# RestFull avec Java - JAX-RS

**Emmanuel BRUNO [✉](mailto:emmanuel.bruno@univ-tln.fr?subject=[Notebook%20JAX-RS]) [☖](http://bruno.univ-tln.fr)**

Ce document présente les service Web REST en général et par la pratique en Java. Il s'appuie sur un exemple simple d'application : https://github.com/ebpro/sample-jaxrs qui servira à illustrer les notions et sera étudiée en détail dans la partie pratique.

La commande suivante clone le projet exemple et le compile (la première exécution est longue à cause du téléchargement des dépendances) :

In [1]:
%%shell 
gitpuller https://github.com/ebpro/sample-jaxrs.git develop /home/jovyan/work/src/samples/sample-jaxrs
MAVEN_OPTS="-Dorg.slf4j.simpleLogger.log.org.apache.maven.cli.transfer.Slf4jMavenTransferListener=warn"
cd /home/jovyan/work/src/samples/sample-jaxrs

mvn -B --quiet clean package

$ git fetch

$ git -c user.email=nbgitpuller@nbgitpuller.link -c user.name=nbgitpuller merge -Xours origin/develop

Already up to date.



et la suivante ajoute les classes de ce projet ce notebook :

In [2]:
List<String> addedJars = %jars "/home/jovyan/work/src/samples/sample-jaxrs/target/sample-jaxrs-*-withdependencies.jar";  
addedJars;

[/home/jovyan/work/src/samples/sample-jaxrs/target/sample-jaxrs-2.0-SNAPSHOT-withdependencies.jar]

# Introduction à RESTfull
L’idée générale de l'approche REST (REpresentational State Transfer) pour construire une interface de programmation (API) est d’offrir un accès distant à des ressources via une interface commune construite ~~au dessus de~~ "**en**" http. On parle d'approche RESTful quand l'interface d'une application est conforme à une certaine philosophie (il ne s'agit pas d'une norme). 

<div class="alert alert-success" role="alert">
    RESTfull est une approche d'API client/serveur suivant la logique de navigation dans un hypermedia. On parle d'<a href="https://restcookbook.com/Basics/hateoashttps://restcookbook.com/Basics/hateoas">HATEOS</a> (Hypermedia As The Engine Of Application State).
</div>

En particulier, le fait que l'API est sans état côté serveur permet de l'utiliser de façon transparente même en cas de serveur proxy/cache.

Pour définir un protocole de communication, il faut généralement définir :
  * un système d'identification (d'adressage) des ressources manipulées, 
  * un protocole de communication, 
  * un format d'échange de données éventuellement typées,
  * un système de gestion des erreurs. 

La logique RESTfull est d'utiliser tout ce que propose HTTP pour écrire une API **en** HTTP.

## L'adressage des ressources

<div class="alert alert-success" role="alert">
    Les ressources (ou ensembles de ressources) de l'application sont identifiées par des <a href="https://tools.ietf.org/html/rfc3986">URI</a>. Les URL sont une sorte particulière d'URI qui indique un moyen d'accès en plus de les identifier de façon unique.
</div>

Il n'y a pas de standard pour les API REST. Il vaut généralement mieux rester simple et cohérent. Quelques pratiques sont utilisées classiquement :

