IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

PostgREST : un serveur Web autonome qui transforme une base de données PostgreSQL
Directement en une API RESTful

Le , par Bill Fassinou
16 commentaires

509PARTAGES

18  0 
PostgREST est un serveur Web autonome qui transforme votre base de données PostgreSQL directement en une API RESTful. Les contraintes structurelles et les autorisations dans la base de données déterminent les points de terminaison et les opérations de l'API. Sa version 6.0.2 a été publiée en août dernier avec de nouveaux ajouts et quelques modifications. PostgREST permet d'exposer une base de données PostgreSQL sous forme d'API REST directement consommables par des applications mobiles, des portails Web ou bien des partenaires.

PostgREST sert une API entièrement RESTful à partir de tout type de base de données PostgreSQL existante. Selon l’équipe de développement, PostgREST fournit une API plus propre, plus conforme aux normes et plus rapide que celle que vous êtes susceptible d'écrire à partir de zéro. Elle estime que son utilisation est une alternative à la programmation manuelle CRUD. PostgREST est un middleware open source et les API exposées par PostgREST sont conforme à la spécification OpenAPI (anciennement connue sous le nom de spécification Swagger).

Selon sa documentation, il gère nativement les dépendances entre les tables de votre base de données, ce qui vous permet au travers d'une simple requête REST de récupérer des données provenant d'une jointure entre deux tables. PostgREST serait très rapide avec un temps de réponse inférieur à la seconde pour jusqu'à 2000 demandes/seconde sur le niveau gratuit Heroku. « Si vous êtes habitué aux serveurs écrits dans des langages interprétés, préparez-vous à être agréablement surpris par les performances de PostgREST », explique l’équipe.

Trois facteurs contribuent cette vitesse selon l’équipe. Tout d'abord, le serveur est écrit en Haskell à l'aide du serveur HTTP Warp (un langage compilé avec des threads légers). Ensuite, il délègue autant de calculs que possible à la base de données, y compris la sérialisation des réponses JSON directement dans SQL, la validation des données, etc. Enfin, il utilise la bibliothèque Hasql pour garder un pool de connexions à la base de données, le protocole binaire PostgreSQL et reste sans état pour permettre une mise à l'échelle horizontale.


PostgREST gère l'authentification (via JSON Web Tokens) et délègue l'autorisation aux informations de rôle définies dans la base de données. Cela garantit qu'il n'y a qu'une seule source déclarative de vérité pour la sécurité. En traitant avec la base de données, le serveur assume l'identité de l'utilisateur actuellement authentifié, et pour la durée de la connexion ne peut rien faire que l'utilisateur lui-même ne pourrait pas faire. D'autres formes d'authentification peuvent être construites sur la primitive JWT. Vous pouvez obtenir plus d'informations dans la documentation.

Lorsqu’il s’agit de l’intégrité des données, plutôt que de s’appuyer sur un ORM (Object Relational Mapper) et sur un codage impératif personnalisé, ce système impose de mettre des contraintes déclaratives directement dans votre base de données. Par conséquent, aucune application ne peut corrompre vos données (y compris votre serveur API). PostgREST expose l'interface HTTP avec des sauvegardes pour éviter les surprises, notamment l'application de requêtes PUT idempotentes. Autrement dit, il n'y a pas d'ORM impliqué.

La création de nouvelles vues se produit en SQL avec des implications connues en matière de performances. Un administrateur de base de données peut désormais créer une API à partir de rien, sans programmation personnalisée. Pour certains, PostgREST est également une alternative intéressante à une base de données NoSQL ou GraphQL nativement exposée en API si vous avez besoin de garder un modèle relationnel. Ils trouvent dommage que ce middleware ne soit pas disponible en standard dans les dépôts de package des grandes distributions Linux.

Sources : PostgREST, GitHub

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Microsoft fait l'acquisition de Citus Data l'extension qui transforme PostgreSQL en une base de données distribuée

PostgreSQL 12 est disponible et apporte des améliorations sur la performance des requêtes, cette version introduit les « colonnes calculées » et supporte les colonnes générées stockées

Depuis 20 ans, PostgreSQL aurait mal utilisé fsync(), compromettant la cohérence des données, des solutions ont été proposées au FOSDEM 2019

Une erreur dans cette actualité ? Signalez-nous-la !

