Các phiên phía máy chủ có vi phạm REST không?

Theo Roy Fielding (một trong những tác giả chính của đặc tả HTTP) trong luận án chuyên đề Phong cách kiến ​​trúc của ông khi thảo luận về REST , ông đề cập:

[E] ach yêu cầu từ máy khách đến máy chủ phải chứa tất cả thông tin cần thiết để hiểu yêu cầu và không thể tận dụng bất kỳ bối cảnh được lưu trữ nào trên máy chủ.

Bằng "bối cảnh được lưu trữ", ông đang đề cập đến trạng thái ứng dụng, ví dụ số trang cho trang tiếp theo là gì so với trạng thái tài nguyên, ví dụ như bất kỳ kho lưu trữ dữ liệu, hình ảnh, v.v. - có thể nói là toàn bộ quan điểm của REST.

Có công bằng không khi nói rằng hầu hết các nỗ lực trong phần còn lại thuần túy (được định nghĩa là một triển khai phù hợp với luận điểm trên) phải thất bại do sự phụ thuộc của chúng vào việc lưu trữ dữ liệu phiên trên máy chủ (liên tục hoặc theo cách khác)?

Khái niệm về một phiên là phổ biến - đặc biệt đối với các nhà phát triển Web - nhưng liệu RESTful có theo định nghĩa trên không?

Tôi sẽ nói có, trạng thái phiên làm cho ứng dụng RESTful không RESTful. Ví dụ tầm thường, chị tôi đăng ký vào Tạp chí Phố Wall. Một cách thường xuyên, cô ấy sẽ đọc một cái gì đó đằng sau paywall và quyết định gửi một liên kết (thông qua ứng dụng email của chính cô ấy, không phải qua WSJ) cho một người bạn không có tài khoản WSJ. Nhấp, gửi, thất bại. Rõ ràng trải nghiệm của chị tôi tại URL đó khác với bạn của cô ấy.

Liên quan, nhưng không nghiêm túc về chủ đề: Tôi đang trong giai đoạn thiết kế ban đầu của một ứng dụng được thiết kế để hỗ trợ các nỗ lực nghiên cứu quan trọng trên mạng (được gọi là nhiệm vụ (nghĩ: đánh dấu trên steroid và LSD)). Chủ sở hữu của nhiệm vụ muốn chia sẻ một chế độ xem cụ thể về dữ liệu của mình với người khác, nhưng chế độ xem này yêu cầu kết hợp trạng thái UI (ví dụ: trực quan hóa dữ liệu nào đang hiển thị trong bảng nào) cùng với quyền thích hợp để truy cập UI và dữ liệu được hiển thị. Có rất nhiều trạng thái được lưu trữ cần thiết cho người nhận để có được chế độ xem dự định.

Giải pháp hiện tại của tôi là lưu trữ tất cả UI / ACL / bất kỳ thông tin nào cần thiết cho chế độ xem trong một đối tượng riêng biệt và trả lại URL (có thể là UUID) cho đối tượng đó . Tôi tin rằng việc truy cập đối tượng xem có thể được coi là RESTful theo nghĩa là mọi người sở hữu nó đều có cùng thông tin / kinh nghiệm.

Các phiên phía máy chủ có vi phạm REST không?

Họ chắc chắn làm! Khi bạn triển khai REST, không được có phiên phía máy chủ, nếu không bạn có giải pháp RPC / REST lai.

Máy khách phải gửi đến dịch vụ RESTful tất cả bối cảnh cần thiết để phục vụ yêu cầu, bao gồm thông tin cần thiết để xác thực ứng dụng khách, mỗi khi yêu cầu mới được thực hiện. Máy chủ có thể tự do lưu trữ thông tin để giúp phục vụ các yêu cầu tiếp theo nhanh hơn, nhưng thông tin được lưu trong bộ nhớ cache không được tính vào phiên phía máy chủ. Nói cách khác, bản thân yêu cầu phải chứa đủ thông tin cần xử lý ngay cả khi không có trạng thái lưu trữ.

Có lẽ phụ thuộc vào ý của bạn là "dữ liệu phiên". Đó có phải là một thuật ngữ chính xác?

Giao tiếp an toàn giữa hai bên thường liên quan đến máy chủ để tạo (và lưu trữ) "mã thông báo truy cập" giới hạn thời gian mà khách hàng phải cung cấp cho mỗi yêu cầu như một cách ủy quyền. Mã thông báo truy cập này đã là cái mà tôi gọi là "dữ liệu phiên" - nó được lưu trữ ở phía máy chủ, giới hạn thời gian và liên quan đến một khách hàng (thường là quyền của anh ta).

Tôi sẽ rất ngạc nhiên nếu loại hoạt động này được dán nhãn là không RESTful. OAuth là một ví dụ.

Tôi không phải là chuyên gia và tôi không tự tin lắm ở đây; Tôi chỉ chia sẻ những hiểu biết của mình với hy vọng chúng hữu ích.

Điểm quan trọng nhất của REST là một URI tới một ressource luôn trỏ đến cùng một ressource. Vì vậy, người dùng có thể chuyển qua một tham chiếu đến nguồn tài nguyên này và mọi người đều thấy như vậy. Điều này được gọi là Chuyển giao trạng thái đại diện (REST). Nếu máy chủ giữ trạng thái và cung cấp một nguồn tài nguyên khác cho cùng một URI, tôi sẽ nói đây không phải là REST thuần túy nữa.

Các phiên về cơ bản được sử dụng để thêm trạng thái vào các ứng dụng RESTful, không trạng thái. Vì vậy, chính thức, điều này làm cho ứng dụng RESTful của bạn trở nên trạng thái, tuy nhiên việc máy chủ giữ trạng thái giúp cuộc sống của bạn dễ dàng hơn một chút, vì bạn không phải chuyển tất cả dữ liệu qua lại trên mỗi yêu cầu / phản hồi.

Các phiên, và nói chung là cho phép bạn tránh điều này và điều này có một số lợi ích tích cực trong hiệu suất (ít truyền dữ liệu) và bảo mật (ít dữ liệu có sẵn để giả mạo).

Vì vậy, trong khi nó chính thức vi phạm một phần định nghĩa của REST, thật hữu ích khi thấy các ứng dụng RESTful không sử dụng trạng thái qua các phiên.

Fielding có nghĩa là gì bởi tuyên bố đó là máy chủ ứng dụng lưu trữ API REST không liên kết trạng thái môi trường xung quanh với một yêu cầu theo một số loại cơ chế đằng sau hậu trường. Hãy xem xét sự khác biệt giữa một máy chủ ứng dụng và máy chủ cơ sở dữ liệu . Ràng buộc REST là máy chủ ứng dụng nên không trạng thái . Tuy nhiên, máy chủ ứng dụng có thể ủy quyền các yêu cầu cho trạng thái tài nguyên cho máy chủ cơ sở dữ liệu dựa trên thông tin là một phần của yêu cầu, chẳng hạn như kết hợp người dùng / mật khẩu trong tiêu đề Ủy quyền hoặc chính Uri. Xét cho cùng, REST dựa trên mô hình máy khách / máy chủ.