http_methods_put_post

Http Methods: thất tinh bắc đẩu trận

Trung Hoa quốc, Toàn chân giáo, 12/06/2018. Http Methods – bá chủ võ lâm.

Giáo chủ phái toàn chân Vương Trùng Dương, trong khẩu quyết truyền cho môn đệ có đoạn viết:

Các con, nay ta đã nghĩ ra “Thất tinh bắc đẩu trận là siêu cực trận đồ, để HTTP Methods có thể hùng cứ bốn phương trong làng IT, 7 người các con phải tuyệt đối kiên trì luyện tập, nắm vững bản chất của các vì tinh tú này.

GET, POST, PUT, HEAD, DELETE, PATCH, OPTIONS đều nhất mực nghe lời sư phụ, cố gắng tu luyện, cuối cùng đã thành 7 vì sao sáng, soi chiếu và bảo vệ HTTP Methods.

Bảy methods này phối hợp với nhau lập thành “THẤT TINH BẮC ĐẨU TRẬN” trận. Trận pháp này là xương sống cho RESTFul API. Nhờ trận pháp này mà phái RESFUL API đã bá chủ võ lâm, hùng cường thiên hạ.

http_methods
Thất tinh bắc đẩu trận – hội chiếu phò trợ HTTP Methods.

Hãy cùng Kieblog tìm hiểu từng vị tinh tú trong bộ thất tinh này nhé.

1. Tứ hành xung, ý lộn, TỨ ĐẠI CÔNG PHU

Mỗi vị học trò của Vương Trùng Dương đều cố gắng rèn cho mình được thành tựu bốn loại công phu. Tuy nhiên, do tư chất mỗi người khác nhau, nên có người thành tựu, có người thất bại. Bốn loại công phu mà mỗi methods trong HTTPMethods được đem ra đánh giá là:

  • SAFE (Độ an toàn).
  • IDEMPOTENT (Tính bất biến).
  • VISIBILITY (Tính che giấu thông tin).
  • CACHEABLE (có thể cache được).
http methods safe, idempotent, visibility và cacheable.
Bảng so sánh 4 tính chất của các methods trong HTTP Methods.

1.1 SAFE

ĐỊNH NGHĨA: Một request trong http methods được xem là safe khi sau rất nhiều lần gọi, nó vẫn không làm thay đổi resource mà nó đang truy cập đến.

1.2 IDEMPOTENT

ĐỊNH NGHĨA: Một request được xem là idempotent nếu sau nhiều lần gọi, nó vẫn trả về kết quả như nhau.

Để dễ hình dung, ta có biến i khai báo bằng 100 và biến i tăng 1.

int i = 100; // idempotent
i++; // not idempotent

Thao tác gán đầu tiên được hiểu là idempotent, vì cho dù ta thực hiện câu lệnh này bao nhiêu lần, giá trị của i cũng vẫn chỉ là 100. Ngược lại, khi giá trị i++, mỗi lần gọi sẽ tăng giá trị i lên 1. Vì vậy, i không là idempotent.

Understand result as the state of the resource on the server (and bear in mind that status codes are not relevant from the idempotency point of view).

Hãy chú rằng kết quả ở đây là trạng thái của nguồn dữ liệu trên server (lưu ý rằng các mã trạng thái (200,400,403,…) ở đây không liên quan tới tính ổn định).

1.3 VISIBILITY

ĐỊNH NGHĨA: Một request trong http methods được xem là visibility khi nó không để lộ ra thông tin trên URL khi request được gửi.

Cần lưu ý rằng visibility ở đây chỉ giới hạn ở URL (phần người dùng có thể nhìn thấy được).

1.4 CACHEABLE

ĐỊNH NGHĨA: Một request được xem là cacheable khi sau lần gửi thứ nhất của request, kết quả phản hồi có thể được lưu vào một trong các loại cache trên websites (localStorage, cookies, …).

http methods cache
Sơ đồ mô tả cách thức cache thông tin trên client browser

2. Thất tinh lộ diện – Http methods

2.1 GET

GET requests are the most common and widely used methods in HTTP methods and websites. Simply put, the GET method is used to retreive data from a server at the specified resource.