16 commentaires
Commenter Signaler un problème
grograg
Avatar de grograg
Membre à l'essai https://www.developpez.com
Le 15/11/2019 à 16:15
PostgREST est un produit que j'ai mis en place chez mon ancien employeur, il est en production depuis 1-2 ans en tant que fournisseur de services sur des référentiels de données.
Cela fonctionne super bien et évite d'avoir à développer un couche web d'accès aux données.
Je ne l'ai mis en place que pour de la restitution de données, je ne sais pas ce que vaut la partie MAJ de données.

Par contre, je n'ai exposé que des vues (en l'occurrence matérialisées) pour faciliter la maintenance. En effet, si l'on expose des tables avec PostgREST, en cas de modification de structure, il est nécessaire de modifier tous les consommateurs (les services sont auto-générés à partir des tables). En passant par des vues, il est possible de modifier la requête de la vue pour ne pas impacter les clients. Au pire, si la modification de structure nécessite de changer la vue pour bénéficier de toutes les nouvelles données, il est possible de créer une deuxième vue (marquée V2) et garder l'ancienne vue (avec requête mise à jour) pour les logiciels utilisant l'ancienne structure.

Le gros avantage de PostgREST, c'est que le consommateur fait un pseudo-SQL lorsqu'il utilise le service web. Pas besoin de développer des services spécifiques lorsqu'il est nécessaire de retourner des jeux de données complexes, le développeur de l'application consommatrice est libre de faire à peu près ce qu'il veut.

PostgREST est en Haskell, pas en Java.
3  0 
Malick
Avatar de Malick
Community Manager https://www.developpez.com
Le 17/12/2019 à 13:43
Salut,

Pour info, un tutoriel : PostgREST, mettre en place une API RestFull depuis n'importe quelle base de données PostgreSQL


Bonne lecture
3  0 
Anselme45
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 06/11/2019 à 11:17
Citation Envoyé par cecedu26 Voir le message
On utilise deja ceci sur Oracle, c'est tres pratique et ca permet d'eviter a coder pas mal de code bete type CRUD sans aucune valeur ajoutée cote WS/API (C# dans notre cas).
Ca fait toujours une couche de moins a coder dans nos API REST et bonne alternative pour mettre a dispo des services en 0-dev.

A tester donc sur PostGreSql.

Question de néophyte:

N'y-a-t-il pas un risque plus élevé de piratage en suppriment une couche REST et en connectant directement la base de données au réseau?

Merci pour vos réponses d'experts
2  0 
SQLpro
Avatar de SQLpro
Rédacteur https://www.developpez.com
Le 19/11/2019 à 10:16
ça existe sous SQL Server depuis la version 2005 via les web services.

Cependant pour des raisons de sécurité cela est strictement déconseillé !

En effet, le point noir de la problématique est que dès lors que c'est le moteur qui fait les requêtes et non plus l'utilisateur qui a la mainmise dessus, il n'est plus possible d'appliquer une, sécurité aussi fine que celle qui est possible en SQL (privilèges).

Cela a été la même chose pour Oracle....

A +
1  0 
fbenoist68
Avatar de fbenoist68
Candidat au Club https://www.developpez.com
Le 18/01/2020 à 16:28
Bonjour,

Je suis étonné de la relative "simplicité" de postgREST et que beaucoup s'en accommode (à priori).
Je gère actuellement une application "moyenne" (FrontEnd HTML/AJAX + Middleware sous Oracle Glassfish) / et 99% du code des web services REST est écrit en PL/SQL ORACLE (plutôt orienté RPC donc) . Je souhaite ré-écrire cette application mais changer d'architecture BDD pour PostgreSQL. Un FrontEnd en node.js + suite "vue.js" et un backend en ... :
- Django DRF mais il faut constamment contourner le fonctionnement de base et c'est un peu lourd pour une application moyenne
- Peut être FASTAPI + SQLAlchemy (donc en python et en mode ORM)
- je viens de tomber sur PostgREST ...
Pour reprendre les avis déjà écris je me demande qu'elle type d'application moderne peut se contenter de simples appels CRUD mono-table en update/delete ...?? Lorsque j'update un enregistrement, outre des vérifications last minute des paramètres, je mets à jour une table de logs (utilisateur, paramètre d'appels, temps d'execution du ws service ...), et suivants les cas je met bien souvent à jour d'autres tables (qui plus est dans une transaction - obligatoirement - ...)
Lors d'un delete dans une table, il n'est pas rare de devoir supprimer logiquement ou mettre à jour des enregistrement dans une autre. Evidemment on peut faire certaines de ces actions via des triggers mais le debugage risque d'être long et délicat.
Si je devais choisir PostgREST ce n'est pas pour repasser sur des procédures stockées (RPC) quasiment tout le temps.
Outre la vitesse, j'ai du mal à croire que PostgREST puisse convenir pour gérer 100% des accès data (autres qu'en lecture) d'un petit back-office.
1  0 
cecedu26
Avatar de cecedu26
Membre régulier https://www.developpez.com
Le 05/11/2019 à 21:22
On utilise deja ceci sur Oracle, c'est tres pratique et ca permet d'eviter a coder pas mal de code bete type CRUD sans aucune valeur ajoutée cote WS/API (C# dans notre cas).
Ca fait toujours une couche de moins a coder dans nos API REST et bonne alternative pour mettre a dispo des services en 0-dev.