  * On utilise des noms (pas des verbes) au pluriel pour les ressources :
  <dl>
  <dt><strong>Toutes les personnes</strong></dt>
    <dd><code>http://MyServer/MyApp/Persons</code></dd>
  </dl>
  * La ou les informations qui permettent d'identifier une ressource sont inclues dans l'URL et le plus possible dans le chemin plutôt que dans la Query String (par exemple un identifiant) :
  <dl>
  <dt><strong>La personne d'identifiant 1</strong></dt>
    <dd><code>http://MyServer/MyApp/Persons/1</code></dd>
  </dl>
  * On évite les "jointures" dans les chemins. Si on le fait, l'ordre doit être constant et logique (la fin du chemin correspond toujours à la ressource retournée).
  <dl>
  <dt><strong>Les chiens de la personne 1</strong></dt>       
        <dd><code><del>http://MyServer/MyApp/Persons/1/Dogs</del></code></dd>
    <dd><code>http://MyServer/MyApp/Dogs?master_id=1</code></dd>
  </dl>
  * Les références dans les ressources vers d'autres ressources utilisent des URLs (cf. [Web Links](https://tools.ietf.org/html/rfc8288) ).
  * On utilise la pagination, le filtrage et le tri (via les Query Strings) pour les requêtes complexes et pour contrôler le volume des données retournées. A noter la possibilité d'utiliser les [Matrix Params](https://www.w3.org/DesignIssues/MatrixURIs.htmlhttps://www.w3.org/DesignIssues/MatrixURIs.html) même s'ils ne sont pas standards.
  <dl>  
  <dt><strong>La deuxième page de personnes en utilisant des pages de 10 personnes.</strong></dt>
    <dd><code>http://MyServer/MyApp/Persons?page=2&amp;page_size=10</code></dd>
    <dd><code>http://MyServer/MyApp/Persons;page=2;page_size=10</code> (avec des Matrix Params)</dd>
    <dd><code>http://MyServer/MyApp/Persons?page=2&amp;page_size=10&amp;sort=name,firstname,-created,title</code> (avec un filtre qui trie par ordre decroissant de date de création, puis par titre)</dd>
  </dl>  
  * Une projection explicite de certains champs des données peut être envisagée dans la ressource.
  <dl>
  <dt><strong>La personne d'identifiant 1 restreinte uniquement à certains champs</strong></dt>
    <dd><code>http://MyServer/MyApp/Persons/1?fields=email,firstname,lastname</code></dd>
  </dl>
  * Des éléments "administatifs" peuvent/doivent être proposés (par exemple pour gérer la version d'une API en ajoutant /api/v1, /api/v2, ... au début du chemin).    

## Le protocole d'échange
<div class="alert alert-success" role="alert">
Les actions sur les ressources (identifiées par des URIs) sont associées aux verbes (méthodes) standards du protocole HTTP. 
</div>

REST s'appuie sur le protocole HTTP (HyperText Transfert Protocol) qui est défini dans les RFC 7230 à 7237. La [RFC 7231](https://tools.ietf.org/html/rfc7231) défini les [méthodes](https://tools.ietf.org/html/rfc7231#page-24) et les [codes de retour](https://tools.ietf.org/html/rfc7231#section-6).

Une méthode est "sure" (_safe_) si elle ne modifie pas l'état de serveur.

Une méthode est idempotente (_idempotent_) si l'effet attendu par des appels multiples est identique à un appel unique de la même requête. Les méthodes sures sont donc idempotentes.
     
  | Verbe HTTP | Utilisation | Contraintes |
  |:---:| --- | --- | 
  | **[GET](https://tools.ietf.org/html/rfc7231#section-4.3.1)** | Accès à une ressource identifiée dans l'URL (il peut s'agir d'une collection). | Safe, Idempotent    |
  | **[HEAD](https://tools.ietf.org/html/rfc7231#section-4.3.2)** | comme GET mais sans le corps de la requête (seul le header http est retourné). Utile pour savoir si une ressource a changé. | Safe, Idempotent  |
  | **[POST](https://tools.ietf.org/html/rfc7231#section-4.3.3)** | création d’une ressource sans donner l'identifiant. | |
  | **[PUT](https://tools.ietf.org/html/rfc7231#section-4.3.4)**  | mise à jour complète d'une ressource identifiée (voire création en donnant l'identifiant). | Idempotent |
  | **[DELETE](https://tools.ietf.org/html/rfc7231#section-4.3.5)**  | suppression d’une ressource. | Idempotent |
  | **[OPTIONS](https://tools.ietf.org/html/rfc7231#section-4.3.7)** | liste les actions possibles sur une ressource. | Safe, Idempotent |
  | **[PATCH](https://tools.ietf.org/html/rfc5789)** | La [RFC 5789](https://tools.ietf.org/html/rfc5789) ajoute un verbe pour des mises à jour partielle d'une ressource. | |

Donc en particulier GET ne modifie rien, plusieurs appels à PUT n'ajoutent ou n'appliquent une modification qu'une fois mais plusieurs appels à POST en ajoutent plusieurs.

