HTTP GET mit Anforderungshauptteil

Ich entwickle einen neuen RESTful-Webservice für unsere Anwendung.

Bei einem GET für bestimmte Entitäten können Clients den Inhalt der Entität anfordern. Wenn sie einige Parameter hinzufügen möchten (z. B. eine Liste sortieren), können sie diese Parameter in die Abfragezeichenfolge einfügen.

Alternativ möchte ich, dass die Benutzer diese Parameter im Anforderungshauptteil angeben können. HTTP / 1.1 scheint dies nicht ausdrücklich zu verbieten. Auf diese Weise können sie mehr Informationen angeben und möglicherweise komplexe XML-Anforderungen leichter angeben.

Meine Fragen:

• Ist das insgesamt eine gute Idee?
• Haben HTTP-Clients Probleme mit der Verwendung von Anforderungskörpern innerhalb einer GET-Anforderung?

http://tools.ietf.org/html/rfc2616

Roy Fieldings Kommentar zum Einfügen eines Körpers mit einer GET-Anfrage .

Ja. Mit anderen Worten, jede HTTP-Anforderungsnachricht darf einen Nachrichtentext enthalten und muss daher Nachrichten unter diesem Gesichtspunkt analysieren. Die Serversemantik für GET ist jedoch so eingeschränkt, dass ein etwaiger Textkörper keine semantische Bedeutung für die Anforderung hat. Die Anforderungen an das Parsen unterscheiden sich von den Anforderungen an die Methodensemantik.

Also, ja, Sie können einen Körper mit GET senden, und nein, es ist niemals nützlich, dies zu tun.

Dies ist Teil des mehrschichtigen Designs von HTTP / 1.1, das nach der Partitionierung der Spezifikation (in Arbeit) wieder deutlich wird.

.... Roy

Ja, Sie können einen Anfragetext mit GET senden, dieser sollte jedoch keine Bedeutung haben. Wenn Sie ihm eine Bedeutung geben, indem Sie ihn auf dem Server analysieren und Ihre Antwort basierend auf seinem Inhalt ändern , ignorieren Sie diese Empfehlung in der HTTP / 1.1-Spezifikation, Abschnitt 4.3 :

[...] , wenn die Anforderung Methode nicht definiert Semantik enthält für eine Entität-Körper, dann ist die Nachricht Körper sollten ignoriert werden , wenn die Anforderung bearbeitet wird .

Und die Beschreibung der GET-Methode in der HTTP / 1.1-Spezifikation, Abschnitt 9.3 :

Die GET-Methode bedeutet, dass alle Informationen ([...]) abgerufen werden, die durch den Request-URI identifiziert werden.

Dies besagt, dass der Anforderungshauptteil nicht Teil der Identifizierung der Ressource in einer GET-Anforderung ist, sondern nur der Anforderungs-URI.

Update Der als "HTTP / 1.1-Spezifikation" bezeichnete RFC2616 ist jetzt veraltet. Im Jahr 2014 wurde es durch RFCs 7230-7237 ersetzt. Zitat "Der Nachrichtentext sollte bei der Bearbeitung der Anfrage ignoriert werden" wurde gelöscht. Es ist jetzt nur noch "Anforderungsnachrichten-Framing ist unabhängig von der Methodensemantik, auch wenn die Methode keine Verwendung für einen Nachrichtentext definiert". Das zweite Anführungszeichen "Die GET-Methode bedeutet, alle Informationen abzurufen, die durch den Anforderungs-URI identifiziert werden." wurde gelöscht. - Aus einem Kommentar

Sie können dies zwar tun, sofern dies in der HTTP-Spezifikation nicht ausdrücklich ausgeschlossen ist. Ich würde jedoch empfehlen, dies zu vermeiden, nur weil die Leute nicht erwarten, dass die Dinge so funktionieren. Es gibt viele Phasen in einer HTTP-Anforderungskette, und obwohl sie "meistens" der HTTP-Spezifikation entsprechen, können Sie nur sicher sein, dass sie sich wie traditionell von Webbrowsern verwendet verhalten. (Ich denke an Dinge wie transparente Proxys, Beschleuniger, A / V-Toolkits usw.)

Dies ist der Geist hinter dem Robustheitsprinzip, das ungefähr "liberal sein in dem, was Sie akzeptieren, und konservativ in dem, was Sie senden". Sie möchten die Grenzen einer Spezifikation nicht ohne guten Grund überschreiten.

