RESTful, как правильно организовать один момент

0

1

Други, пишу web-сервис, Django REST API и клиент на jQuery Mobile. Ситуация простая. Есть таблица баз данных (модель), выдаваемая через rest в /orders/, для обычных пользователей она read only. Это как-бы список заказов. Пользователи должны иметь возможность смотреть заказы GET на /orders/100500/, и принимать заказы, т.е. иметь право изменять одно поле в таблице. Так вот, каким образом последнее лучше реализовать? Сделать отдельный url вида /orders/take/100500 и слать туда POST, или пытаться сделать права таким образом, чтобы на /orders/100500/ можно делать PUT/PATCH, но проверять, что меняется только одно поле, и ни какие другие?

UPD: И какой код возвращать в ситуации, если уже кто-то другой принял заказ? 403 Forbidden?

Ссылка

←	Разница строк

Как в PHP отличить обычный и ассоциативный массивы?

→

Я бы запилил POST /orders/100500/take.

zz ★★★★
(26.08.13 13:03:45 MSK)

Ссылка

Голосую за PUT.

winlook38 ★★
(26.08.13 13:13:12 MSK)

Ответ на: комментарий от winlook38 26.08.13 13:13:12 MSK

это сложнее, проверки надо писать...)

morfair
(26.08.13 13:20:32 MSK) автор топика

Почитайте уже REST RFC. Там все это предельно ясно описано, то что вы хотите сделать - это ниразу не рест.

Примеры:

GET /orders - возвращает коллекцию заказов, также возможно указывать через параметрамы, например фильтрацию. GET /orders/?count=10&order=desc

POST /orders/ - Создать заказ, в параметрах(хотя лучше все же для параметров использовать JSON) указываем аргументы для функции создания.

PUT /orders/100500/ - Редактируем, так же через параметры указываем аргументы функции редактирования.

DELETE /orders/100500 - думаю понятно.

grouzen ★★
(26.08.13 13:31:51 MSK)

Сделать отдельный url вида /orders/take/100500 и слать туда POST, или пытаться сделать права таким образом, чтобы на /orders/100500/ можно делать PUT/PATCH, но проверять, что меняется только одно поле,

Однозначно второе.

И какой код возвращать в ситуации, если уже кто-то другой принял заказ? 403 Forbidden?

В принципе, можно и его. Но вообще-то «400 Bad request» считается как бы общепринятым вариантом, поскольку «403 Forbidden» резервируется для ответа на попытку доступа при отсутствии прав на это. С другой стороны, если вы уверены, что ПО-потребитель Вашего сервиса реализован грамотно, то оптимумом будет «406 Not Acceptable»

k0valenk0_igor ★★★
(26.08.13 13:32:25 MSK)
Последнее исправление: k0valenk0_igor 26.08.13 13:41:12 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от grouzen 26.08.13 13:31:51 MSK

Ах да, коды возврата соотсветсвенно делаются через JSON, либо если возникает ошибка, то они соотстветсвенно мапятся на http статусы, например: 403 - ошибка доступа, 404 - элемент коллекции не найден, или неверный урл и тд.

grouzen ★★
(26.08.13 13:33:28 MSK)

Ссылка

Ответ на: комментарий от morfair 26.08.13 13:20:32 MSK

Там в любом случае должна быть проверка. Какая разница что именно проверять?

winlook38 ★★
(26.08.13 14:02:53 MSK)

Ссылка

принимать заказы, т.е. иметь право изменять одно поле в таблице

Так всё таки, что делает пользователь - принимает заказ или изменяет поле? Если есть действие «принять заказ», то оно должно быть отражено в api. Например, это может выглядеть, как подача заявки на приём заказа:

POST /orders/100500
Content-Type: application/vnd.morfair.take-order-application+json

Коды возврата в такую схему тоже вписываются: сервер принял заявку - 202 Accepted; кто-то другой уже получил заказ - 409 Conflict.

А для изменения документа используется PUT, да.

Laz ★★★★★
(26.08.13 14:03:42 MSK)

Ответ на: комментарий от Laz 26.08.13 14:03:42 MSK

Пользователь принимает заказ, а фактически изменяется поле ForeignKey (One-to-One) в поле этого заказа.

morfair
(26.08.13 14:11:49 MSK) автор топика

Ответ на: комментарий от morfair 26.08.13 14:11:49 MSK

Пользователь принимает заказ, а фактически изменяется поле ForeignKey (One-to-One) в поле этого заказа.

В этом случае Вам стоит сделать API для модели, связанной (One-to-One) с заказом, и дать возможность добавлять документ методом POST именно в эту модель.

k0valenk0_igor ★★★
(26.08.13 14:20:20 MSK)

Ответ на: комментарий от k0valenk0_igor 26.08.13 14:20:20 MSK

Заказ является документом лишь в бекенде (1С), на сервере приложений это просто ForeignKey в таблице Order на пользователя. Соответственно, если поле «исполнитель» таблицы заказов пустое - заказ свободен для выбора исполнителями.

morfair
(26.08.13 14:28:04 MSK) автор топика

Ответ на: комментарий от morfair 26.08.13 14:28:04 MSK

Насколько я понял, у Вас есть документ заказа с которым связан один и только один документ назначения специалиста на заказ.

Если исходить их этой концепции, то у Вас должно быть две коллекции: коллекция документов-заказа, доступная только по чтению (GET), и коллекция документов назначения специалиста на заказ, доступная только для добавления (POST). Как-то так, наверное.

k0valenk0_igor ★★★
(26.08.13 14:40:32 MSK)
Последнее исправление: k0valenk0_igor 26.08.13 14:43:29 MSK (всего исправлений: 2)

Ответ на: комментарий от k0valenk0_igor 26.08.13 14:40:32 MSK

в документе заказа хранится айдишник специалиста, принявшего этот заказ. если это поле пустое, значит нико заказ еще не принял.

morfair
(26.08.13 15:09:00 MSK) автор топика

Ответ на: комментарий от morfair 26.08.13 15:09:00 MSK

отдельной коллекции документов назначения специалиста на заказ нету

morfair
(26.08.13 15:09:35 MSK) автор топика

Ссылка

Ответ на: комментарий от morfair 26.08.13 14:11:49 MSK

Пользователь принимает заказ, а фактически изменяется поле ForeignKey (One-to-One) в поле этого заказа.

А на самом деле там вообще электроны по проводам летают. То, что там изменяется внешний ключ - деталь реализации. Апи должен отражать суть действий. Для пользователя апи название функции «изменить внешний ключ» не несёт никакого смысла, а только говорит о том, что, видимо, используется rdbms (то бишь, никакого веб-скейла). Используйте термины предметной области: «подать заявку на получение заказа» или «назначить специалиста на заказ».

Laz ★★★★★
(26.08.13 15:20:19 MSK)

Ответ на: комментарий от Laz 26.08.13 15:20:19 MSK

Я, видимо, логически не понимаю, что должна нести коллекция документов назначения специалистов заказам...

morfair
(26.08.13 15:41:43 MSK) автор топика

Ответ на: комментарий от morfair 26.08.13 15:41:43 MSK

У вас документооборот. И, следовательно, каждая операция - это документ. Новый заказ появляется не раньше, чем появляется документ заказа. Смена статуса документа заказа, производится тогда и только тогда, когда появляется сопутствующий заказу документ.

Конкретно в Вашем случае, сопутствующий документ несет в себе ссылку на документ заказа и реквизиты специалиста. Как только он появляется у вас, заказ меняет статус с, допустим, «новый» на «назначен специалист»

k0valenk0_igor ★★★
(26.08.13 15:52:43 MSK)