Attention, certains proxies HTTP peuvent empêcher certaines actions en dehors de GET et POST (cf. X-HTTP-Method-Override). Cela peut donc conduire à devoir enfreindre les règles ci-dessus.

Un **endpoint** REST est défini par un verbe HTTP et une URL.

 * **Obtenir toutes les personnes** :
   * `GET http://MyServer/MyApp/Persons`      
 * **Obtenir une personne précise par identifiant** :
   * `GET http://MyServer/MyApp/Persons/1`
 * **Obtenir toutes les personnes entre 7 et 16ans** (avec un filtre) :
   * `GET http://MyServer/MyApp/Persons?ageMin=7&ageMax=16`      
 * **Supprimer toutes personnes**     
   * `DELETE http://MyServer/MyApp/Persons`      
 * **Supprimer une personne**     
   * `DELETE http://MyServer/MyApp/Persons/1`      
      

## La représentation des ressources
<div class="alert alert-success" role="alert">
Les resources sont généralement représentées et échangées à l'aide de langages autodescriptifs comme XML ou JSON.
</div>
    
Par exemple, une personne peut

```xml
<?xml version='1.0'?>
<person id='1'>
    <lastname>Doe</lastname>
    <firstname>John</firstname>
</person>
```

```json
{
  "person": {
    "-id": 1,
    "lastname": "Doe",
    "firstname": "John"
  }
}
```
Les types de données envoyées ou attendues sont indiqués dans l'entête de la requête HTTP par `Content-Type:` et `Accept:`. Pour cela, on utilise les Internet Media Types (ex MIME Type - Multipurpose Internet Mail Extensions). Il s'agit d'une liste standard de formats et de sous-formats d'échange de données (text/plain, text/xml, application/json, ...).

L'exemple ci-dessous sérialise des objets Java qui représente un auteur et un livre en JSON et en XML. (Le détail est expliqué plus loin).

In [3]:
import fr.univtln.bruno.samples.jaxrs.model.Library;
import fr.univtln.bruno.samples.jaxrs.model.Library.Author;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.SerializationFeature;
import jakarta.xml.bind.JAXBContext;
import jakarta.xml.bind.Marshaller;
//Création d'un auteur et d'un livre en Java
Library.demoLibrary.removesAuthors();
Author author1 = Library.Author.builder().firstname("Joshua").name("Bloch").build();
Library.demoLibrary.addAuthor(author1);
Library.demoLibrary.addBook(Library.Book.builder().title("Effective Java (English Edition)").authors(Set.of(author1)).build());

//Transformation en JSON
ObjectMapper objectMapper = new ObjectMapper().enable(SerializationFeature.INDENT_OUTPUT);

//Transformation en XML
Marshaller marshaller = JAXBContext.newInstance(Library.class).createMarshaller();
marshaller.setProperty(Marshaller.JAXB_FORMATTED_OUTPUT, true);
StringWriter sw = new StringWriter();
marshaller.marshal(Library.demoLibrary, sw);

//Affichage
render("```json\n"+objectMapper.writeValueAsString(Library.demoLibrary)+"\n```\n"+
       "```xml\n"+sw.toString()+"\n```", "text/markdown");

```json
{
  "books" : [ {
    "id" : 1,
    "title" : "Effective Java (English Edition)",
    "authors" : [ 1 ]
  } ],
  "authors" : [ {
    "id" : 1,
    "name" : "Bloch",
    "firstname" : "Joshua",
    "books" : [ 1 ]
  } ]
}
```
```xml
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<ebjax:library xmlns:ebjax="http://bruno.univ-tln.fr/sample-jaxrs" xmlns:xs="http://www.w3.org/2001/XMLSchema">
    <authors>
        <author id="Author-1">
            <name>Bloch</name>
            <firstname>Joshua</firstname>
            <books>
                <book>Book-1</book>
            </books>
        </author>
    </authors>
    <books>
        <book id="Book-1">
            <title>Effective Java (English Edition)</title>
            <authors>
                <author>Author-1</author>
            </authors>
        </book>
    </books>
</ebjax:library>

```

## Les code de retours
Le protocole HTTP défini un ensemble de [codes de retours](https://tools.ietf.org/html/rfc7231#section-6). Il est donc possible d'utiliser ces codes standards comme code de retour pour indiquer comment l'opération a réussi ou pourquoi elle a échoué.

