Web API已经在最近几年变成重要的话题,一个干净的API设计对于后端系统是非常重要的。 ...通常我们为Web API使用RESTful设计,REST概念分离了API结构和逻辑资源,通过Http方法GET, DELETE, POST 和 PUT来操作资源。 ...car 该方法不允许(405) 更新一个指定的资源 擅长指定资源 不要使用: /getAllCars /createNewCar /deleteAllRedCars 2.Get方法和查询参数不应该涉及状态改变...使用PUT, POST 和DELETE 方法 而不是 GET 方法来改变状态,不要使用GET 进行状态改变: GET /users/711?...链接到下一页或上一页可以在HTTP头的link规定,遵循Link规定: Link: api/v1/cars?
请求方法 如果请求头中存在 X-HTTP-Method-Override 或参数中存在 _method(拥有更高权重),且值为 GET, POST, PUT, DELETE, PATCH, OPTIONS...比如在创建已经被创建的资源时,可以返回 303 307 Temporary Redirect : 对应当前请求的响应可以在另一个 URI 上被找到,客户端应该保持原有的请求方法进行请求。...主要使用场景在于实现并发控制 412 Precondition Failed : 服务器在验证在请求的头字段中给出先决条件时,没能满足其中的一个或多个。...405 Method Not Allowed : 不允许执行目标方法,响应中应该带有 Allow 头,内容为对该资源有效的 HTTP 方法 406 Not Acceptable : 服务器不支持客户端请求的内容格式...这个时候可以使用 Last-Modified 和/或 ETag 头来实现条件请求,支持乐观并发控制。 下文只考虑使用 PUT 和 PATCH 方法更新资源的情况。
当开发REST API时,从一开始就必须注意安全方面。 REST是通过URL路径元素表达系统中特定实体的手段。REST不是一个架构,而是一种在Web上构建服务的架构风格。...(4)防止跨站点请求伪造 对于RESTful Web服务公开的资源,重要的是确保任何PUT,POST和DELETE请求都受到防止跨站点请求伪造的保护。 通常,使用基于令牌的方法。...当设计REST API时,不要只使用200成功或404错误。 以下是每个REST API状态返回代码要考虑的一些指南。 正确的错误处理可以帮助验证传入的请求,并更好地识别潜在的安全风险。...200 OK -回应一个成功的REST API的行动。HTTP方法可以是GET,POST,PUT,PATCH或DELETE。 400错误请求 -请求格式错误,如消息正文格式错误。...405不允许的方法 -意外的HTTP方法的错误检查。 例如,RestAPI期待HTTP GET,但使用HTTP PUT。
因为现在都用的spring配置的,很少用到servlet了,今天想写一个demo,结果报了一个405的错误…………………真的是打扰了……. 405概念 请求行中指定的请求方法不能被用于请求相应的资源...鉴于 PUT,DELETE 方法会对服务器上的资源进行写操作,因而绝大部分的网页服务器都不支持或者在默认配置下不允许上述请求方法,对于此类请求均会返回405错误。...其实就是说你访问了不是你能访问了,例如你使用post方法访问静态资源,Apache、IIS、Nginx等绝大多数web服务器,都不允许静态文件响应POST请求 那么我的这个问题是在哪里呢?...image.png super.doGet(req,resp);我忘记注释掉了……………………… 以前只知道要注释掉,但不知道是为什么,今天我点进去看了一下里面是怎么写的………. protected void...如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
通常我们使用RESTFul(Representational State Transfer)的设计方式来设计Web api,这通常用来分离API结构了业务逻辑,它使用典型的HTTP方法,诸如GET,POST.DELETE...Get方法和查询参数不应该改变资源状态 使用Put,Post和Delete方法替代Get方法来改变资源状态。不要使用Get来使状态改变: GET /users/711?...使用HTTP头决定序列化格式 在客户端和服务端都需要知道使用什么格式来进行通信,这个格式应该在HTTP头中指定: Content-Type:定义请求的格式; Accept :定义允许的响应格式的列表...sort=-manufactorer,+model 字段选择 一些情况下,我们只需要在列表中查询几个有标识意义的字段,我们不需要从服务端把所有字段的值都请求出来,所以需要支持API选择查询字段的能力,这也可以提到网络传输性能和速度...版本化你的API 确保强制实行API版本,并且不要发布一个没有版本的API,使用简单的序列数字,避免使用2.5.0这样的形式: /blog/api/v1 9.
