Station D Logo

Http Methods: thất tinh bắc đẩu trận

Công Nghệ
Http Methods: thất tinh bắc đẩu trận

Bài viết được sự cho phép của tác giả Kiên Nguyễn

Trung Hoa quốc, Toàn chân giáo, 12/06/2018. Http Methods – bá chủ võ lâm.

Giáo chủ phái toàn chân Vương Trùng Dương, trong khẩu quyết truyền cho môn đệ có đoạn viết:

Các con, nay ta đã nghĩ ra “Thất tinh bắc đẩu trận là siêu cực trận đồ, để HTTP Methods có thể hùng cứ bốn phương trong làng IT, 7 người các con phải tuyệt đối kiên trì luyện tậpnắm vững bản chất của các vì tinh tú này.

GET, POST, PUT, HEAD, DELETE, PATCH, OPTIONS đều nhất mực nghe lời sư phụ, cố gắng tu luyện, cuối cùng đã thành 7 vì sao sáng, soi chiếu và bảo vệ HTTP Methods.

Bảy methods này phối hợp với nhau lập thành “THẤT TINH BẮC ĐẨU TRẬN” trận. Trận pháp này là xương sống cho RESTFul API. Nhờ trận pháp này mà phái RESFUL API đã bá chủ võ lâm, hùng cường thiên hạ.

http_methodshttp_methodsThất tinh bắc đẩu trận – hội chiếu phò trợ HTTP Methods.

Hãy cùng Kieblog tìm hiểu từng vị tinh tú trong bộ thất tinh này nhé.

1. Tứ hành xung, ý lộn, TỨ ĐẠI CÔNG PHU

Mỗi vị học trò của Vương Trùng Dương đều cố gắng rèn cho mình được thành tựu bốn loại công phu. Tuy nhiên, do tư chất mỗi người khác nhau, nên có người thành tựu, có người thất bại. Bốn loại công phu mà mỗi methods trong HTTPMethods được đem ra đánh giá là:

  • SAFE (Độ an toàn).
  • IDEMPOTENT (Tính bất biến).
  • VISIBILITY (Tính che giấu thông tin).
  • CACHEABLE (có thể cache được).
http methods safe, idempotent, visibility và cacheable.http methods safe, idempotent, visibility và cacheable.Bảng so sánh 4 tính chất của các methods trong HTTP Methods.

1.1 SAFE

ĐỊNH NGHĨA: Một request trong http methods được xem là safe khi sau rất nhiều lần gọi, nó vẫn không làm thay đổi resource mà nó đang truy cập đến.

1.2 IDEMPOTENT

ĐỊNH NGHĨA: Một request được xem là idempotent nếu sau nhiều lần gọi, nó vẫn trả về kết quả như nhau.

Để dễ hình dung, ta có biến i khai báo bằng 100 và biến i tăng 1.

int i = 100; // idempotent
i++; // not idempotent

Thao tác gán đầu tiên được hiểu là idempotent, vì cho dù ta thực hiện câu lệnh này bao nhiêu lầngiá trị của i cũng vẫn chỉ là 100. Ngược lại, khi giá trị i++, mỗi lần gọi sẽ tăng giá trị i lên 1. Vì vậy, i không là idempotent.

Understand result as the state of the resource on the server (and bear in mind that status codes are not relevant from the idempotency point of view).

Hãy chú rằng kết quả ở đây là trạng thái của nguồn dữ liệu trên server (lưu ý rằng các mã trạng thái (200,400,403,…) ở đây không liên quan tới tính ổn định).

1.3 VISIBILITY

ĐỊNH NGHĨA: Một request trong http methods được xem là visibility khi nó không để lộ ra thông tin trên URL khi request được gửi.

Cần lưu ý rằng visibility ở đây chỉ giới hạn ở URL (phần người dùng có thể nhìn thấy được).

1.4 CACHEABLE

ĐỊNH NGHĨA: Một request được xem là cacheable khi sau lần gửi thứ nhất của request, kết quả phản hồi có thể được lưu vào một trong các loại cache trên websites (localStorage, cookies, …).

http methods cachehttp methods cacheSơ đồ mô tả cách thức cache thông tin trên client browser

2. Thất tinh lộ diện – Http methods

2.1 GET

GET requests are the most common and widely used methods in HTTP methods and websites. Simply put, the GET method is used to retreive data from a server at the specified resource.

