正确地说，GET/POST(或其他动词)是对某些资源(通过URL寻址)的操作——因此它通常是关于资源的状态，而不是关于应用程序的状态。因此，在真正的精神，您应该有一个URL，如[主机名]\[用户名]\session，然后'DELETE'将是注销操作的正确动词。

使用[主机名]\bla bla\logout作为URL并不是真正的REST完全方式(IMO)，所以为什么要争论正确使用GET/POST呢?

当然，我也使用GET注销url在我的应用程序:-)

你好，在我看来，当你登录时，你检查用户名/密码，如果它们匹配，你创建登录令牌。

CREATE token =>方法POST

当你注销时，你破坏令牌，所以对我来说，最合乎逻辑的方法应该是DELETE

DELETE令牌=>方法DELETE

在REST中不应该有会话，因此不需要破坏任何东西。REST客户机对每个请求进行身份验证。登录或退出，都只是幻觉。

您真正要问的是浏览器是否应该在每个请求上继续发送身份验证信息。

可以说，如果您的应用程序确实创建了登录的假象，那么您应该能够使用javascript“注销”。不需要往返。

论文论文-第5.1.3节

从客户端到服务器的每个请求 必须包含所有的信息吗 为了理解请求， 而且不能占任何便宜 服务器上存储的上下文。会话 因此，国家完全处于状态 客户端

使用POST。

在2010年，使用GET可能是一个可以接受的答案。但在今天(2013年)，浏览器会预取它们“认为”你接下来会访问的页面。

下面是StackOverflow的一位开发者在twitter上谈论这个问题:

我要感谢我的银行注销一个GET请求，和Chrome团队方便的URL预取。——尼克·克雷弗(@Nick_Craver) 2013年1月29日

有趣的事实:StackOverflow曾经通过GET处理注销，但不再。

根据Mozilla开发者网络web文档锚(<a>)标签没有预取(截至2022年底)。可能还有其他原因不使用锚标记，但根据MDN，由于浏览器预取而意外注销似乎不是一个有效的原因。

我不认为注销(降低用户权限)是一种破坏性的行为。这是因为“注销”操作应该只对已经登录的用户可用，否则它将被淘汰。

浏览器cookie中包含的随机生成的字符串都表示用户会话。有成千上万的方法来破坏它，所以有效地注销只是一个服务你的访问者。