Wenn Sie jedoch einen guten Grund haben, versuchen Sie es.

Sie werden wahrscheinlich auf Probleme stoßen, wenn Sie jemals versuchen, das Caching zu nutzen. Proxies werden nicht im GET-Body nachsehen, ob die Parameter einen Einfluss auf die Reaktion haben.

Weder der Restclient noch die REST-Konsole unterstützen dies, Curl jedoch.

Die HTTP-Spezifikation sagt in Abschnitt 4.3

Ein Nachrichtentext DARF NICHT in eine Anforderung aufgenommen werden, wenn die Angabe der Anforderungsmethode (Abschnitt 5.1.1) das Senden eines Entitätstexts in Anforderungen nicht zulässt.

Abschnitt 5.1.1 leitet uns zu Abschnitt 9.x für die verschiedenen Methoden weiter. Keiner von ihnen verbietet ausdrücklich die Aufnahme eines Nachrichtentexts. Jedoch...

Abschnitt 5.2 sagt

Die genaue Ressource, die durch eine Internetanforderung identifiziert wird, wird ermittelt, indem sowohl der Anforderungs-URI als auch das Host-Headerfeld untersucht werden.

und Abschnitt 9.3 sagt

Die GET-Methode bedeutet, dass alle Informationen (in Form einer Entität) abgerufen werden, die durch den Request-URI identifiziert werden.

Die zusammen legen nahe , dass , wenn eine GET - Anfrage ist , ein Server nicht erforderlich , etwas anderes zu prüfen , dass der Request-URI und Host - Header - Feld.

Zusammenfassend lässt sich sagen, dass die HTTP-Spezifikation Sie nicht daran hindert, einen Nachrichtentext mit GET zu senden, aber es gibt genügend Unklarheiten, die mich nicht wundern würden, wenn er nicht von allen Servern unterstützt würde.

Elasticsearch akzeptiert GET-Anfragen mit einem Body. Es scheint sogar, dass dies der bevorzugte Weg ist: Elasticsearch-Handbuch

Einige Client-Bibliotheken (wie der Ruby-Treiber) können den Befehl cry im Entwicklungsmodus in stdout protokollieren und verwenden diese Syntax häufig.

Was Sie erreichen möchten, wurde lange Zeit mit einer viel häufigeren Methode durchgeführt, die nicht auf der Verwendung einer Nutzlast mit GET beruht.

Sie können einfach Ihren spezifischen Suchmediatyp erstellen oder, wenn Sie REST-fähiger sein möchten, OpenSearch verwenden und die Anforderung an den URI senden, den der Server angewiesen hat, z. B. / search. Der Server kann dann das Suchergebnis generieren oder den endgültigen URI erstellen und mit einem 303 umleiten.

Dies hat den Vorteil, dass die traditionelle PRG-Methode angewendet wird, Vermittler die Ergebnisse zwischenspeichern können usw.

Das heißt, URIs werden sowieso für alles codiert, was nicht ASCII ist, ebenso wie application / x-www-form-urlencoded und multipart / form-data. Ich würde empfehlen, dies zu verwenden, anstatt ein weiteres benutzerdefiniertes JSON-Format zu erstellen, wenn Sie ReSTful-Szenarien unterstützen möchten.

Sie können entweder ein GET mit einem Körper senden oder einen POST senden und die RESTish-Religiosität aufgeben (es ist nicht so schlimm, vor 5 Jahren gab es nur ein Mitglied dieses Glaubens - seine Kommentare sind oben verlinkt).

Es sind auch keine guten Entscheidungen, aber das Senden eines GET-Körpers kann Probleme für einige Clients - und einige Server - verhindern.

Das Ausführen eines POST kann bei einigen RESTish-Frameworks zu Hindernissen führen.

Julian Reschke schlug oben vor, einen nicht standardmäßigen HTTP-Header wie "SEARCH" zu verwenden, der eine elegante Lösung sein könnte, mit der Ausnahme, dass er noch weniger unterstützt wird.

Es ist möglicherweise am produktivsten, Clients aufzulisten, die die oben genannten Aufgaben ausführen können und nicht.

Clients, die kein GET mit body senden können (von denen ich weiß):

• XmlHTTPRequest Fiddler

Clients, die ein GET mit body senden können:

• die meisten Browser

Server und Bibliotheken, die einen Body von GET abrufen können:

• Apache
• PHP

Server (und Proxys), die einen Body von GET entfernen:

• ?