GET là phương thức phổ biến nhất và được sử dụng rộng rãi nhất trong HTTP methods và websites. Nói một cách đơn giản, GET là phương thức được sử dụng để truy xuất dữ liệu từ server ở một tài nguyên rõ ràng đã được chỉ định.

2.1.1 Safe – YES

Tất nhiên rồi, phương thức GET chỉ lấy, yêu cầu và truy xuất dữ liệu nên nó được xem là method an toàn nhất. Tuy nhiên, an toàn ở đây được hiểu rằng phương thức GET không làm thay đổi resources mà nó gọi tới.

Không nên nhầm lẫn tính an toàn này với việc xác thực API.

Nếu phương thức GET này cung cấp thông tin (user, password của admin) thì nó không được xem là an toàn. Vấn đề này sẽ được nói rõ hơn ở một bài viết khác về API attack.

2.1.2 Idempotent – YES

GET method luôn là idempotent, bởi vì cho dù ta có gọi hàng ngần method này tới Server thì cũng không làm thay đổi resource của nó. Chính vì lẽ này, GET luôn được đánh giá là method an toàn nhất trong 7 loại của htttp methods.

2.1.3 Visibility – NO

Khi nói tới tính che giấu thông tin khi thực hiện method. Phương thức GET không thực sự tốt, các parameter được nhìn thấy rõ trên URL. Điều này cũng đồng nghĩa với việc các param này được lưu lại trong lịch sử. Những ai tò mò muốn thay đổi cũng có thể dễ dàng thực hiện (không cần lập trình viên chuyên nghiệp – chỉ chỉnh sửa trên URL gọi tới server)

Method GET với từ khóa tìm kiếm là trump.
Method GET với request chuyển tới trang số 5 (page 5).

2.1.4 Cacheable – YES

Vì method GET đơn thuần là dể lấy dữ liệu, nên khi đã lấy xong, ta có thể cache những giá trị này lại. Việc lưu trữ có thể là (Local Storage, Cookies, …)

2.2 POST

POST: Submits data to be processed to a specified resource.

POST: Gửi data lên server để xử lí ở một tài nguyên cố định.

2.2.1 Safe – NO

Suy nghĩ một tí, nếu người viết web service cho API không quản lí tốt cách thức xác thực người dùng được thực hiện method POST. Một lập trình viên có thể dễ dàng tạo các parameter fake. Sau đó gửi tới server, các hình thức tấn công đã được biết tới trước đây như là Cross-Site Request Forgery

2.2.2 Idempotent – NO

Methods POST là method được sử dụng rất nhiều trong Http Methods. Tuy nhiên, tính idempotent của methods POST lại rất khó để đảm bảo. Nếu một POST được gọi để khởi tạo folder, ở lần đầu tiên -> folder được tạo. Ở lần gọi thứ 2 -> thất bại -> do folder đã được tạo.

Ngày nay, xu hướng thiết kế API càng ngày càng chú ý tới tính idempotent của các method. POST cũng không là một ngoại lệ.

2.2.3 Visibility – YES

Các tham số được gửi lên sử dụng method post sẽ không để lộ ra trên URL.

2.2.4 Cacheable – NO

Phương thức POST không thể được cache lại. Mọi xử lí của chúng ta mong muốn về method cache đều được xử lí ở server. Chính vì vậy, không thể cache lại bất cứ giá trị gì ở phía client khi ta gọi method POST.

2.3 PUT

Used to create a resource, or overwrite it.

Method PUT được sử dụng để tạo tài nguyên, hoặc ghi đè nó.

2.3.1 Safe – NO

Do method PUT thực hiện cập nhật trạng thái tài nguyên. Nên nó được đánh giá là không an toàn.

2.3.2 Idempotent – YES

PUT APIs are used to update the resource state. If you invoke a PUT API N times, the very first request will update the resource; then rest N-1 requests will just overwrite the same resource state again and again – effectively not changing anything.