<div class="alert alert-success" role="alert">
Le code de retour des méthode est un code HTTP. Il est indiqué de façon standard dans l'entête de la réponse et peut être répété dans le contenu si une enveloppe est proposée. 
</div>

|Code| Signification | Usage |
|--- | --- | --- |
|200| Ok | Requête traitée avec succès.|
|201| Created | Nouvelle ressource créée.|
|204| No Content | Pas de contenu, pas exmple lors d'une requête DELETE réussie.|
|206| Partial Content | Seulement une partie de résultat est retourné par exemple en cas de pagination (non explicite). |
|304| Not Modified | Utilisation du cache possible. |
|400| Bad Request | La requête est invalide et ne peut pas être traitée par le serveur. |
|401| Unauthorized | La requête nécessite que le client soit authentifié. |
|403| Forbidden | Le client est authentifié mais l’utilisateur n’est pas autorisé à accéder à cette ressource. |
|404| Not Found | La ressource demandée n’existe pas. |
|500| Internal Server Error | C'est une erreur générique de fonctionnement, elle devrait toujours être accompagnée d'une description |


## Un échange REST = un échange HTTP
<div class="alert alert-success" role="alert">
Un échange d'une API REST correspond donc exactement à un échange http.
</div>

  * Une requête HTTP composée d'un verbe, d'une URL, de la version de HTTP utilisée, d'un en-tête (une liste de couples `nom:valeur` par exemple `Content-Type: text/xml`) et un corps éventuellement vide (les données envoyées).  
  * Une réponse HTTP composée d'un code de retour, de meta données dans l'en-tête et d'un corps qui contient les données. Le corps est éventuellement encapsulé dans une "enveloppe" qui reprend les meta données pour faciliter leur traitement.

## Quelques exemples complets
Requête de création d'une personne :
```http
POST http://MyServer:8080/MyApp/Persons/
Host: MyServer:8080
Content-Type: application/json; charset=utf-8
Content-Length: 36
{"lastname": "Doe",
 "firstname": "John"}
```

Requête de modification d'une personne (`id` dans l'URL):
```http
PUT http://MyServer:8080/MyApp/Persons/1
Host: MyServer:8080
Content-Type: application/json; charset=utf-8
Content-Length: 12
{"age":"18"}
```

## Utilisation
Une requête REST peut être envoyée par programmation ou en utilisant un programme dédié comme [curl](https://curl.se/) en ligne de commande, [`postman`](https://www.postman.com/)  pour chrome ou [`RestClient`](https://addons.mozilla.org/fr/firefox/addon/restclient/) pour firefox. Regardez les options de la commande `curl` pour réaliser des requêtes HTTP. Attention, les serveurs lancés dans jupyter ne sont pas simplement accessible de l'extérieur y compris via les extensions du navigateurs mais direct sur l'adresse de loopback 127.0.0.1

La requête suivante utilise la commande `curl` pour soumettre une requête REST GET à l'API de github pour consulter le profile du compte `ebpro`. Elle affiche le détails des requêtes et réponses HTTP