A tester donc sur PostGreSql.
0  0 
walfrat
Avatar de walfrat
Membre émérite https://www.developpez.com
Le 06/11/2019 à 9:04
C'est définitivement intéressant, cependant j'ai toujours eu des difficultés à exprimer certain types de contraintes.

Par exemple avec CHECK on ne peut faire de requête pour vérifier une condition complexe. De fait j'ai donc souvent une première couche d'intégrité en BDD et une autre côté applicatif.

Une autre possibilité serait donc à mapper une URL vers une procédure stockée plutôt que la table en elle-même qui peut effectuer les contrôles complémentaires.

Enfin l'authentification est souvent plutôt côté applicatif de nos jours, ne serait-ce que pour faire des pools de connexions. D'après ce que dit cet article, je ne sais pas si l'authentification proposé fonctionne comme une authentification applicative ou s'il faut passer par la gestion des utilisateurs et rôles de la base, ce dernier serait gênant sur le type d'application que je développe et la complexité de la gestion des droits qui en résulte.
0  0 
Madmac
Avatar de Madmac
Membre extrêmement actif https://www.developpez.com
Le 06/11/2019 à 23:48
Citation Envoyé par Anselme45 Voir le message
Question de néophyte:

N'y-a-t-il pas un risque plus élevé de piratage en suppriment une couche REST et en connectant directement la base de données au réseau?

Merci pour vos réponses d'experts
Il y a probablement un protocole pour authentifier les requêtes. Je n'utiliserais pas ce truc pour faire des entrées, mais pour des sorties uniquement. mais pour une application personnelle, ça pourrait-être utile pour quelqu'un qui ne connais aucun truc comme Rails.

Mais ce que j'en déduis, c'est que PostgreSQL pourrait être aussi simple à utiliser que MySQL.

À suivre ...
0  0 
mohamedimli
Avatar de mohamedimli
Candidat au Club https://www.developpez.com
Le 07/11/2019 à 8:03
Le fait que cette api REST est conforme au standard OpenApi est une bonne chose ! Cela veut dire que nous pouvons générer un client d'accès aux données AUTOMATIQUEMENT et GRATUITEMENT pour n'importe quel langage suportant HTTP !

Sauf que je me pose la question : est ce que cela revient moins cher de maintenir et payer un serveur de plus que de payer pour l'écrire manuellement avec jdbc par exemple ?
0  0 
cecedu26
Avatar de cecedu26
Membre régulier https://www.developpez.com
Le 07/11/2019 à 11:11
Citation Envoyé par Anselme45 Voir le message
Question de néophyte:

N'y-a-t-il pas un risque plus élevé de piratage en suppriment une couche REST et en connectant directement la base de données au réseau?

Merci pour vos réponses d'experts
Non, puisque la couche est "supprimée" en terme de codage de notre coté (donc 0-dev) mais elle reste bien malgré tout presente. Il faut bien que quelqu'un fasse l'interface avec la BDD. Je prefere une mecanique intégrée et gérée par le fournisseur que de devoir recoder de la securité de notre coté (ou il y a plus de chances de laisser passer des choses).

Ce qui est interessant c'est qu'en plus on a de base la portabilité multi plateforme (la ou on devrait coder une couche en C# pour telle ou telle plateforme dans un mode classique), là c'est la BDD deja multiplateforme qui fait le job (visiblement c'est une appli java qui fait l'interface donc portabilité de fait). Donc gagnant sur toute la ligne.
0  0 
Commenter Signaler un problème