PUT sử dụng để cập nhật trạng thái của tài nguyên. Nên nếu ta gọi method PUT n lần, lần đầu tiên sẽ cập nhật trạng thái tài nguyên. Tiếp đến, N – 1 request tiếp theo sẽ thực hiện lặp đi lặp lại – không thay đổi gì.

2.3.3 Visibility – YES | Cacheable – NO

Method PUT giống với method POST ở 2 tính chất này. Nó ẩn đi các parameter gửi đi ở URL – Do không lấy dữ liệu gì ở server nên không thể cache lại các kết quả đã lấy được.

2.4 HEAD

The HTTP HEAD method requests the headers that are returned if the specified resource would be requested with an HTTP GET method.

HEAD method sẽ trả về nội dung headers nếu tài nguyên được chỉ định gọi tới có thể lấy được bằng method GET.

2.4.1 Safe – YES

Chính vì method Head chỉ trả về thông tin của headers, nên nó được xem là an toàn.

2.4.2 Idempotent – YES

Tương tự như GET, method HEAD cũng được đánh giá là idempotent -> do sau n lần gọi giá trị của nó vẫn trả về không đổi.

2.4.3 Visibility – NO

Vì thông tin được lấy cũng nằm trong URL, nên tính che dấu thông tin của HEAD method là giống GET -> không được đảm bảo.

2.4.4 Cacheable – YES

Do thông tin được lấy về là headers, nên có thể cache lại các giá trị này cho các request tiếp theo. GET và HEAD methods đều có thể cache được.

2.5 DELETE

The DELETE method requests that the origin server delete the resource identified by the Request-URI.

Method DELETE sẽ xóa một tài nguyên nhất định ở server bằng Request-URI.

2.5.1 Safe – NO

Nếu như ở method GET, khi thực hiện thành công, ta nhìn thấy dữ liệu trả về thì method DELETE là không an toàn vì.

The client cannot be guaranteed that the operation has been carried out, even if the status code returned from the origin server indicates that the action has been completed successfully

Client không đảm bảo được rằng các thao tác mong muốn khi gửi method GET đã được thực hiện ở Server.

2.5.2 Idempotent – NO

Bản thân mình nghĩ rằng DELETE methods là không idempotent. Tuy nhiên, vấn đề này hiện vẫn đang có nhiều bàn cãi.

Lấy ví dụ, nếu lần đầu tiên chúng ta xóa đi 1 ảnh ở server, lần request tiếp theo sẽ cho ra kết quả 404 Not Found. Vì kết quả khác nhau ở các lần gọi request -> không là idempotent.

Tuy nhiên, nếu nói về trạng thái ở server:

The state on the server is the same after each DELETE call, but the response is different.

Trạng thái ở server sau mỗi lần gọi DELETE là giống nhau, chỉ khác giá trị trả về.

2.5.3 Visibility – YES | Cacheable – NO

Về visibility và cacheable, method DELETE giống với method POST.

2.6 PATCH

The PATCH method is used to apply partial modifications to a resource.

PATCH method được sử dụng để ghi đè các thông tin thay đổi.

2.7 OPTIONS

The HTTP OPTIONS method is used to describe the communication options for the target resource. The client can specify a URL for the OPTIONS method, or an asterisk (*) to refer to the entire server.

HTTP OPTIONS method sử dụng để mô tả tùy các options giao tiếp cho tài nguyên đích. client có thể tùy chỉnh URL cho OPTIONS methods, hoặc sử dụng dấu *, với ý nghĩa cho cả server.

http_methods_safehttp_methods_safeBảng so sánh mức độ an toàn của các http methods. 2 methods được đánh giá là an toàn cho server là GET và HEAD.

3. Tham khảo

Ngoài ra, để tìm hiểu thêm về bảo mật Http methods, các bạn có thể đọc thêm bài viết này ở kieblog nhé.

