Kod odpowiedzi HTTP dla testu POST, gdy zasób już istnieje

Buduję serwer, który pozwala klientom przechowywać obiekty. Obiekty te są w pełni zbudowane po stronie klienta, wraz z identyfikatorami obiektów, które są stałe przez cały okres życia obiektu.

Zdefiniowałem interfejs API, aby klienci mogli tworzyć lub modyfikować obiekty za pomocą PUT:

PUT /objects/{id} HTTP/1.1
...

{json representation of the object}

{Id} jest identyfikatorem obiektu, więc jest częścią identyfikatora URI żądania.

Teraz rozważam również zezwolenie klientom na tworzenie obiektu za pomocą POST:

POST /objects/ HTTP/1.1
...

{json representation of the object, including ID}

Ponieważ POST ma oznaczać operację „dołącz”, nie jestem pewien, co zrobić, jeśli obiekt już tam jest. Czy powinienem traktować to żądanie modyfikacji, czy powinienem zwrócić kod błędu (który)?

Moje odczucie jest 409 Conflictnajbardziej odpowiednie, jednak rzadko spotykane na wolności:

Żądanie nie mogło zostać zakończone z powodu konfliktu z bieżącym stanem zasobu. Ten kod jest dozwolony tylko w sytuacjach, w których oczekuje się, że użytkownik będzie w stanie rozwiązać konflikt i ponownie przesłać żądanie. Treść odpowiedzi POWINNA zawierać wystarczającą ilość informacji, aby użytkownik mógł rozpoznać źródło konfliktu. Idealnie, jednostka odpowiedzi zawierałaby wystarczającą ilość informacji dla użytkownika lub agenta użytkownika, aby rozwiązać problem; może to jednak nie być możliwe i nie jest wymagane.

Konflikty najczęściej występują w odpowiedzi na żądanie PUT. Na przykład, jeśli użyto wersjonowania, a obiekt PUT zawierał zmiany w zasobie, które powodują konflikt z zasobami dokonanymi przez wcześniejsze żądanie (strony trzeciej), serwer może użyć odpowiedzi 409, aby wskazać, że nie może zrealizować żądania . W takim przypadku jednostka odpowiedzi prawdopodobnie zawierałaby listę różnic między dwiema wersjami w formacie zdefiniowanym przez typ zawartości odpowiedzi.

Zgodnie z RFC 7231 , o 303 Zobacz inne MOGĄ być wykorzystywane Jeśli wynik przetwarzania stanowiska byłoby równoznaczne z reprezentacji istniejącego zasobu .

Osobiście korzystam z rozszerzenia WebDAV 422 Unprocessable Entity.

Zgodnie z RFC 4918

422 Unprocessable EntityKod statusu oznacza, że serwer rozumie treść typ jednostki żądania (stąd 415 Unsupported Media Typekod stanu jest nieodpowiednie) i składnia podmiotu żądanie jest prawidłowe (zatem 400 Bad Requestkod stanu jest niewłaściwe), ale nie był w stanie przetwarzać zawarte instrukcje.

Chodzi o kontekst , a także o to, kto jest odpowiedzialny za obsługę duplikatów w żądaniach (serwer, klient lub oba)

Jeśli serwer po prostu wskazuje duplikat , spójrz na 4xx:

• 400 Błędne żądanie - gdy serwer nie przetworzy żądania, ponieważ jest to oczywista wina klienta
• 409 Konflikt - jeśli serwer nie przetworzy żądania, ale przyczyną tego nie jest wina klienta
• ...

Aby zobaczyć niejawną obsługę duplikatów, spójrz na 2XX:

• 200 OK
• 201 Utworzono
• ...

jeśli oczekuje się, że serwer coś zwróci , spójrz na 3XX:

• 302 Znaleziono
• 303 Zobacz inne
• ...

gdy serwer jest w stanie wskazać istniejący zasób, oznacza to przekierowanie.

Jeśli powyższe nie wystarczy, zawsze dobrą praktyką jest przygotowanie komunikatu o błędzie w treści odpowiedzi.

Może późno do gry, ale natknąłem się na ten problem semantyki, próbując stworzyć interfejs API REST.

Aby nieco rozwinąć odpowiedź Wrikkena, myślę, że możesz użyć jednego 409 Conflictlub 403 Forbiddenzależnie od sytuacji - w skrócie, użyj błędu 403, gdy użytkownik nie może zrobić absolutnie nic, aby rozwiązać konflikt i zrealizować żądanie (np. Nie może wysłać DELETEżądanie jawnego usunięcia zasobu) lub użyj 409, jeśli można coś zrobić.