GET là phương thức phổ biến nhất và được sử dụng rộng rãi nhất trong HTTP methods và websites. Nói một cách đơn giản, GET là phương thức được sử dụng để truy xuất dữ liệu từ server ở một tài nguyên rõ ràng đã được chỉ định.

2.1.1 Safe – YES

Tất nhiên rồi, phương thức GET chỉ lấy, yêu cầu và truy xuất dữ liệu nên nó được xem là method an toàn nhất. Tuy nhiên, an toàn ở đây được hiểu rằng phương thức GET không làm thay đổi resources mà nó gọi tới.

Không nên nhầm lẫn tính an toàn này với việc xác thực API.

Nếu phương thức GET này cung cấp thông tin (user, password của admin) thì nó không được xem là an toàn. Vấn đề này sẽ được nói rõ hơn ở một bài viết khác về API attack.

2.1.2 Idempotent – YES

GET method luôn là idempotent, bởi vì cho dù ta có gọi hàng ngần method này tới Server thì cũng không làm thay đổi resource của nó. Chính vì lẽ này, GET luôn được đánh giá là method an toàn nhất trong 7 loại của htttp methods.

2.1.3 Visibility – NO

Khi nói tới tính che giấu thông tin khi thực hiện method. Phương thức GET không thực sự tốt, các parameter được nhìn thấy rõ trên URL. Điều này cũng đồng nghĩa với việc các param này được lưu lại trong lịch sử. Những ai tò mò muốn thay đổi cũng có thể dễ dàng thực hiện (không cần lập trình viên chuyên nghiệp – chỉ chỉnh sửa trên URL gọi tới server)

Method GET với từ khóa tìm kiếm là trump.
Method GET với request chuyển tới trang số 5 (page 5).

2.1.4 Cacheable – YES

Vì method GET đơn thuần là dể lấy dữ liệu, nên khi đã lấy xong, ta có thể cache những giá trị này lại. Việc lưu trữ có thể là (Local Storage, Cookies, …)

2.2 POST

POST: Submits data to be processed to a specified resource.

POST: Gửi data lên server để xử lí ở một tài nguyên cố định.

2.2.1 Safe – NO

Suy nghĩ một tí, nếu người viết web service cho API không quản lí tốt cách thức xác thực người dùng được thực hiện method POST. Một lập trình viên có thể dễ dàng tạo các parameter fake. Sau đó gửi tới server, các hình thức tấn công đã được biết tới trước đây như là Cross-Site Request Forgery

2.2.2 Idempotent – NO

Methods POST là method được sử dụng rất nhiều trong Http Methods. Tuy nhiên, tính idempotent của methods POST lại rất khó để đảm bảo. Nếu một POST được gọi để khởi tạo folder, ở lần đầu tiên -> folder được tạo. Ở lần gọi thứ 2 -> thất bại -> do folder đã được tạo.

Ngày nay, xu hướng thiết kế API càng ngày càng chú ý tới tính idempotent của các method. POST cũng không là một ngoại lệ.

2.2.3 Visibility – YES

Các tham số được gửi lên sử dụng method post sẽ không để lộ ra trên URL.

2.2.4 Cacheable – NO

Phương thức POST không thể được cache lại. Mọi xử lí của chúng ta mong muốn về method cache đều được xử lí ở server. Chính vì vậy, không thể cache lại bất cứ giá trị gì ở phía client khi ta gọi method POST.

2.3 PUT

Used to create a resource, or overwrite it.

Method PUT được sử dụng để tạo tài nguyên, hoặc ghi đè nó.

2.3.1 Safe – NO

Do method PUT thực hiện cập nhật trạng thái tài nguyên. Nên nó được đánh giá là không an toàn.

2.3.2 Idempotent – YES

PUT APIs are used to update the resource state. If you invoke a PUT API N times, the very first request will update the resource; then rest N-1 requests will just overwrite the same resource state again and again – effectively not changing anything.