Bài viết gốc được đăng tải tại kieblog.vn

Có thể bạn quan tâm:

Xem thêm Việc làm IT hấp dẫn trên Station D

Bạn có thể quan tâm

Đọc thêm

Thị trường EdTech Vietnam- Nhiều tiềm năng nhưng còn bị bỏ ngỏ tại Việt Nam
Bộ cài đặt Laravel Installer đã hỗ trợ tích hợp Jetstream
Principle thiết kế của các sản phẩm nổi tiếng
Applicant Tracking System là gì? ATS hoạt động ra sao
Lập TrìnhCông nghệ

Bài viết liên quan

Bộ cài đặt Laravel Installer đã hỗ trợ tích hợp Jetstream
Công Nghệ

Bộ cài đặt Laravel Installer đã hỗ trợ tích hợp Jetstream

Bài viết được sự cho phép của tác giả Chung Nguyễn Hôm nay, nhóm Laravel đã phát hành một phiên bản chính mới của “ laravel/installer ” bao gồm hỗ trợ khởi động nhanh các dự án Jetstream. Với phiên bản mới này khi bạn chạy laravel new project-name , bạn sẽ nhận được các tùy chọn Jetstream. Ví dụ: API Authentication trong Laravel-Vue SPA sử dụng Jwt-auth Cách sử dụng Laravel với Socket.IO laravel new foo --jet --dev Sau đó, nó sẽ hỏi bạn thích stack Jetstream nào hơn: Which Jetstream stack do you prefer? [0] Livewire [1] inertia > livewire Will your application use teams? (yes/no) [no]: ... Nếu bạn đã cài bộ Laravel Installer, để nâng cấp lên phiên bản mới bạn chạy lệnh: composer global update Một số trường hợp cập nhật bị thất bại, bạn hãy thử, gỡ đi và cài đặt lại nha composer global remove laravel/installer composer global require laravel/installer Bài viết gốc được đăng tải tại chungnguyen.xyz Có thể bạn quan tâm: Cài đặt Laravel Làm thế nào để chạy Sql Server Installation Center sau khi đã cài đặt xong Sql Server? Quản lý các Laravel route gọn hơn và dễ dàng hơn Xem thêm Tuyển dụng lập trình Laravel hấp dẫn trên Station D

By stationd
Principle thiết kế của các sản phẩm nổi tiếng
Công Nghệ

Principle thiết kế của các sản phẩm nổi tiếng

Tác giả: Lưu Bình An Phù hợp cho các bạn thiết kế nào ko muốn làm code dạo, design dạo nữa, bạn muốn cái gì đó cao hơn ở tầng khái niệm Nếu lập trình chúng ta có các nguyên tắc chung khi viết code như KISS , DRY , thì trong thiết kế cũng có những nguyên tắc chính khi làm việc. Những nguyên tắc này sẽ là kim chỉ nam, nếu có tranh cãi giữa các member trong team, thì cứ đè nguyên tắc này ra mà giải quyết (nghe hơi có mùi cứng nhắc, mình thì thích tùy cơ ứng biến hơn) Tìm các vị trí tuyển dụng designer lương cao cho bạn Nguyên tắc thiết kế của GOV.UK Đây là danh sách của trang GOV.UK Bắt đầu với thứ user cần Làm ít hơn Thiết kế với dữ liệu Làm mọi thứ thật dễ dàng Lặp. Rồi lặp lại lần nữa Dành cho tất cả mọi người Hiểu ngữ cảnh hiện tại Làm dịch vụ digital, không phải làm website Nhất quán, nhưng không hòa tan (phải có chất riêng với thằng khác) Cởi mở, mọi thứ tốt hơn Bao trừu tượng luôn các bạn, trang Gov.uk này cũng có câu tổng quát rất hay Thiết kế tốt là thiết kế có thể sử dụng. Phục vụ cho nhiều đối tượng sử dụng, dễ đọc nhất nhất có thể. Nếu phải từ bỏ đẹp tinh tế – thì cứ bỏ luôn . Chúng ta tạo sản phẩm cho nhu cầu sử dụng, không phải cho người hâm mộ . Chúng ta thiết kế để cả nước sử dụng, không phải những người đã từng sử dụng web. Những người cần dịch vụ của chúng ta nhất là những người đang cảm thấy khó sử dụng dịch...