Ich habe diese Frage an die IETF HTTP WG gestellt. Der Kommentar von Roy Fielding (Autor des http / 1.1-Dokuments von 1998) war der folgende

"... eine Implementierung wäre fehlerhaft, um etwas anderes zu tun, als diesen Körper zu analysieren und zu verwerfen, wenn er empfangen wird."

In RFC 7213 (HTTPbis) heißt es:

"Eine Nutzlast in einer GET-Anforderungsnachricht hat keine definierte Semantik."

Es scheint jetzt klar zu sein, dass die Absicht bestand, dass die semantische Bedeutung von GET-Anforderungskörpern verboten ist, was bedeutet, dass der Anforderungskörper nicht verwendet werden kann, um das Ergebnis zu beeinflussen.

Es gibt Proxies da draußen, die definitiv werden die Ihre Anfrage auf verschiedene Weise brechen, wenn Sie eine Stelle in GET aufnehmen.

Also zusammenfassend, tu es nicht.

Welcher Server wird es ignorieren? - Fidschiaaron 30. August 12 um 21:27 Uhr

Google zum Beispiel geht es schlechter als es zu ignorieren, es wird es als Fehler betrachten !

Probieren Sie es selbst mit einem einfachen Netcat:

$ netcat www.google.com 80
GET / HTTP/1.1
Host: www.google.com
Content-length: 6

1234

(Auf den 1234-Inhalt folgt CR-LF, das sind also insgesamt 6 Bytes.)

und du wirst bekommen:

HTTP/1.1 400 Bad Request
Server: GFE/2.0
(....)
Error 400 (Bad Request)
400. That’s an error.
Your client has issued a malformed or illegal request. That’s all we know.

Sie erhalten auch 400 schlechte Anfragen von Bing, Apple usw., die von AkamaiGhost bedient werden.

Daher würde ich nicht empfehlen, GET-Anforderungen mit einer Body-Entität zu verwenden.

Aus RFC 2616, Abschnitt 4.3 , "Nachrichtentext":

Ein Server sollte bei jeder Anfrage einen Nachrichtentext lesen und weiterleiten. Wenn die Anforderungsmethode keine definierte Semantik für einen Entitätskörper enthält, MUSS der Nachrichtentext bei der Verarbeitung der Anforderung ignoriert werden.

Das heißt, Server sollten immer einen bereitgestellten Anforderungshauptteil aus dem Netzwerk lesen (überprüfen Sie die Inhaltslänge oder lesen Sie einen Teilkörper usw.). Außerdem sollten Proxies jede solche Anforderungsstelle weiterleiten, die sie erhalten. Wenn der RFC dann die Semantik für den Body für die angegebene Methode definiert, kann der Server den Anfragetext tatsächlich zum Generieren einer Antwort verwenden. Wenn der RFC dies jedoch nicht tut Semantik für den Body definiert, sollte der Server diese ignorieren.

Dies steht im Einklang mit dem obigen Zitat von Fielding.

Abschnitt 9.3 , "GET", beschreibt die Semantik der GET-Methode und erwähnt keine Anforderungskörper. Daher sollte ein Server jeden Anforderungshauptteil ignorieren, den er bei einer GET-Anforderung empfängt.

Laut XMLHttpRequest ist es nicht gültig. Aus dem Standard :

4.5.6 Die send()Methode

client . send([body = null])

Initiiert die Anfrage. Das optionale Argument stellt den Anforderungshauptteil bereit. Das Argument wird ignoriert, wenn die Anforderungsmethode GEToder ist HEAD.

Löst eine InvalidStateErrorAusnahme aus, wenn einer der beiden Zustände nicht geöffnet oder das send()Flag gesetzt ist.

Die Methode muss folgende Schritte ausführen:send(body)

1. Wenn der Status nicht geöffnet ist , werfen Sie eineInvalidStateError Ausnahme ausgelöst.
2. Wenn die send()Flagge gesetzt ist, werfen Sie eineInvalidStateError Ausnahme ausgelöst.
3. Wenn die Anforderungsmethode GEToder ist HEAD, legen Sie body fest auf null.
4. Wenn body null ist, fahren Sie mit dem nächsten Schritt fort.

Obwohl ich nicht denke, dass es sollte, weil GET-Anfrage möglicherweise großen Körperinhalt benötigt.

Wenn Sie sich also auf XMLHttpRequest eines Browsers verlassen, funktioniert dies wahrscheinlich nicht.