10.4.4 403 Zabronione

Serwer zrozumiał żądanie, ale odmawia jego spełnienia. Autoryzacja nie pomoże, a prośba NIE POWINNA zostać powtórzona. Jeśli metoda żądania nie była HEAD, a serwer chce podać do publicznej wiadomości, dlaczego żądanie nie zostało spełnione, POWINIEN opisać przyczynę odmowy w jednostce. Jeśli serwer nie chce udostępnić tych informacji klientowi, zamiast tego można użyć kodu stanu 404 (Nie znaleziono).

W dzisiejszych czasach ktoś mówi „403” i przychodzi na myśl problem z uprawnieniami lub uwierzytelnianiem, ale specyfikacja mówi, że to w zasadzie serwer mówi klientowi, że nie zamierza tego zrobić, nie pytaj go ponownie, a oto dlaczego klient nie powinien „t.

Jeśli chodzi o PUTvs. POST... POSTnależy użyć do utworzenia nowej instancji zasobu, gdy użytkownik nie ma środków lub nie powinien utworzyć identyfikatora zasobu. PUTjest używany, gdy znana jest tożsamość zasobu.

9,6 PUT

...

Podstawowa różnica między żądaniami POST i PUT znajduje odzwierciedlenie w innym znaczeniu URI żądania. Identyfikator URI w żądaniu POST identyfikuje zasób, który będzie obsługiwał zamknięty obiekt. Ten zasób może być procesem akceptującym dane, bramą do innego protokołu lub osobnym podmiotem, który przyjmuje adnotacje. W przeciwieństwie do tego, URI w żądaniu PUT identyfikuje encję zawartą w żądaniu - agent użytkownika wie, jaki jest URI, a serwer NIE MOŻE próbować zastosować żądania do jakiegoś innego zasobu. Jeśli serwer chce zastosować żądanie do innego identyfikatora URI,

MUSI wysłać odpowiedź 301 (Moved Permanently); klient użytkownika MOŻE następnie podjąć własną decyzję dotyczącą tego, czy przekierować żądanie.

„302 Znaleziono” brzmi dla mnie logicznie. A RFC 2616 mówi, że można odpowiedzieć na inne żądania niż GET i HEAD (i to z pewnością obejmuje POST)

Ale nadal utrzymuje odwiedzającego pod tym adresem URL, aby uzyskać ten „znaleziony” zasób przez RFC. Aby przejść bezpośrednio do rzeczywistego adresu URL „Znaleziony”, należy użyć „303 Zobacz inne”, co ma sens, ale wymusza kolejne wywołanie, aby uzyskać następujący adres URL. Z drugiej strony, ten GET można buforować.

Myślę, że użyłbym „303 See Other” . Nie wiem, czy mogę odpowiedzieć „rzeczą” znalezioną w ciele, ale chciałbym to zrobić, aby zapisać jedną podróż do serwera.

AKTUALIZACJA: Po ponownym odczytaniu RFC nadal uważam, że nieistniejący kod „Znaleziono 4XX + 303” powinien być poprawny. Jednak „konflikt 409” jest najlepszym istniejącym kodem odpowiedzi (jak wskazał @Wrikken), może zawierać nagłówek lokalizacji wskazujący na istniejący zasób.

Nie sądzę, że powinieneś to zrobić.

POST służy, jak wiadomo, do modyfikacji kolekcji i służy do TWORZENIA nowego elementu. Jeśli więc wyślesz identyfikator (myślę, że to nie jest dobry pomysł), powinieneś zmodyfikować kolekcję, tj. Zmodyfikować element, ale jest to mylące.

Użyj go, aby dodać element bez identyfikatora. To najlepsza praktyka.

Jeśli chcesz przechwycić ograniczenie UNIQUE (nie identyfikator), możesz odpowiedzieć 409, tak jak w żądaniach PUT. Ale nie identyfikator.

Idę z 422 Unprocessable Entity, który jest używany, gdy żądanie jest nieprawidłowe, ale problem nie dotyczy składni lub uwierzytelnienia.

Jako argument przeciwko innym odpowiedziom użycie dowolnego 4xxkodu innego niż kod błędu oznaczałoby, że nie jest to błąd klienta i oczywiście tak jest. Używanie 4xxkodu innego niż błąd do reprezentowania błędu klienta nie ma żadnego sensu.

Wygląda na to że 409 Conflict jest to najczęstsza odpowiedź tutaj, ale zgodnie ze specyfikacją oznacza to, że zasób już istnieje, a nowe dane, które do niego aplikujesz, są niezgodne z jego bieżącym stanem. Jeśli wysyłaszPOSTżądanie, na przykład z nazwą użytkownika, która jest już zajęta, tak naprawdę nie powoduje konfliktu z zasobem docelowym, ponieważ zasób docelowy (zasób, który próbujesz utworzyć) nie został jeszcze opublikowany. Jest to błąd specyficzny dla kontroli wersji, gdy występuje konflikt między wersją przechowywanego zasobu a wersją żądanego zasobu. Jest to bardzo przydatne w tym celu, na przykład gdy klient zbuforował starą wersję zasobu i wysyła żądanie oparte na tej niepoprawnej wersji, która nie byłaby warunkowo ważna. „W takim przypadku reprezentacja odpowiedzi prawdopodobnie zawierałaby informacje przydatne do scalenia różnic w oparciu o historię zmian.” Prośba o utworzenie innego użytkownika o tej nazwie jest po prostu nieprzetworzona i nie ma nic wspólnego z kontrolą wersji.

