Nietypowe zadanie na rozmowie - web-dev (backend)

W sumie nie widziałem czy dać raczej do WebMastering działu czy tu. Bo są dwa pytania, ale może trafi:

Dostałem zadanie ostatnio w procesie zrobić dosyć proste API. Api miało się składać z widoków dla operacji Get/GetList/Create/Update/Delete, czyli praktycznie standard. Co mnie jednak zdziwiło to, że w wymaganiach co do tego jak ma to zostać wykonane, wszystkie widoki miały reagować tylko na dwie metody (GET i POST) czyli Delete miałbyć na osobnym endpoincie i obsługiwany metodą nie Delete tylko POST, tak samo z updatem.

Troche mnie to zdziwiło i się zastanawiam, czy się bać czy nie? To znaczy, gdzieś mi się lekko czerwona lampka ostrzegawcza zapaliła, że jak to tak, że idempotentność przecież, tak się nie robi etc. Z drugiej strony pomyślałem, że nie wiem, może chcieli zobaczyć jak się zachowa kandydat w trochę mniej typowej sytuacji. Co sądzicie o takiej sytuacji? Niby myślę, że mała szansa, żeby ktoś o tym nie wiedział kto rekrutuje, a z drugiej to raz trafiłem na taki projekt gdzie były dosyć spore braki w wiedzy i pomyślunku jego, i wolałbym tego nie powtarzać:P

No chyba, że też kwestia, że ja czegoś nie wiem i jednak wszystko OK z takim podejściem do "dizajnu", i robienie PATCHa za pomocą POSTA jest całkiem ok(?). Na tyle ile małego reasearchu jeszcze zrobiłem teraz, to w sumie też pojawiały się czasem głosy, że można tak robić (chociaż osobiście jeszcze nie jestem przekonany) to nie wykluczam, że ktoś jednak może tu wiedzieć więcej ode mnie.

To kwestia purystycznego podejścia, można teraz przez 10 stron dyskutować o wadach i zaletach obu podejść i niewiele z tego wyniknie.

B.Eng napisał(a):

Troche mnie to zdziwiło i się zastanawiam, czy się bać czy nie? To znaczy, gdzieś mi się lekko czerwona lampka ostrzegawcza zapaliła, że jak to tak, że idempotentność przecież, tak się nie robi etc.

I w jaki sposób uargumentowałbyś, że używanie DELETE resource jest lepsze niż POST /resource/delete ? Bo z tego co rozumiem to gdzieś wyczytałeś, że tak się nie robi, bo nie i tyle.

B.Eng napisał(a):

Z drugiej strony pomyślałem, że nie wiem, może chcieli zobaczyć jak się zachowa kandydat w trochę mniej typowej sytuacji.

Wg mnie szkodliwe jest zakładanie, że na rozmowach rekrutujący zadaje podchwytliwe pytania. Oczywiście są tacy co w takich pytaniach się lubują, ale w większości przypadków drugie dno nie istnieje. W tym wypadku bardziej prawdopodobne, że w projektach jest taka właśnie praktyka, że mutujące zapytania lecą POSTem.

czyli Delete miałbyć na osobnym endpoincie i obsługiwany metodą nie Delete tylko POST, tak samo z updatem.

IMHO wykłócanie się o DELETE /foo vs POST /foo/delete vs nawet POST /foo?action=delete to trochę jak debata czy lepiej zakładać różowe, niebieskie czy brązowe skarpetki - porozmawiać można, ale praktycznie różnicy nie ma żadnej :-) (zwłaszcza że - wracając do endpointów - takie rzeczy ogarnia się na poziomie routingu, czyli 99% kodu i tak nie obchodzi pod jakim URLem znajduje się kontroler)

W internecie znajdziesz setki artykułów mówiących jeśli kcesz być RESTful, to musisz robić tak i tak, lecz moim zdaniem najważniejsza jest regularność - jeśli chcesz POST /foo/delete, to śmiało tak właśnie zaprojektuj routing i wszyscy - poza purystami - będą zadowoleni tak długo, jak wszystkie endpointy będą miały podobny schemat budowy URLi (https://en.wikipedia.org/wiki/Principle_of_least_astonishment).

Jedynym, na co bym nie poszedł, jest tworzenie routów w stylu GET + mutacja (np. GET /foo/1/delete) - jako że GET-y są automatycznie keszowane na różnych poziomach (przeglądarka, Cloudflare, Varnish), taki układ mógłby powodować ciężko debugowalne artefakty w działaniu aplikacji.

A mnie zastanawia uzycie terminu view w kontekscie api :/ bo jesli pominie sie wspomniany kontekst to uzycie wylacznie GET oraz POST wydaje sie calkowicie uzasadnione.

Niektóre firmy nie chcą włączać PUT/DELETE, bo się boją, że tak można zepsuć serwery, stąd takie praktyki gdzieniegdzie.
Lekka patologia, spory bezsens, ale do przeżycia.

Dawno dawno temu w taki sposób obchodziło się np. problemy z firewallem. Wiele frameworków jeszcze do tej pory dostarcza wsparcia do tego typu zachowań np. w Spring https://docs.spring.io/spring-framework/docs/current/javadoc-api/org/springframework/web/filter/HiddenHttpMethodFilter.html

Jeżeli pytali Ciebie o REST api i do tego dodali takie założenie to jest to, powiedzmy żółta flaga. Albo soft ma już swoje lata albo ktoś robi na bakier.

Co do czystego REST to też niewiele osób stosuje naprawdę czystego RESTa z HATEOAS. Większość api to jednak tylko REST-lite czyli GET/POST/PUT/DELETE bez otoczki filozoficznej.

Zresztą jakie to ma teraz znaczenie, wiele nowych projektów wybiera GraphQL zamiast RESTa, a tam jest zwykłe RPC po stronie komend. Nie ma więc co się czepiać. Warto też pamiętać że takie HTTP based API i tak jest o niebo lepsze niż SOA.

Dopóki nikt nie próbuje zrobić DELETE za pomocą GET to jest ok (dlaczego? polecam poświęcić chwile na wylistowanie sobie w głowie problemów jakie mogą wystąpić ;) ).