注销：GET还是POST？

这个问题与一般何时使用GET或POST无关。推荐使用哪种方法来处理从Web应用程序注销。在一般意义上，我已经找到了很多有关GET和POST之间差异的信息，但是对于这种特殊情况，我没有找到确切的答案。

作为实用主义者，我倾向于使用GET，因为实现它比POST更简单。只需删除一个简单的链接就可以了。我可以想到的绝大多数网站都是这种情况，至少从我的脑海中可见。甚至Stack Overflow也可以使用GET进行注销。

让我犹豫的是（尽管是旧的）论点，即某些Web加速器/代理通过转到并检索他们在页面中找到的每个链接来预缓存页面，因此用户单击它们时可获得更快的响应。我不确定是否仍然适用，但是如果是这种情况，那么理论上具有这些加速器之一的用户将在登录后立即被踢出应用程序，因为她的加速器将查找并检索注销链接，即使她从未点击过它。

到目前为止，我所读的所有内容都建议将POST用于“破坏性操作”，而不会改变应用程序内部状态的操作（如查询等）应使用GET处理。基于此，这里的真正问题是：

从应用程序注销是否被认为具有破坏性，是否会改变应用程序的内部状态？

使用POST。

在2010年，使用GET可能是可以接受的答案。但是今天（2013年），浏览器将预提取他们“认为”您接下来将访问的页面。

这是StackOverflow开发人员之一在Twitter上谈论此问题：

我要感谢我的银行注销GET请求，并感谢Chrome小组方便的URL预取。-Nick Craver（@Nick_Craver）2013年1月29日

有趣的事实：StackOverflow曾经用于通过GET处理注销，但现在不再。

在REST中应该没有会话，因此没有任何破坏。REST客户端对每个请求进行身份验证。登录或注销，这只是一种幻想。

您真正要问的是浏览器是否应继续在每个请求上发送身份验证信息。

可以说，如果您的应用程序确实造成了登录的错觉，那么您应该能够使用javascript“注销”。无需往返。

实地研究论文- 第5.1.3节

从客户端到服务器的每个请求都必须包含理解该请求所需的所有信息，并且不能利用服务器上存储的任何上下文。因此，会话状态完全保留在客户端上

一种GET可能被滥用的方法是，一个人（竞争对手可能是：）src="<your logout link>"在互联网上放置了一个带有“任何位置”的图片标签，如果您网站的用户偶然发现了该页面，他将在不知不觉中被注销。

正确地说，GET / POST（或其他动词）是对某些资源（通过URL寻址）的操作-因此，它通常与资源的状态有关，而与应用程序的状态无关。因此，本着真正的精神，您应该有一个URL，例如[host name]\[user name]\session，然后“ DELETE”将是注销操作的正确动词。

使用[host name]\bla bla\logout中不是一个真正的REST全路（IMO）的URL，那么为什么关于正确使用GET上/ POST的争论？

当然，我也使用GET到我的应用程序中的注销URL :-)

注销对应用程序本身没有任何作用。它将更改用户相对于应用程序的状态。在这种情况下，您的问题似乎更多地取决于如何从用户启动命令以开始此操作。由于这不是“破坏性操作”，因此请确保会话已被放弃或破坏，但您的应用程序或数据均未更改，因此允许这两种方法启动注销过程都是不可行的。该帖子应由任何用户发起的操作使用（例如，用户单击“注销”），而get可以保留给应用程序发起的注销（例如，检测到潜在的用户入侵的异常强制使用注销GET重定向到登录页面）。

您好，我的观点是，登录时检查用户名/密码，如果匹配，则创建登录令牌。

CREAT令牌=>方法POST

注销时，您会破坏令牌，因此对我而言，最合乎逻辑的方法应该是DELETE

DELETE令牌=>方法DELETE

预缓存的场景很有趣。但是我猜想，如果很多站点公司都不担心这一点，那么也许您也不应该这样做。

也许链接可以用javascript实现？

编辑：据我了解，从技术上讲，GET应该用于只读请求，而不更改应用程序状态。POST应该用于更改状态的写入/编辑请求。但是，对于某些状态更改请求，其他应用程序问题可能更喜欢GET而不是POST，我认为这没有任何问题。

好吧，如果您让您的Web应用程序通过注销脚本放弃会话，那么通常也不需要。通常，有一个会话变量对于您要放弃的会话是唯一的。

最近，我正在使用GET进行注销的项目中，下面是Nodejs Express中的代码，它工作得很好

您的router.js

const express = require("express");
router.get("/signout", signout);

您的controller.js

exports.signout  = (req, res) => {
        res.clearCookie('t'); //clearing cookie, which is 
            //assign to the user during sign in.          
            res.json({message : 'Signout success'});   
        };

我看不出注销（提升用户权限）是一种破坏性的行为。那是因为“登出”操作仅对已经登录的用户可用，否则将过时。

浏览器cookie中包含的随机生成的字符串都代表您的用户会话。有无数种方法可以销毁它，因此有效注销只是对访客的一种服务。