Wenn Sie wirklich einen zwischenspeicherbaren JSON / XML-Text an eine Webanwendung senden möchten, ist die Abfragezeichenfolge, die mit RFC4648: Base 64-Codierung mit URL und Dateiname Safe Alphabet codiert ist, der einzig vernünftige Ort, um Ihre Daten zu speichern . Natürlich können Sie auch JSON einfach mit einem Urlencode versehen und den Wert von URL param eingeben, aber Base64 liefert ein kleineres Ergebnis. Beachten Sie, dass es Einschränkungen hinsichtlich der URL-Größe gibt. Weitere Informationen finden Sie unter Was ist die maximale Länge einer URL in verschiedenen Browsern? .

Möglicherweise denken Sie, dass =das Auffüllzeichen von Base64 für den Parameterwert der URL schlecht ist, dies scheint jedoch nicht der Fall zu sein - siehe folgende Diskussion: http://mail.python.org/pipermail/python-bugs-list/2007-February/037195.html . Sie sollten jedoch keine codierten Daten ohne Parameternamen einfügen, da codierte Zeichenfolgen mit Auffüllung als Parameterschlüssel mit leerem Wert interpretiert werden. Ich würde so etwas benutzen ?_b64=<encodeddata>.

Ich würde dies nicht empfehlen, es widerspricht den Standardpraktiken und bietet nicht so viel Gegenleistung. Sie möchten den Textkörper für Inhalte behalten, nicht für Optionen.

Was ist mit fehlerhaften Base64-codierten Headern? "ETWAS APP-PARAMS: sdfSD45fdg45 / aS"

Längenbeschränkungen hm. Können Sie Ihre POST-Behandlung nicht zwischen den Bedeutungen unterscheiden lassen? Wenn Sie einfache Parameter wie Sortieren möchten, verstehe ich nicht, warum dies ein Problem wäre. Ich denke, es ist sicher, dass Sie sich Sorgen machen.

Ich bin verärgert, dass REST als Protokoll OOP und nicht unterstützt Get Methode ein Beweis ist. Als Lösung können Sie Ihr DTO in JSON serialisieren und anschließend eine Abfragezeichenfolge erstellen. Auf der Serverseite können Sie die Abfragezeichenfolge für das DTO deserialisieren.

Schauen Sie sich an:

• Nachrichtenbasiertes Design in ServiceStack
• Erstellen von RESTful Message Based Web Services mit WCF

Der nachrichtenbasierte Ansatz kann Ihnen bei der Lösung der Einschränkung der Get-Methode helfen. Sie können jedes DTO wie mit dem Anforderungshauptteil senden

Das Nelibur-Webdienst-Framework bietet Funktionen, die Sie verwenden können

var client = new JsonServiceClient(Settings.Default.ServiceAddress);
var request = new GetClientRequest
    {
        Id = new Guid("2217239b0e-b35b-4d32-95c7-5db43e2bd573")
    };
var response = client.Get<GetClientRequest, ClientResponse>(request);

as you can see, the GetClientRequest was encoded to the following query string

http://localhost/clients/GetWithResponse?type=GetClientRequest&data=%7B%22Id%22:%2217239b0e-b35b-4d32-95c7-5db43e2bd573%22%7D

Zum Beispiel funktioniert es mit Curl, Apache und PHP.

PHP-Datei:

<?php
echo $_SERVER['REQUEST_METHOD'] . PHP_EOL;
echo file_get_contents('php://input') . PHP_EOL;

Konsolenbefehl:

$ curl -X GET -H "Content-Type: application/json" -d '{"the": "body"}' 'http://localhost/test/get.php'

Ausgabe:

GET
{"the": "body"}

IMHO könnten Sie einfach die JSONverschlüsselte (dh encodeURIComponent) in der senden URL, auf diese Weise verletzen Sie nicht die HTTPSpezifikationen und bringen Ihre JSONan den Server.

Sie haben eine Liste von Optionen, die weitaus besser sind als die Verwendung eines Anforderungshauptteils mit GET.

Angenommen, Sie haben Kategorien und Elemente für jede Kategorie. Beide sind durch eine ID zu identifizieren ("catid" / "itemid" für dieses Beispiel). Sie möchten nach einem anderen Parameter "sortby" in einer bestimmten "Reihenfolge" sortieren. Sie möchten Parameter für "sortby" und "order" übergeben:

Du kannst:

1. Verwenden Sie Abfragezeichenfolgen, z example.com/category/{catid}/item/{itemid}?sortby=itemname&order=asc
2. Verwenden Sie mod_rewrite (oder ähnliches) für Pfade: example.com/category/{catid}/item/{itemid}/{sortby}/{order}
3. Verwenden Sie einzelne HTTP-Header, die Sie mit der Anforderung übergeben
4. Verwenden Sie eine andere Methode, z. B. POST, um eine Ressource abzurufen.

