Abmelden: GET oder POST?

Question

In dieser Frage geht es nicht darum, wann man GET oder POST im Allgemeinen verwenden sollte; Es geht darum, welches die empfohlene Lösung für das Abmelden von einer Webanwendung ist. Ich habe viele Informationen über die Unterschiede zwischen GET und POST im allgemeinen Sinne gefunden, aber ich habe keine eindeutige Antwort für dieses spezielle Szenario gefunden.

Als Pragmatiker neige ich dazu, GET zu verwenden, weil die Implementierung viel einfacher ist als POST; man muss nur einen einfachen Link einfügen, und schon ist man fertig. Dies scheint bei der großen Mehrheit der Websites der Fall zu sein, die mir einfallen, zumindest wenn ich mich recht entsinne. Sogar Stack Overflow loggt sich mit GET aus.

Was mich zögern lässt, ist das (wenn auch alte) Argument, dass einige Web-Beschleuniger/Proxys Seiten vorcachen, indem sie jeden Link, den sie auf der Seite finden, abrufen, so dass der Benutzer eine schnellere Antwort erhält, wenn er darauf klickt. Ich bin mir nicht sicher, ob dies immer noch zutrifft, aber wenn dies der Fall wäre, dann würde theoretisch ein Benutzer mit einem dieser Beschleuniger aus der Anwendung geworfen werden, sobald er sich anmeldet, weil sein Beschleuniger den Abmeldelink finden und abrufen würde, auch wenn er ihn nie angeklickt hat.

Alles, was ich bisher gelesen habe, deutet darauf hin, dass POST sollte für "destruktive Aktionen" verwendet werden, während Aktionen, die den internen Zustand der Anwendung nicht verändern - wie Abfragen und dergleichen - mit GET behandelt werden sollten. . Die eigentliche Frage, die sich hier stellt, ist also:

Gilt das Abmelden von einer Anwendung als destruktive Aktion bzw. wird der interne Zustand der Anwendung verändert?

Answer 1

Das Abmelden hat keinen Einfluss auf die Anwendung selbst. Es ändert nur den Status des Benutzers in Bezug auf die Anwendung. In diesem Fall scheint Ihre Frage eher darauf zu basieren, wie der Befehl vom Benutzer initiiert werden sollte, um diese Aktion zu starten. Da es sich nicht um eine "zerstörerische Aktion" handelt, d.h. die Sitzung wird zwar verlassen oder zerstört, aber weder die Anwendung noch die Daten werden verändert, ist es nicht undurchführbar, beide Methoden zur Einleitung eines Abmeldevorgangs zuzulassen. Post sollte für alle vom Benutzer initiierten Aktionen verwendet werden (z.B. - Benutzer klickt auf "Abmelden"), während get für von der Anwendung initiierte Abmeldungen reserviert werden könnte (z.B. - eine Ausnahme, die ein mögliches Eindringen des Benutzers feststellt, leitet zwangsweise zur Anmeldeseite mit einem Logout-GET um).

Answer 2

Das Szenario des Pre-Caching ist interessant. Aber ich vermute, dass, wenn viele Websites inc SO sich nicht darum kümmern, dann sollten Sie vielleicht auch nicht.

Oder könnte der Link vielleicht in Javascript implementiert werden?

Edit: So wie ich es verstehe, sollte technisch gesehen ein GET für reine Leseanfragen sein, die den Zustand der Anwendung nicht verändern. Ein POST sollte für Schreib-/Bearbeitungsanfragen sein, die den Zustand ändern. Andere Anwendungsprobleme könnten jedoch GET gegenüber POST für einige zustandsändernde Anfragen bevorzugen, und ich glaube nicht, dass es damit ein Problem gibt.

Answer 3

Nun, wenn Sie Ihre Webanwendung die Sitzung durch ein Abmeldeskript beenden lassen, brauchen Sie normalerweise beides nicht. Normalerweise gibt es eine Sitzungsvariable, die für die zu beendende Sitzung eindeutig ist.

Answer 4

Ich verstehe nicht, wie das Abmelden (Entziehen der Benutzerrechte) eine destruktive Handlung sein soll. Das liegt daran, dass die Aktion "Abmelden" nur für Benutzer verfügbar sein sollte, die bereits angemeldet sind, da sie sonst überflüssig wäre.

Eine zufällig generierte Zeichenkette, die in Ihren Browser-Cookies enthalten ist, repräsentiert Ihre gesamte Benutzersitzung. Es gibt viele Möglichkeiten, sie zu zerstören, so dass das effektive Abmelden lediglich ein Service für Ihre Besucher ist.