REST API обновляет PIN-код (PUT vs PATCH vs POST)

Я создаю простой RESTful API CRUD с весенней загрузкой для управления 4-значным PIN-коды. У меня проблемы с тем, какие глаголы HTTP использовать.

Вот мои предположения:

• Для создания наиболее подходящими глаголами должны быть POST или PUT. Я использую PUT, потому что он идемпотент (он повлияет на ресурс только один раз, независимо от того, сколько запросов отправлено)
• для частичных обновлений я использую PATCH
• для полных обновлений я использую PUT

Дело в том, что меня беспокоят вопросы безопасности. Этот сервис будет работать внутри контейнера в частном облаке AWS, и к нему будут обращаться другие сервисы в том же облаке.

Этот информационный ответ говорит, что для обновлений POST правильнее (чем PUT), но с точки зрения безопасности это не имеет значения, так как вызов будет осуществляться в https.

С другой стороны, эта страница говорит, что POST следует использовать, чтобы «скрыть» PIN-код от запроса запроса.

Итак, мой вопрос: какой HTTP-глагол ссtrong> мне следует использовать? Ответы экспертов по дизайну API приветствуются.

Обновлено:

Это микросервис с пружинной загрузкой (MS) в ECS. Будет потребляться от других внутренних MS. Цель состоит в том, чтобы управлять и проверять PIN-коды пользователей.

Модель:

• Это пользовательский пин со связанным свойством X. Свойство находится в перечислении.
• userId - это идентификатор из другой таблицы, используемой в нескольких Mss/DB, и не имеет ограничений (без FK и т. д.).
• БД: Aurora только с 1 таблицей: id (автоинкремент), userId, PIN-код (код), propertyX

Желаемые конечные точки/операции:

• создать PIN-код. (ввод: идентификатор пользователя, пин-код, свойство)
• подтвердить пин-код. (ввод: идентификатор пользователя + пин-код)
• обновить только пин-код. (ввод: идентификатор пользователя, новыйPinCode)
• удалить ПИН-объект. (ввод: идентификатор пользователя)
• получить свойствоX. (ввод: идентификатор пользователя)
• обновить только свойствоX. (ввод: userId newPropertyX)