Alle haben ihre Nachteile, sind aber weitaus besser als die Verwendung eines GET mit einem Körper.

Selbst wenn ein beliebtes Tool dies verwendet, wie auf dieser Seite häufig zitiert, halte ich es für eine ziemlich schlechte Idee, zu exotisch zu sein, obwohl dies nicht durch die Spezifikation verboten ist.

Viele Zwischeninfrastrukturen lehnen solche Anfragen möglicherweise einfach ab.

Beispiel vorangehen , vergessen Sie einige der verfügbaren CDN vor Ihrer Website, wie diese mit einem :

Wenn eine Viewer- GETAnforderung einen Text enthält, gibt CloudFront einen HTTP-Statuscode 403 (Verboten) an den Viewer zurück.

Und ja, Ihre Client-Bibliotheken unterstützen möglicherweise auch nicht das Senden solcher Anforderungen, wie in diesem Kommentar angegeben .

Ich verwende das RestTemplate des Spring-Frameworks in meinem Client-Programm und habe auf der Serverseite eine GET-Anforderung mit einem Json-Body definiert. Mein Hauptzweck ist der gleiche wie bei Ihnen: Wenn die Anforderung zahlreiche Parameter enthält, erscheint es ordentlicher, sie in den Body einzufügen, als sie in die verlängerte URI-Zeichenfolge einzufügen. Ja?

Aber leider funktioniert es nicht! Die Serverseite hat die folgende Ausnahme ausgelöst:

org.springframework.http.converter.HttpMessageNotReadableException: Erforderlicher Anforderungshauptteil fehlt ...

Aber ich bin mir ziemlich sicher, dass der Nachrichtentext von meinem Client-Code korrekt bereitgestellt wird. Was ist also falsch?

Ich habe die Methode RestTemplate.exchange () verfolgt und Folgendes gefunden:

// SimpleClientHttpRequestFactory.class
public class SimpleClientHttpRequestFactory implements ClientHttpRequestFactory, AsyncClientHttpRequestFactory {
    ...
    protected void prepareConnection(HttpURLConnection connection, String httpMethod) throws IOException {
        ...
        if (!"POST".equals(httpMethod) && !"PUT".equals(httpMethod) && !"PATCH".equals(httpMethod) && !"DELETE".equals(httpMethod)) {
            connection.setDoOutput(false);
        } else {
            connection.setDoOutput(true);
        }
        ...
    }
}

// SimpleBufferingClientHttpRequest.class
final class SimpleBufferingClientHttpRequest extends AbstractBufferingClientHttpRequest {
    ...
    protected ClientHttpResponse executeInternal(HttpHeaders headers, byte[] bufferedOutput) throws IOException {
        ...
        if (this.connection.getDoOutput() && this.outputStreaming) {
            this.connection.setFixedLengthStreamingMode(bufferedOutput.length);
        }

        this.connection.connect();
        if (this.connection.getDoOutput()) {
            FileCopyUtils.copy(bufferedOutput, this.connection.getOutputStream());
        } else {
            this.connection.getResponseCode();
        }
        ...
    }
}

Bitte beachten Sie, dass in der Methode executeInternal () das Eingabeargument 'bufferedOutput' den von meinem Code bereitgestellten Nachrichtentext enthält. Ich habe es durch den Debugger gesehen.

Aufgrund von prepareConnection () gibt getDoOutput () in executeInternal () jedoch immer false zurück, wodurch der bufferedOutput vollständig ignoriert wird! Es wird nicht in den Ausgabestream kopiert.

Folglich hat mein Serverprogramm keinen Nachrichtentext empfangen und diese Ausnahme ausgelöst.

Dies ist ein Beispiel für das RestTemplate des Spring-Frameworks. Der Punkt ist, dass einige Client- oder Serverbibliotheken oder Frameworks möglicherweise der alten Spezifikation entsprechen und den Nachrichtentext aus der GET-Anforderung ablehnen, selbst wenn der Nachrichtentext nicht mehr durch die HTTP-Spezifikation verboten ist.