Dla przypomnienia, 422 jest także kodem statusu, którego używa GitHub, gdy próbujesz utworzyć repozytorium o nazwie już używanej.

Myślę, że w przypadku REST musisz podjąć decyzję dotyczącą zachowania tego konkretnego systemu, w takim przypadku myślę, że „właściwa” odpowiedź byłaby jedną z kilku podanych tutaj odpowiedzi. Jeśli chcesz zatrzymać żądanie i zachowywać się tak, jakby klient popełnił błąd, który należy naprawić przed kontynuowaniem, użyj 409. Jeśli konflikt naprawdę nie jest tak ważny i chcesz kontynuować żądanie, odpowiedz poprzez przekierowanie klient znalezionej jednostki. Myślę, że odpowiednie interfejsy API REST powinny przekierowywać (lub przynajmniej dostarczać nagłówek lokalizacji) do punktu końcowego GET dla tego zasobu po zakończeniu testu POST, więc zachowanie to zapewni spójne działanie.

EDYCJA: Warto również zauważyć, że powinieneś rozważyć PUT, ponieważ podajesz identyfikator. Zatem zachowanie jest proste: „Nie dbam o to, co jest teraz, umieść to tutaj”. Oznacza to, że jeśli nic tam nie będzie, zostanie utworzone; jeśli coś tam jest, zostanie zastąpione. Myślę, że test POST jest bardziej odpowiedni, gdy serwer zarządza tym identyfikatorem. Oddzielenie dwóch pojęć w zasadzie mówi ci, jak sobie z tym poradzić (tj. PUT jest idempotentny, więc zawsze powinien działać tak długo, jak długo ładunek się sprawdza, POST zawsze tworzy, więc jeśli występuje kolizja identyfikatorów, 409 opisałby ten konflikt) .

W końcu innym potencjalnym sposobem leczenia jest stosowanie PATCH. PATCH definiuje się jako coś, co zmienia stan wewnętrzny i nie ogranicza się do dołączania.

PATCH rozwiązałby problem, umożliwiając aktualizację już istniejących elementów. Zobacz: RFC 5789: PATCH

Dlaczego nie zaakceptowano 202 ? Jest to żądanie OK (200s), per se nie wystąpiły błędy klienta (400s).

Z 10 definicji kodów stanu :

„202 Zaakceptowano. Żądanie zostało zaakceptowane do przetworzenia, ale przetwarzanie nie zostało zakończone.”

... ponieważ nie trzeba było go wypełniać, ponieważ już istniał. Klient nie wie, że już istniał, nie zrobił nic złego.

Opieram się na rzucaniu 202 i zwracaniu podobnych treści do tego, co /{resource}/{id}zwróciłby GET .

Natknąłem się na to pytanie, sprawdzając poprawność kodu dla duplikatu rekordu.

Przepraszam za moją ignorancję, ale nie rozumiem, dlaczego wszyscy ignorują kod „300”, który wyraźnie mówi „wielokrotny wybór” lub „dwuznaczny”

Moim zdaniem byłby to idealny kod do budowy niestandardowego lub konkretnego systemu na własny użytek. Mogę się również mylić!

https://tools.ietf.org/html/rfc7231#section-6.4.1

Bardziej prawdopodobne jest 400 Bad Request

6.5.1 400 złych wniosków

Kod statusu 400 (Błędne żądanie) wskazuje, że serwer nie może lub nie przetworzy żądania z powodu czegoś, co jest postrzegane jako błąd klienta (np. Źle sformułowana składnia żądania, nieprawidłowe sformułowanie komunikatu żądania lub oszukańczy routing żądania).

Ponieważ żądanie zawiera zduplikowaną wartość (wartość, która już istnieje), może być postrzegane jako błąd klienta. Musisz zmienić żądanie przed następną próbą.
Uwzględniając te fakty, możemy stwierdzić, że błędny wniosek HTTP STATUS 400.

Co z 208 - http://httpstatusdogs.com/208-already-reported ? Czy to jest opcja?

Moim zdaniem, jeśli jedyną rzeczą jest powtarzanie zasobów, nie należy zgłaszać błędów. W końcu nie ma błędu ani po stronie klienta, ani serwera.