Bon, je consulte depuis hier le grand livre de Dotclear et son coéquipier Clearbricks est j’en suis arrivé à la conclusion suivante, ou plutôt aux conclusions suivantes :
- Clearbricks sait faire du REST, mais, c’est ultra basique : pas de gestion des verbes HTTP (POST, GET, UPDATE, DELETE), pas plus d’authentification (ne serait-ce que via un jeton dans le header) — en même temps l’authentification n’est pas spécifique à REST —, et le format de réponse est du XML et puis c’est tout.
- Côté Dotclear la gestion du REST se limite aux services utilisés dans l’administration, donc pas plus de gestion d’authentification là non plus et comme il s’appuie sur Clearbricks, c’est du XML.
Bref, spa gagné pour mon grand projet secret de développer une appli mobile pour gérer un blog Dotclear qui s’appuierait sur un serveur REST côté Dotclear !
Cela étant, pour la partie format de réponse, c’est assez simple à gérer puisqu’il suffi(rai)t de traiter l’entête Accept de la requête qui doit normalement spécifier le format attendu (XML, JSON, …)
Pour les verbes CRUD, c’est plus une affaire de conception du serveur côté Dotclear. On pourrait même envisager de s’en passer et de tout traiter comme aujourd’hui (GET ou POST indifférencié).
Pour l’authentification ce que j’ai lu pour l’instant, et si je voulais faire ça dans les règles, il faudrait que je passe par une phase d’authentification HTTP, mais même le mode digest de cette dernière me paraît pas très secure. J’avoue que je suis un peu dans le brouillard pour l’instant à ce sujet.
Donc pour commencer, soit je pars from scratch en codant un plugin qui va servir de serveur REST un peu plus évolué que l’actuel, soit je complète l’existant — ça devrait se faire facilement pour le format de réponse, au moins pour ajouter la gestion du JSON.
Si vous avez des idées, avis, infos sur tout ça, je suis preneur !
1 De ZeuBeuBeu -
Hello copaing, je pense que tu devrais t’appuyer sur une lib légère indépendante d’un framework genre pour rester en interne la libreviens du court chevelu luxembourgeois Biou.
2 De Franck -
Ah ah Biou vient juste de m’envoyer un mail à ce sujet.
3 De Nicolas -
Je ne pense pas que ce soit la bonne façon de faire de l’authentification pour une API REST. En naviguant sur le grand ternet, il me semble qu’une assez bonne façon de faire est de faire des requêtes signées, à usage unique (un timestamp) en partageant entre client et serveur un jeton.
Il y a cette page qui en parle mais je pense qu’on doit pouvoir trouver plus d’exemple :
http://docs.aws.amazon.com/AmazonS3/latest/dev/RESTAuthentication.html
4 De Cristophe -
- Y’en a un peu plus d’une livre, j’vous l’mets quand même ?
- Oui, mettez tout le REST !