In [4]:
%%shell 
curl -s -D - https://api.github.com/users/ebpro

HTTP/2 200 
server: GitHub.com
date: Thu, 18 Nov 2021 08:14:23 GMT
content-type: application/json; charset=utf-8
cache-control: public, max-age=60, s-maxage=60
vary: Accept, Accept-Encoding, Accept, X-Requested-With
etag: W/"967f64e719f7fb512c0d470f009c39321272e36a53a1dd4bf13119cdd5482060"
last-modified: Tue, 02 Nov 2021 16:59:36 GMT
x-github-media-type: github.v3; format=json
access-control-expose-headers: ETag, Link, Location, Retry-After, X-GitHub-OTP, X-RateLimit-Limit, X-RateLimit-Remaining, X-RateLimit-Used, X-RateLimit-Resource, X-RateLimit-Reset, X-OAuth-Scopes, X-Accepted-OAuth-Scopes, X-Poll-Interval, X-GitHub-Media-Type, Deprecation, Sunset
access-control-allow-origin: *
strict-transport-security: max-age=31536000; includeSubdomains; preload
x-frame-options: deny
x-content-type-options: nosniff
x-xss-protection: 0
referrer-policy: origin-when-cross-origin, strict-origin-when-cross-origin
content-security-policy: default-src 'none'
x-ratelimit-limit: 60
x-ratelimit-remaining:

<div class="alert alert-block alert-info">
A partir du résultat précédent écrivez une requête REST pour obtenir la liste des repositories de ce compte github.
</div>

In [5]:
%%shell
echo EXERCICE A FAIRE

EXERCICE A FAIRE


# Pratique avec Jersey et Grizzly

Java propose un standard appelé [JAX-RS](https://jakarta.ee/specifications/restful-ws/3.0/jakarta-restful-ws-spec-3.0.html) pour construire efficacement des serveurs et des clients REST. 
[Jersey](https://eclipse-ee4j.github.io/jersey/download.html) est l'implantation de référence de JAX-RS. 

## Une application REST minimale

Dans un premier temps nous allons étudier une application minimale qui s'appuie un serveur Web en Java [Grizzly](https://javaee.github.io/grizzly/).

L’archetype maven suivant permet de créer un projet de base dans le répertoire `/home/jovyan/work/src/samples/jaxrs/myresource`. 

Une fois la commande terminée (un nombre a remplacé \[*\] cela peut prendre un peu de temps), le code source peut être consulté en utilisant l'IDE [Visual Studio Code](/code-server) embarqué en cliquant sur le lien précédent ou depuis les launchers de JupyterLab.

In [6]:
%%shell
mkdir -p /home/jovyan/work/src/samples/jaxrs
cd /home/jovyan/work/src/samples/jaxrs
rm -rf /home/jovyan/work/src/samples/jaxrs/myresource

mvn archetype:generate -B --no-transfer-progress \
  -DarchetypeGroupId=org.glassfish.jersey.archetypes \
  -DarchetypeArtifactId=jersey-quickstart-grizzly2 \
  -DarchetypeVersion=3.0.0 \
  -DgroupId=fr.univtln.bruno.demos.jaxrs \
  -DartifactId=myresource

[INFO] Scanning for projects...
[INFO] 
[INFO] ------------------< org.apache.maven:standalone-pom >-------------------
[INFO] Building Maven Stub Project (No POM) 1
[INFO] --------------------------------[ pom ]---------------------------------
[INFO] 
[INFO] >>> maven-archetype-plugin:3.2.0:generate (default-cli) > generate-sources @ standalone-pom >>>
[INFO] 
[INFO] <<< maven-archetype-plugin:3.2.0:generate (default-cli) < generate-sources @ standalone-pom <<<
[INFO] 
[INFO] 
[INFO] --- maven-archetype-plugin:3.2.0:generate (default-cli) @ standalone-pom ---
[INFO] Generating project in Batch mode
[INFO] Archetype repository not defined. Using the one from [org.glassfish.jersey.archetypes:jersey-quickstart-grizzly2:3.0.3] found in catalog remote
[INFO] ----------------------------------------------------------------------------
[INFO] Using following parameters for creating project from Old (1.x) Archetype: jersey-quickstart-grizzly2:3.0.0
[INFO] ------------------------------------

<div class="alert alert-block alert-info">
Ouvrez un terminal dans jupyterlab (+ en haut à gauche puis terminal) et copier/coller la commande suivante pour compilier/exécuter l’application et ainsi démarrer le serveur REST.
</div>

```shell
cd /src/jaxrs/myresource
mvn package && mvn exec:java
```

Il est maintenant possible d’accéder à la ressource en ligne de commande à partir de l'adresse http://localhost:8080/myapp dans le notebook ou un terminal jupyter par exemple avec curl (pas dans dans la barre d'adresse de votre navigateur).



