RESTful API Grundlagen mit PHP und Payrexx

Transkript

1 RESTful API Grundlagen mit PHP und Payrexx Autor: Michael Räss, Stand: Payrexx AG

2 Ziele Begriffe und Definition verstehen Prinzipien / Funktionsweise kennenlernen Grundlagen der Sicherheit kennen Payrexx RESTful API & Webhooks erfolgreich einsetzen Payrexx AG 2

3 Begriffserklärung Representational State Transfer (REST, seltener auch ReST) Programmierparadigma (Programmierstil / -prinzip) für verteilte Systeme (Zusammenschluss unabhängiger Computer, die sich für den Benutzer als ein einziges System präsentieren) Application Programming Interface Anwendungsprogrammierschnittstelle Schnittstelle (Zugangspunkt) zu einer Applikation (Daten) Payrexx AG 3

4 Definition Einfache Alternative zu ähnlichen Verfahren wie SOAP und WSDL Protokoll: HTTP / HTTPS (Hypertext Transfer Protocol [Secure]) Per CRUD-Operationen auf Daten zugreifen Keine Methodeninformation in den URIs (Uniform Resource Identifier) URI gibt Ort und Namen der Ressource an, nicht aber die Funktionalität Unverändertes Format bei Antworten (z.b. JSON) Eine Ressource kann über verschiedene Medientypen dargestellt werden z.b. JSON, HTML, XML (auch Repräsentation der Ressource genannt) Payrexx AG 4

5 Prinzipien Client-Server-Architektur Server stellt einen Dienst bereit, der bei Bedarf vom Client angefragt werden kann Zustandslosigkeit (Stateless) Nicht Session-basiert Jede REST-Nachricht enthält alle Informationen, die für den Server bzw. Client notwendig sind, um die Nachricht zu verstehen (=> nicht in Session zwischenspeichern) HTTP-Caching soll genutzt werden Wobei aber gilt: Eine Anfrage, die nicht gestellt werden muss, ist die schnellste Anfrage Mehrschichtige Systeme Systeme mehrschichtig aufgebaut, aber für den Anwender lediglich eine Schnittstelle Mehrschichtigkeit führt zur Vereinfachung der Architektur Payrexx AG 5

6 Prinzipien Einheitliche Schnittstelle Adressierbarkeit von Ressourcen Jede Information, die über einen URI kenntlich gemacht wurde, wird als Ressource gekennzeichnet Jeder REST-konforme Dienst hat eine eindeutige Adresse, den Uniform Resource Locator (URL) Repräsentationen zur Veränderung von Ressourcen Dienste können unterschiedliche Darstellungsformen (Repräsentationen) haben Server kann verschiedene Repräsentationen einer Ressource ausliefern (z.b. JSON, HTML, XML) Die Veränderung einer Ressource soll nur über eine Repräsentation erfolgen Selbstbeschreibende Nachrichten Hypermedia as the Engine of Application State (HATEOAS) Bei HATEOAS navigiert der Client einer REST-Schnittstelle ausschliesslich über URLs, welche vom Server bereitgestellt werden Payrexx AG 6

7 CRUD-Operationen Operation SQL HTTP-Methode Beschreibung Create INSERT POST oder PUT Fügt eine neue Ressource ein. Als Ergebnis wird der neue Ressourcenlink dem Client zurückgegeben. Read SELECT GET Fordert die angegebene Ressource vom Server an. Der Zustand am Server wird nicht verändert, weshalb GET als sicher bezeichnet wird. Update UPDATE PATCH oder PUT Ein Teil der angegebenen Ressource wird geändert. Delete DELETE DELETE Löscht die angegebene Ressource. Create Update INSERT UPDATE PUT Die angegebene Ressource wird angelegt. Wenn die Ressource bereits existiert, wird sie geändert. Payrexx AG 7

8 Weitere HTTP-Methoden HTTP-Methode HEAD OPTIONS CONNECT (not supported by XHR) TRACE (not supported by XHR) Beschreibung Fordert Metadaten zu einer Ressource an. Prüft, welche Methoden auf einer Ressource zur Verfügung stehen. Dient dazu, die Anfrage durch einen TCP-Tunnel zu leiten. Wird meist eingesetzt, um eine HTTPS-Verbindung über einen HTTP-Proxy herzustellen. Gibt die Anfrage zurück, wie sie der Zielserver erhält. Dient etwa dazu, um Änderungen der Anfrage durch Proxyserver zu ermitteln. und weitere... Payrexx AG 8

