别再这么写POST请求了~

       大家好，我是石头~

       今天在进行组内code review，发现有一位同学在使用POST方式进行接口调用传参的时候，并不是按照HTTP规范，将参数写入到请求体中进行传输，而是拼接到接口URL上面。

       那么，POST请求，是否适宜将参数拼接到URL中呢？

POST请求与参数传递的标准机制

       在讨论这个问题之前，我们先了解一下POST请求参数传递的正确方式是怎样的？

       按照HTTP协议规定，POST请求主要服务于向服务器提交数据的操作，这类数据通常包含表单内容、文件上传等。标准实践中，这些数据应封装于请求体（Request Body）内，而非附加在URL上。这是出于POST请求对数据容量和安全性的考量，URL因其长度限制和透明性特点并不适合作为大型或敏感数据的载体。

URL参数拼接的风险

       从上所述，URL参数拼接并不是POST请求参数传递的正确方式，但是既然这样做也是可以正常进行请求的，对方服务端也能正常获取到参数，那么，URL参数拼接又有什么风险？

• 
  
• URL长度限制：URL长度并非无限制，大多数浏览器和服务器都有最大长度限制，一般在2000字符左右，若参数过多或过大，可能导致URL截断，进而使服务端无法完整接收到所有参数
  
• 安全性隐患：将参数拼接到URL中，可能导致敏感信息泄露，如密码、密钥等。此外，URL中的参数容易被浏览器历史记录、缓存、代理服务器等记录，增加了信息泄露的风险
  
• 不符合HTTP规范：POST请求通常将数据放在请求体中，而非URL中，违反这一规范可能导致与某些服务器或中间件的兼容性问题。
  

POST传参正确写法

       以下是一个使用Java的HttpURLConnection发送Post请求并将数据放在请求体中的示例：

import java.io.OutputStream;
import java.net.HttpURLConnection;
import java.net.URL;

public class PostRequestExample {

public static void sendPostRequest(String requestUrl, String postData) throws Exception {
URL url = new URL(requestUrl);
HttpURLConnection connection = (HttpURLConnection) url.openConnection();

        connection.setRequestMethod("POST");

        connection.setRequestProperty("Content-Type", "application/x-www-form-urlencoded"); // 设置请求头，表明请求体的内容类型


        connection.setDoOutput(true); // 表示要向服务器写入数据
try (OutputStream os = connection.getOutputStream()) {
byte[] input = postData.getBytes("UTF-8"); // 将参数转换为字节数组，此处假设postData是已编码好的参数字符串

            os.write(input, 0, input.length); // 将参数写入请求体

        }

int responseCode = connection.getResponseCode();
if (responseCode == HttpURLConnection.HTTP_OK) {
// 处理响应...

        } else {
// 错误处理...

        }

    }

public static void main(String[] args) throws Exception {
String requestUrl = "http://example.com/api/endpoint";
String postData = "param1=value1&param2=value2"; // 参数以键值对的形式编码

        sendPostRequest(requestUrl, postData);

    }

}