说了这么多,我们为什么要使用RESTful架构?使用RESTful架构有什么好处?...,也可使用动词,例如:search没有对应的HTTP方法,可以在路径中使用search,更加直观; URI中的名词表示资源集合,使用复数形式; 虽然/在URI中表达层级,但是避免为了追求REST导致层级过深...这些状态码可以帮助API消费者用来路由它们获取到的响应内容。整理了一个你肯定会用到的状态码列表: 200 OK – 对成功的GET、PUT、PATCH或DELETE操作进行响应。...如今,你的web API可以从任何有互联网的地方(像图书馆,咖啡馆,机场等等)被访问到。这些地方并不都是安全的。...在进行分页查询时可以返回下一页的URI,如果没有说明服务器已经取到最后一条数据了,客户端可以减少不必要的请求以及URI的构造,建议在分页的情况下使用。
因此,有必要说明一下,为什么要禁止除GET和POST之外的HTTP方法。 换句话说,对于这些HTTP不安全方法,到底有多不安全呢?...一、HTTP请求方法有哪些 根据HTTP标准,HTTP请求可以使用多种方法,其功能描述如下所示。...而其它方法出于安全考虑被禁用,所以在实际应用中,九成以上的服务器都不会响应其它方法,并抛出404或405错误提示。...的 readonly参数默认是true,即不允许DELETE和PUT操作,所以通过PUT或DELETE方法访问,就会报403错误。...自纠自查方面,可以使用OPTIONS方法遍历服务器使用的HTTP方法。但要注意的是,不同目录中激活的方法可能各不相同。而且许多时候,虽然反馈某些方法有效,但实际上它们并不能使用。
1 你一直在错误的使用http协议 现在微服务真是火的一塌糊涂!大街小巷,逢人必谈微服务,各路大神纷纷忙着把自家的单体服务拆解成多个Web微小服务!...使用HTTP方法GET、DELETE、POST和PUT操作资源。 设计糟糕的REST API = 浪费时间! 优秀的API就像一位艺术家在舞台上表演,其用户就是观众,能给所有人带来赏心悦目的美感!...例如/schools/清华/students,返回所有清华大学的学生 POST方法请求服务器在数据库中创建资源,主要是在提交Web表单时。...PUT是幂等的,这意味着多个请求将具有相同的效果。 DELETE方法请求从数据库中删除资源或其实例。 /schools/清华/students/张三,从清华大学的学生集合中,删除学生张三的资源。...下面是Http状态码,可以合理利用处理各种请求反馈,将http自身的错误和服务器内部的错误,有一个很好的区分。 2xx(成功类别) 200 Ok表示GET,PUT或POST成功的标准HTTP响应。
GET :获取(Read) POST:新建 (Create) PUT:更新(Update) PATCH:更新(Update); 部分更新 DELETE:删除(Delete) 有一些客户端只能使用GET和...我们在设计URL时要注意避免多级URL。常见的情况是,资源需要多级分类,因此很容易写出多级的URL,比如获取某个作者的某一类文章。...每一种状态码都有标准的解释,客户端只需要查看状态码,就可以判断出发生了什么情况,所以服务器应该返回尽可能精确的状态码。 API中不需要1xx状态码,下面介绍一下其他四类状态码的精确含义。...API的使用未必知道,URL是怎么设计的。一个解决方法就是,在回应中,给出相关链接,便于下一步操作。这样的话用户只要记住一个URL,就可以发现其他的URL。这种方法叫做HATEOAS。..." } ]} } 04 总结 今日的分享到此结束,读完本文,我们就可以在日常开发中设计出更加通俗移动的RESTful API了。
请注意,WebConfig配置类没有被包含在测试中,因为没有提供其需要的Servlet上下文。 5. 控制器 @Controller是RESTful API在整个Web层的中心组件。...在向客户端返回405时,最好包括Allow HTTP头,以指定允许哪些操作。这是Spring MVC的标准行为,不需要任何额外的配置。 6.2....客户端错误 在客户端错误的情况下,自定义异常被定义并映射到适当的错误代码。 简单地从Web层的任何位置抛出这些异常,将确保Spring将相应的状态代码映射到HTTP响应上。...这种方法的问题在于,注解只适用于定义它的控制器,而不是整个Spring容器,这意味着它需要在每个控制器中单独声明。 这很快就变得很麻烦,尤其是有许多控制器的复杂应用程序中。...在本系列的下一篇文章中,我将重点讨论 API的可发现性、高级内容协商以及其它的处理和传输资源状态的方式。 这篇文章的所有代码都可以在Github上找到。
