heise.de Developer Podcast: Einstieg in REST
heise.de has released a new episode of our German SoftwareArchitekTOUR podcast, the first of a two-part conversation I did with Markus Völter on REST.
This is a single archived entry from Stefan Tilkov’s blog. For more up-to-date content, check out my author page at INNOQ, which has more information about me and also contains a list of published talks, podcasts, and articles. Or you can check out the full archive.
Hallo Herr Tilkov!
Ich habe sehr gespannt den Heise Developer Podcast verfolgt und mir stellen sich jetzt gerade weitere Fragen, in Richtung Sicherheit (Zugriffsschutz) und Transaktionen gehen. Wo ich bei SOAP mit MessageReceivern Header auswerten kann und Nachrichten, die bestimmte Bedingungen nicht erfüllen, mit einer Fehlermeldung verwerfen kann, fehlt mir bei REST ein Konzept. Klar - endlich können wir den HTTP-Error-Codes eine sinnvolle Bedeutung bei REST geben - aber es handelt sich hier nur um ein Architekturstil und nicht um einen Standard. Ich schätze den Mechanismus der WSDL-Datei sehr, in dem alles über die Schnittstelle dokumentiert ist. Müssen Konzepte wie WS-Security, die eine Ende-zu-Ende-Sicherheit zwischen Kommunikationspartner garantiert, auch über mehrere WS-Instanzen hinweg, für REST nicht erst entwickelt werden?
Ich lasse mich gerne vom Gegenteil überzeugen, dass REST insgesamt das bessere Konzept ist, aber im Moment kommt mir REST zu sehr gehypt vor.
Gruß Marza
Bzgl. Ende-zu-Ende-Sicherheit: Ich meine da mehr als nur HTTPS bzw. SSL.
Transaktionen sind bei RESTful HTTP nicht standardisiert - stimmt. Macht aus meiner Sicht aber nichts: Verteilte Transaktionen sind, insbesondere in lose gekoppelten Systemen, sowieso ein schlechte Idee, lokale Transaktionen (z.B. gegen die Datenbank) sind natürlich immer noch möglich, und auch im WS-*-Umfeld sind Transaktionen auf Basis von WS-Coordination & Co. nahezu überhaupt nicht verbreitet.
Zur Sicherheit gibt es im HTTP-Standard ein erweiterbares und ausgeklügeltes System zur Authentifizierung. Transportbasierte Sicherheit ist auf Basis von HTTPS ist natürlich auch kein Problem - und übrigens auch bei WS-* der 99%-Fall. Auch bei plain HTTP kann man XML Encryption und Digital Signature verwenden; eine standardisierte Lösung für nachrichtenbasierte Sicherheit gibt es allerdings nicht.
Einige weitere Themen habe ich in einem Online-Artikel beschrieben, und natürlich steht dazu auch etwas im Buch :-)