9 HTTP-Status-Codes Klassen: 1xx Informativ 2xx Erfolg: 3xx Umleitung 4xx Client-Fehler 5xx Server-Fehler 9xx Proprietäre Fehler Die 12 wichtigsten Codes: Code 200 OK Code 301 Moved Permanently (Daten permanent verschoben) Code 302 Moved Temporarily (Daten temporär verschoben) Code Bad Request (z.b. ungültiges Format / Daten) Code Unauthorized Code 403 Forbidden (zugangsgeschützt) Code 404 Not Found Code Method Not Allowed (z.b. POST nicht erlaubt) Code 500 Internal Server Error (unerwartet) Code 503 Service Unavailable Code Bad Gateway (z.b. Proxy konnte Anfrage nicht weiterleiten) Code Gateway Timeout Payrexx AG 9

10 Daten senden (Client / Browser) Normaler URL-Aufruf über Adresszeile: Immer GET-Request HTML Formular (Tag: <form>) Methode (Attribut: method= GET POST ) nur GET- oder POST-Requests durch Absenden des Formulars möglich JavaScript / Ajax (Asynchronous JavaScript and XML) JS Klasse: XMLHttpRequest (XHR) => new XMLHttpRequest() Methoden: HEAD, GET, POST, OPTIONS, PUT, DELETE, CUSTOM Entgegen dem Namen muss es sich bei diesen Daten nicht um XML handeln. Payrexx AG 10

11 Daten lesen (PHP-Server) Normaler URL-Aufruf über Adresszeile: URL-Parameter immer in $_GET Variable Request über HTML Form (form-data): Bei GET-Methode: in $_GET Variable Bei POST-Methode : in $_POST Variable Request über XHR: Raw Daten allgemein im PHP Input Stream vorhanden. Kann über php://input ausgelesen werden: file_get_contents('php://input') Bei Content-Type x-www-form-urlencoded auch in $_POST Variable vorhanden. Payrexx AG 11

12 Versionierung DNS-Versionierung: URL-Versionierung: HTTP-Header: GET /api/customer/1234 HTTP/1.1 Host: foo.com Accept: application/xml,application/json;version=1 Payrexx AG 12

13 Sicherheit Einfache Authentifizierungsmethoden: IP-Adressen Filter HTTP-Authentifizierung (Basic Authentication, Digest Access Authentication) Benutzername & Passwort Zertifikatsprüfung: Meistens nur zwischen wenigen definierten Servern Vertraut die beim Server hinterlegte Certificate Authority (CA) dem Zertifikat? Mutual-SSL gegen MITM-Attacken (Man-in-the-Middle) Beide Parteien authentifizieren sich gegenseitiges Sicherheitskritische Nachrichten werden immer über HTTPS oder über HTTP mit verschlüsseltem Inhalt ausgetauscht. Payrexx AG 13

14 Sicherheit Weitere Authentifizierungsmethoden: RSA: Private/Public Prinzip (z.b. Github oder Bitbucket mittels SSH) Bedeutung: Rivest, Shamir, Adleman Private Key, CSR (Certificate Signing Request), Public Key (auf Basis vom CSR) Hinterlegung des Public Keys z.b. im Bitbucket Konto HMAC: Hashing mittels Key (z.b. Payrexx API) Bedeutung: Keyed-Hash Message Authentication Code Server- und clientseitig nur ein Key Alle Daten konkateniert mit einem Key hashen und mitsenden Serverseitig wird dasselbe durchgeführt und mit dem gesendeten Hash verglichen OAuth2: Vor allem für Client Server (z.b. Angular App) Bedeutung: Open Authorization Erhalt eines Access Tokens durch Login: Limitierte Gültigkeitsdauer (erneuerung durch Refresh Token) Autorisierte Anfragen mittels Authorization Header: Beinhaltet Bearer Token => Access Token Payrexx AG 14

15 Payrexx RESTful API & Webhooks RESTful API - Erstellung von z.b. Gateways oder Zahlungslinks Webhooks (Notifications) - Speichern der Transaktions-Notification Payrexx AG 15

16 Quellen Payrexx AG 16