view,创建create,编辑edit和删除delete)都可以直接映射到HTTP 中已实现的GET,POST,PUT和DELETE方法。...HTTP 中的8中不同的方法: GET POST PUT DELETE OPTIONS HEAD TRACE CONNECT 大多数情况下,当你在使用你的浏览器的点点看看的时候,其实只用到HTTP的GET...但是,如果是供我们使用的话,就没什么问题。问题是我们有很多要选择去帮助描述这四大行为的HTTP方法,我们将会用到那些已经知道如何去使用这些不同的HTTP方法的客户端类库。...–请求出错(语法格式有误或服务器无法理解此请求) 401 – 未授权(需要登录) 404 – 找不到 (找不到所请求的文件或脚本) 405 – 不允许此方法(错误的 HTTP方法) 409 – 冲突...用这个API,就可以使用seesion会话保存用户记录,但这毕竟不是最好的方法。有时候,用户想直接访问API,或是用户想自己授权其他应用程序去访问这个API。 解决方法是在认证的基础上使用秘钥。
RESTful 是目前最流行的 API 设计规范,用于 Web 数据接口的设计 http请求方法 RESTful API 设计规范 关于「能愿动词」的使用 为了避免歧义,文档大量使用了「能愿动词」,对应的解释如下...(MAY) 和 可选 (OPTIONAL) :选择性高一点,在这个文档内,此词语使用较少; 参见:RFC 2119 域名 API 的根入口点应尽可能保持足够简单,这里有两个常见的 URL 根例子:...POST(CREATE):在服务器新建一个资源。 PUT(UPDATE):在服务器更新资源(客户端提供改变后的完整资源)。 PATCH(UPDATE):在服务器更新资源(客户端提供改变的属性)。...对不会返回响应体的成功请求进行响应(比如 DELETE 请求) 3xx 重定向 40x 客户端错误 400 Bad Request 请求异常,比如请求中的body无法解析 401 Unauthorized...405 Method Not Allowed 所请求的 HTTP 方法不允许当前认证用户访问 409 Gonfilct 该状态码表示因为请求存在冲突无法处理。
1.2 动词的覆盖 有些客户端只能使用GET和POST这两种方法。服务器必须接受POST模拟其他三个方法(PUT、PATCH、DELETE)。...上面代码中,X-HTTP-Method-Override指定本次请求的方法是PUT,而不是POST。 1.3 宾语必须是名词 宾语就是 API 的 URL,是 HTTP 动词作用的对象。...每一种状态码都有标准的(或者约定的)解释,客户端只需查看状态码,就可以判断出发生了什么情况,所以服务器应该返回尽可能精确的状态码。 API 不需要1xx状态码,下面介绍其他四类状态码的精确含义。...3.2 发生错误时,不要返回 200 状态码 有一种不恰当的做法是,即使发生错误,也返回200状态码,把错误信息放在数据体里面,就像下面这样。 ? 上面代码中,解析数据体以后,才能得知操作失败。...3.3 提供链接 API 的使用者未必知道,URL 是怎么设计的。一个解决方法就是,在回应中,给出相关链接,便于下一步操作。这样的话,用户只要记住一个 URL,就可以发现其他的 URL。
在后端强制算法(HS256或RS256)。 使令牌到期 ( TTL, RTTL) 尽可能短。 不要在 JWT 有效载荷中存储敏感数据,它可以很容易地被解码。...使用state带有随机哈希的参数来防止 OAuth 身份验证过程中的 CSRF。 定义默认范围,并验证每个应用程序的范围参数。 使用权 限制请求(限制)以避免 DDoS / 暴力攻击。...在服务器端使用 HTTPS 来避免 MITM(中间人攻击)。 使用HSTS带有 SSL 的标头来避免 SSL Strip 攻击。 对于私有 API,仅允许从列入白名单的 IP/主机进行访问。...输入 根据操作使用正确的 HTTP 方法:GET (read)、POST (create)、PUT/PATCH (replace/update)和,如果请求的方法不适合请求的资源,则使用DELETE (...API keys 使用 API Gateway 服务来启用缓存、速率限制策略(例如Quota、Spike Arrest或Concurrent Rate Limit)并动态部署 API 资源。