PUT sử dụng để cập nhật trạng thái của tài nguyên. Nên nếu ta gọi method PUT n lần, lần đầu tiên sẽ cập nhật trạng thái tài nguyên. Tiếp đến, N – 1 request tiếp theo sẽ thực hiện lặp đi lặp lại – không thay đổi gì.

2.3.3 Visibility – YES | Cacheable – NO

Method PUT giống với method POST ở 2 tính chất này. Nó ẩn đi các parameter gửi đi ở URL – Do không lấy dữ liệu gì ở server nên không thể cache lại các kết quả đã lấy được.

2.4 HEAD

The HTTP HEAD method requests the headers that are returned if the specified resource would be requested with an HTTP GET method.

HEAD method sẽ trả về nội dung headers nếu tài nguyên được chỉ định gọi tới có thể lấy được bằng method GET.

2.4.1 Safe – YES

Chính vì method Head chỉ trả về thông tin của headers, nên nó được xem là an toàn.

2.4.2 Idempotent – YES

Tương tự như GET, method HEAD cũng được đánh giá là idempotent -> do sau n lần gọi giá trị của nó vẫn trả về không đổi.

2.4.3 Visibility – NO

Vì thông tin được lấy cũng nằm trong URL, nên tính che dấu thông tin của HEAD method là giống GET -> không được đảm bảo.

2.4.4 Cacheable – YES

Do thông tin được lấy về là headers, nên có thể cache lại các giá trị này cho các request tiếp theo. GET và HEAD methods đều có thể cache được.

2.5 DELETE 

The DELETE method requests that the origin server delete the resource identified by the Request-URI.

Method DELETE sẽ xóa một tài nguyên nhất định ở server bằng Request-URI.

2.5.1 Safe – NO

Nếu như ở method GET, khi thực hiện thành công, ta nhìn thấy dữ liệu trả về thì method DELETE là không an toàn vì.

The client cannot be guaranteed that the operation has been carried out, even if the status code returned from the origin server indicates that the action has been completed successfully

Client không đảm bảo được rằng các thao tác mong muốn khi gửi method GET đã được thực hiện ở Server.

2.5.2 Idempotent – NO

Bản thân mình nghĩ rằng DELETE methods là không idempotent. Tuy nhiên, vấn đề này hiện vẫn đang có nhiều bàn cãi.

Lấy ví dụ, nếu lần đầu tiên chúng ta xóa đi 1 ảnh ở server, lần request tiếp theo sẽ cho ra kết quả 404 Not Found. Vì kết quả khác nhau ở các lần gọi request -> không là idempotent.

Tuy nhiên, nếu nói về trạng thái ở server:

The state on the server is the same after each DELETE call, but the response is different.

Trạng thái ở server sau mỗi lần gọi DELETE là giống nhau, chỉ khác giá trị trả về.

2.5.3 Visibility – YES | Cacheable – NO

Về visibilitycacheable, method DELETE giống với method POST.

2.6 PATCH

The PATCH method is used to apply partial modifications to a resource.

PATCH method được sử dụng để ghi đè các thông tin thay đổi.

2.7 OPTIONS

The HTTP OPTIONS method is used to describe the communication options for the target resource. The client can specify a URL for the OPTIONS method, or an asterisk (*) to refer to the entire server.

HTTP OPTIONS method sử dụng để mô tả tùy các options giao tiếp cho tài nguyên đích. client có thể tùy chỉnh URL cho OPTIONS methods, hoặc sử dụng dấu *, với ý nghĩa cho cả server.
http_methods_safe
Bảng so sánh mức độ an toàn của các http methods. 2 methods được đánh giá là an toàn cho server là GET và HEAD.

3. Tham khảo

Ngoài ra, để tìm hiểu thêm về bảo mật Http methods, các bạn có thể đọc thêm bài viết này ở kieblog nhé.

Có gì thắc mắc cứ comment đây nha! - Please feel free to comment here!
Chia sẻ bài viết


Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *