。 服务器应用程序应确保正确执行安全和幂等的语义，如客户端期望的那样。

安全的HTTP方法

如果HTTP方法不更改服务器状态，则认为它们是安全的。 因此，安全方法只能用于只读操作。 HTTP RFC定义了以下安全方法：GET，HEAD，OPTIONS和TRACE。

实际上，通常不可能以不更改任何服务器状态的方式来实现安全方法。

例如，GET请求可能会创建日志或审核消息，更新统计值或触发服务器上的缓存刷新。

RFC在这里告诉我们：

当然，不可能确保服务器不会由于执行GET请求而产生副作用； 实际上，一些动态资源认为该功能。 这里的重要区别是用户没有要求副作用，因此不能对它们负责。

幂等HTTP方法

幂等意味着多个相同的请求将具有相同的结果。 因此，发送请求一次还是多次都没有关系。 以下HTTP方法是幂等的：GET，HEAD，OPTIONS，TRACE，PUT和DELETE。 所有安全的HTTP方法都是幂等的，但PUT和DELETE是幂等的，但并不安全。

请注意，幂等性并不意味着服务器必须对每个请求以相同的方式进行响应。

例如，假设我们要使用DELETE请求通过ID删除项目：

 DELETE /projects/ 123 HTTP/ 1.1 

作为响应，我们可能会收到HTTP 200状态代码，指示该项目已成功删除。 如果我们再次发送此DELETE请求，则可能会收到HTTP 404作为响应，因为该项目已被删除。 第二个请求没有更改服务器状态，因此即使我们得到不同的响应，DELETE操作也是幂等的。

幂等性是API的一个积极特性，因为它可以使API更具容错性。 假设客户端存在问题，并且请求被多次发送。 只要使用幂等操作，就不会在服务器端造成任何问题。

HTTP方法概述

下表总结了哪些HTTP方法是安全且幂等的：

HTTP方法	安全	幂等
得到	是	是
头	是	是
选件	是	是
跟踪	是	是
放	没有	是
删除	没有	是
开机自检	没有	没有
补丁	没有	没有

翻译自: https://www.javacodegeeks.com/2020/02/http-methods-idempotency-and-safety.html

http 安全性和幂等性