RESTful 是目前最流行的 API 设计规范,用于 Web 数据接口的设计。 它的大原则容易把握,但是细节不容易做对。...1.2 动词的覆盖 有些客户端只能使用GET和POST这两种方法。服务器必须接受POST模拟其他三个方法(PUT、PATCH、DELETE)。...POST /api/Person/4 HTTP/1.1 X-HTTP-Method-Override: PUT 上面代码中,X-HTTP-Method-Override指定本次请求的方法是PUT,而不是...每一种状态码都有标准的(或者约定的)解释,客户端只需查看状态码,就可以判断出发生了什么情况,所以服务器应该返回尽可能精确的状态码。 API 不需要1xx状态码,下面介绍其他四类状态码的精确含义。...一个解决方法就是,在回应中,给出相关链接,便于下一步操作。这样的话,用户只要记住一个 URL,就可以发现其他的 URL。这种方法叫做 HATEOAS。
1.2 动词的覆盖 有些客户端只能使用GET和POST这两种方法。服务器必须接受POST模拟其他三个方法(PUT、PATCH、DELETE)。...POST /api/Person/4 HTTP/1.1 X-HTTP-Method-Override: PUT 上面代码中,X-HTTP-Method-Override指定本次请求的方法是PUT,而不是...每一种状态码都有标准的(或者约定的)解释,客户端只需查看状态码,就可以判断出发生了什么情况,所以服务器应该返回尽可能精确的状态码。 API 不需要1xx状态码,下面介绍其他四类状态码的精确含义。...405 Method Not Allowed:用户已经通过身份验证,但是所用的 HTTP 方法不在他的权限之内。 410 Gone:所请求的资源已从这个地址转移,不再可用。...一个解决方法就是,在回应中,给出相关链接,便于下一步操作。这样的话,用户只要记住一个 URL,就可以发现其他的 URL。这种方法叫做 HATEOAS。
Servlet 是 Java 语言编写的服务端程序,可以运行在 Web 服务器或应用服务器中。Servlet 可以接收来自 Web 浏览器的请求并作出响应,比如生成 HTML 页面。...Servlet 一般用于构建动态网站,它可以访问数据库或其他后台服务来为浏览器提供动态内容。 目前在官网中的最新版本是JavaEE8,该网址中介绍了JavaEE8的一些新特性。...接下来,在我们的应用中找应用里的web.xml配置文件,在web.xml中找到FirstServlet的配置,找到后执行service方法,最后由FirstServlet响应客户浏览器。...请求的方式就是HTTP协议所支持的方式(目前我们只知道GET和POST,而实际HTTP协议支持7种请求方式,GET POST PUT DELETE TRACE OPTIONS HEAD )。...时,出现了访问错误,状态码是405。
前言 有很长一段时间没有使用过IIS来托管应用了,今天用IIS来托管一个比较老的.NET Fx4.6的项目。...发布到线上后居然一直调用不同本地却一直是正常的,关键是POST和GET请求都是正常的,只有PUT和DELETE请求是有问题的。...HTTP请求 405错误 方法不被允许 (Method Not Allowed) 为什么IIS拒绝处理PUT和Delete请求?...直接到IIS模块中删除WebDAVModule[不起效果] 在应用程序的Web.config配置如下代码[有用] 作用是移除 IIS 中的 "WebDAVModule" 模块,并允许所有请求运行托管模块...这个配置适用于需要使用 PUT 和 DELETE 请求的应用程序或需要托管模块对所有请求进行处理的情况。在实际应用中,请根据需要和安全性考虑进行评估和使用。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