By stationd
Hiểu về trình duyệt – How browsers work
Công Nghệ

Hiểu về trình duyệt – How browsers work

Bài viết được sự cho phép của vntesters.com Khi nhìn từ bên ngoài, trình duyệt web giống như một ứng dụng hiển thị những thông tin và tài nguyên từ server lên màn hình người sử dụng, nhưng để làm được công việc hiển thị đó đòi hỏi trình duyệt phải xử lý rất nhiều thông tin và nhiều tầng phía bên dưới. Việc chúng ta (Developers, Testers) tìm hiểu càng sâu tầng bên dưới để nắm được nguyên tắc hoạt động và xử lý của trình duyệt sẽ rất hữu ích trong công việc viết code, sử dụng các tài nguyên cũng như kiểm thử ứng dụng của mình. Cách để npm packages chạy trong browser Câu hỏi phỏng vấn mẹo về React: Component hay element được render trong browser? Khi hiểu được cách thức hoạt động của trình duyệt chúng ta có thể trả lời được rất nhiều câu hỏi như: Tại sao cùng một trang web lại hiển thị khác nhau trên hai trình duyệt? Tại sao chức năng này đang chạy tốt trên trình duyệt Firefox nhưng qua trình duyệt khác lại bị lỗi? Làm sao để trang web hiển thị nội dung nhanh và tối ưu hơn một chút?… Hy vọng sau bài này sẽ giúp các bạn có một cái nhìn rõ hơn cũng như giúp ích được trong công việc hiện tại. 1. Cấu trúc của một trình duyệt Trước tiên chúng ta đi qua cấu trúc, thành phần chung và cơ bản nhất của một trình duyệt web hiện đại, nó sẽ gồm các thành phần (tầng) như sau: Thành phần nằm phía trên là những thành phần gần với tương tác của người dùng, càng phía dưới thì càng sâu và nặng về xử lý dữ liệu hơn tương tác. Nhiệm...

By stationd
Thị trường EdTech Vietnam- Nhiều tiềm năng nhưng còn bị bỏ ngỏ tại Việt Nam
Chuyện IT

Thị trường EdTech Vietnam- Nhiều tiềm năng nhưng còn bị bỏ ngỏ tại Việt Nam

Lĩnh vực EdTech (ứng dụng công nghệ vào các sản phẩm giáo dục) trên toàn cầu hiện nay đã tương đối phong phú với nhiều tên tuổi lớn phân phối đều trên các hạng mục như Broad Online Learning Platforms (nền tảng cung cấp khóa học online đại chúng – tiêu biểu như Coursera, Udemy, KhanAcademy,…) Learning Management Systems (hệ thống quản lý lớp học – tiêu biểu như Schoology, Edmodo, ClassDojo,…) Next-Gen Study Tools (công cụ hỗ trợ học tập – tiểu biểu như Kahoot!, Lumosity, Curriculet,…) Tech Learning (đào tạo công nghệ – tiêu biểu như Udacity, Codecademy, PluralSight,…), Enterprise Learning (đào tạo trong doanh nghiệp – tiêu biểu như Edcast, ExecOnline, Grovo,..),… Hiện nay thị trường EdTech tại Việt Nam đã đón nhận khoảng đầu tư khoảng 55 triệu đô cho lĩnh vực này nhiều đơn vị nước ngoài đang quan tâm mạnh đến thị trường này ngày càng nhiều hơn. Là một trong những xu hướng phát triển tốt, và có doanh nghiệp đã hoạt động khá lâu trong ngành nêu tại infographic như Topica, nhưng EdTech vẫn chỉ đang trong giai đoạn sơ khai tại Việt Nam. Tại Việt Nam, hệ sinh thái EdTech trong nước vẫn còn rất non trẻ và thiếu vắng nhiều tên tuổi trong các hạng mục như Enterprise Learning (mới chỉ có MANA), School Administration (hệ thống quản lý trường học) hay Search (tìm kiếm, so sánh trường và khóa học),… Với chỉ dưới 5% số dân công sở có sử dụng một trong các dịch vụ giáo dục online, EdTech cho thấy vẫn còn một thị trường rộng lớn đang chờ được khai phá. *** Vừa qua Station D đã công bố Báo cáo Vietnam IT Landscape 2019 đem đến cái nhìn toàn cảnh về các ứng dụng công...

By stationd