ログアウト：GETまたはPOST？

この質問は、GETまたはPOSTを一般的にいつ使用するかに関するものではありません。これは、Webアプリケーションのログアウトを処理するために推奨される方法です。一般的な意味でのGETとPOSTの違いに関する多くの情報を見つけましたが、この特定のシナリオに対する明確な答えは見つかりませんでした。

実用主義者として、私はGETを使用する傾向があります。GETの実装はPOSTよりもはるかに簡単だからです。単純なリンクをドロップするだけで完了です。これは、少なくとも頭のてっぺんから、私が考えることができる大多数のWebサイトに当てはまるようです。Stack Overflowでも、GETを使用してログアウトを処理します。

私が躊躇しているのは、一部のWebアクセラレータ/プロキシがページ内で見つかったすべてのリンクに移動して取得することでページをプリキャッシュする（古い）引数であり、ユーザーがクリックしたときにユーザーがより迅速に応答するようにします。これがまだ当てはまるかどうかはわかりませんが、これが当てはまる場合、理論的には、これらのアクセラレータのいずれかを使用しているユーザーは、ログインするとすぐにアプリケーションから追い出されます。彼女はそれをクリックしなかった場合でも、リンク。

これまでに読んだことはすべて、POSTは「破壊的なアクション」に使用する必要があることを示唆していますが、アプリケーションの内部状態を変更しないアクション（クエリなど）はGETで処理する必要があります。これに基づいて、ここでの本当の質問は次のとおりです。

アプリケーションからのログアウトは破壊的なアクションと見なされますか/それはアプリケーションの内部状態を変更しますか？

を使用しPOSTます。

2010年には、使用GETはおそらく許容できる回答でした。しかし、今日（2013年）、ブラウザは、次にアクセスすると "考える"ページをプリフェッチします。

StackOverflowの開発者の1人がこの問題についてTwitterで話しています。

GETリクエストをログオフしてくれた私の銀行と、便利なURLプリフェッチを行ったChromeチームに感謝します。-Nick Craver（@Nick_Craver）2013年1月29日

面白い事実：StackOverflowはGETを介してログアウトを処理するために使用されていましたが、現在は使用されていません。

RESTではセッションはないはずなので、破壊するものはありません。RESTクライアントはすべてのリクエストで認証を行います。ログインまたはログアウト、それは単なる幻想です。

あなたが本当に求めているのは、ブラウザがすべてのリクエストで認証情報を送信し続けるかどうかです。

間違いなく、アプリケーションがログインしているように見える場合は、JavaScriptを使用して「ログアウト」できるはずです。往復は必要ありません。

フィールディング論文- セクション5.1.3

クライアントからサーバーへの各要求には、要求を理解するために必要なすべての情報が含まれている必要があり、サーバーに格納されているコンテキストを利用することはできません。したがって、セッション状態は完全にクライアントで保持されます

GETここで悪用される可能性のある方法の1つは、人（おそらく競合他社:) src="<your logout link>"がインターネット上の任意の場所にイメージタグを配置し、サイトのユーザーがそのページに遭遇した場合、無意識のうちにログアウトされることです。

正確には、GET / POST（または他の動詞）は（URLによってアドレス指定された）いくつかのリソースに対するアクションです。そのため、通常はリソースの状態に関するものであり、アプリケーションの状態に関するものではありません。したがって、本当の意味で、のようなURLが必要[host name]\[user name]\sessionです。その場合、「DELETE」はログアウトアクションの正しい動詞になります。

[host name]\bla bla\logout実際にはRESTフルウェイ（IMO）ではなくURLとして使用しているので、GET / POSTの正しい使用についてなぜ議論するのでしょうか。

もちろん、アプリケーションでログアウトURLにGETも使用します:-)

ログアウトしてもアプリケーション自体には何の影響もありません。アプリケーションに関連するユーザーの状態を変更します。この場合、あなたの質問は、このアクションを開始するためにユーザーからコマンドをどのように開始する必要があるかに基づいているようです。これは「破壊的なアクション」ではないため、セッションは破棄または破棄されますが、アプリケーションもデータも変更されないため、両方の方法でログアウト手順を開始することはできません。投稿は、ユーザーが開始したアクション（たとえば、ユーザーが[ログアウト]をクリック）で使用する必要があります。一方、getは、アプリケーションが開始したログアウト用に予約できます（例：潜在的なユーザー侵入を検出する例外により、ログアウトGETを使用してログインページに強制的にリダイレクトされます。 ）。

こんにちは私の観点では、ログインするときにユーザー名/パスワードを確認し、それらが一致する場合はログイントークンを作成します。

CREATトークン=>メソッドPOST

ログアウトするとき、トークンを破壊するので、私にとって最も論理的な方法はDELETEであるべきです

DELETEトークン=>メソッドDELETE

事前キャッシュのシナリオは興味深いものです。しかし、私はSOを含む多くのサイトがこれについて心配していなければ、多分あなたもそうすべきではないと思います。

または、リンクをJavaScriptで実装できますか？

編集：私が理解しているように、技術的には、GETは読み取り専用リクエスト用であり、アプリケーションの状態を変更しないものでなければなりません。POSTは、状態を変更する書き込み/編集リクエスト用です。ただし、他のアプリケーションの問題では、一部の状態変更要求に対してPOSTよりもGETを優先する場合があり、これには問題がないと思います。

Webアプリケーションでログアウトスクリプトを使用してセッションを中止する場合は、通常どちらも必要ありません。通常、破棄したいセッションに固有のセッション変数があります。

最近私はGETを使用してログアウトするプロジェクトに取り組んでいました以下はNodejs Expressのコードで、完全に正常に動作します

あなたのrouter.js

const express = require("express");
router.get("/signout", signout);

あなたのcontroller.js

exports.signout  = (req, res) => {
        res.clearCookie('t'); //clearing cookie, which is 
            //assign to the user during sign in.          
            res.json({message : 'Signout success'});   
        };

ログアウト（ユーザーのアクセス許可の昇格）がどのように破壊的なアクションであるかはわかりません。これは、「ログアウト」アクションはすでにログインしているユーザーのみが使用できるようにする必要があるためです。それ以外の場合は廃止されます。

ブラウザのCookieに含まれるランダムに生成された文字列は、すべてユーザーセッションを表しています。それを破壊する方法はたくさんあるので、効果的にログアウトするのは訪問者へのサービスにすぎません。