hola, mi ultimo project basado en ZF esta tomando forma; ahora esta en un punto donde requiero que los web services empiexen a funcionar; y bueno, tengo algunas dudas.
1-Me gustaria exponer los objectos(por ejemplo Octopus_Token, Octopus_Account, etc) usando como interface SOAP, READ y JSON-RPC. Pero, REST es orientado a recursos, mientras que los otros son orientados a objectos(asi como mi implementacion interna). Asi que puedo usar el metodo de flickr(y otros) e implementar un WS REST que no es "true" REST, por asi decirlo. Usando URLs de la forma TLD/rest/TokenManager/grant/ACCOUNT/TOKEN; Esto evidentemente eliminaria el problema, pero no seria REST realmente, dado que no estaria usando los 4 verbos del protocolo HTTP como se supone, ni tampoco tendria recursos, sino objectos. La otra solucion que se me ocurrio es usar un "Object to Resource Map", un archivo XML que tendria una lista de recursos y sus correspondientes proxy class(clase a la cual, en cada peticion REST, se le pasaria el metodo a llamar asi como los parametros provistos, esta clase procederia a hacer la llamada y a convertir la salida en XML/JSON). De todas formas, este metodo implica que tendria que manter un archivo extra con el mapeo de recursos y una clase proxy para cada Octopus_XYZ, cuando los demas protocolos(JSON-RPC y SOAP) pueden ser simplemente implementados con Zend_Soap y Zend_Json sin clase extra(Zen_Rest por desgracia no funciona de la forma que me gustaria y modificarlo es mas trabajo que escribir una clase a mi gusto). Asi que me gustaria una opinion de otro programador en el asunto; y si es posible, una mejor solucion.
2-Con respecto a la autenticacion en REST, pienso usar una APIKEY, que esta conectada a la cuenta del usuario, la cual tiene una serie de "tokens". Ahora, se me ocurre que pasar una APIKEY kilometrica en la URL no es una buena idea, ni muy "REST", por ende, se me ocurre que podria enviar la APIKEY como una cabecera en la peticion HTTP (Octopus-ApiKey: VERY-LON-KEY-HERE). Esto es evidentemente bulnerable a un ataque MITM; por ende, la peticion deberia ocurrir en un tunel SSL, pero esto implica un overhead tremendo, matando todo performance gain que tenga sobre SOAP. Asi que, que otros metodos de autenticacion podria usar(que no use SSL)?
Eso seria todo, gracias de antemano.
Otra cosa que me olvide de poner anoche, el verbo PUT es para crear y POST para actualizar, o al revez?
Gracias.