Une application REST JAX-RS est construite autour de deux notions principales l'Application (le serveur) et les Ressources.
Une instance d'une ressource est créée pour répondre à chaque requête et détruite ensuite. Elle peut donc être utilisée comme une sorte de singleton. Une ressource est définie annotant  une classe, un ou plusieurs de ses superclasses (y compris abstraites) ou l'une de ses interfaces. 

Dans l'exemple, la classe `fr.univtln.bruno.demos.jaxrs.Main` démarre le serveur et paramètre les packages où le framework va chercher des ressources comme le montre la méthode ci-dessous.

In [7]:
%%javasrcMethodByName Main startServer
/home/jovyan/work/src/samples/jaxrs/myresource/src/main/java/fr/univtln/bruno/demos/jaxrs/Main.java

```java
/**
 * Starts Grizzly HTTP server exposing JAX-RS resources defined in this application.
 * @return Grizzly HTTP server.
 */
public static HttpServer startServer() {
    // create a resource config that scans for JAX-RS resources and providers
    // in fr.univtln.bruno.demos.jaxrs package
    final ResourceConfig rc = new ResourceConfig().packages("fr.univtln.bruno.demos.jaxrs");
    // create and start a new instance of grizzly http server
    // exposing the Jersey application at BASE_URI
    return GrizzlyHttpServerFactory.createHttpServer(URI.create(BASE_URI), rc);
}
```

La classe `fr.univtln.bruno.demos.jaxrs.MyResource` présente le fonctionnement minimal d'une ressource. La classe est annotée avec `@Path(...)` pour indiquer le chemin à ajouter à l’URL correspondant à cette ressource. D'une façon générale, les méthodes sont annotées avec `@POST`, `@GET`, `@PUT`,`@DELETE`, ... pour indiquer le type de verbe HTTP associé. 

Les méthodes peuvent être annotées avec `@Produces` qui indique le ou les types MIME dans lequel le résultat peut être fourni : `@Produces("text/plain")`, `@Produces("application/json")`, … Il est possible d’indiquer plusieurs types avec `@Produces({"application/json", "application/xml"})`. Il existe aussi des constantes équivalentes `MediaType.TEXT_PLAIN`. Une valeur par défaut de `@Produces` peut être indiquée en annotant la classe.

In [8]:
%%javasrcMethodByAnnotationName MyResource GET
/home/jovyan/work/src/samples/jaxrs/myresource/src/main/java/fr/univtln/bruno/demos/jaxrs/MyResource.java

```java
/**
 * Method handling HTTP GET requests. The returned object will be sent
 * to the client as "text/plain" media type.
 *
 * @return String that will be returned as a text/plain response.
 */
@GET
@Produces(MediaType.TEXT_PLAIN)
public String getIt() {
    return "Got it!";
}
```

Le client peut indiquer le type demandé parmi l'un des "produces" avec la valeur `Content-Type: ` de l'entête de la requête.


La commande suivante exécute une requête GET sur l'URL d'une ressource et affiche le résultat en-tête compris. (Le serveur doit être lancé).

In [9]:
%%shell
curl -s -D - --get http://localhost:8080/myapp/myresource

## Une application REST plus complète

Pour la suite nous allons étudier en détail l'application clonée au début du notebook dans `/home/jovyan/work/src/samples/sample-jaxrs`.

Vous pouvez exécuter la commande suivante depuis un terminal jupyterlab qui utilise le but maven `verify`.
Elle compile, exécute les tests unitaires, package et exécute les tests d'intégration (en lançant le serveur REST et en exécutant de vraies requêtes).
```shell 
cd /home/jovyan/work/src/samples/sample-jaxrs && \
    mvn clean verify &&
    mvn exec:java
```

Le but  `exec:java` lances ensuite le serveur (vous pourrez l'arrêter avec ctrl-c dans le terminal). 

<div class="alert alert-block alert-info">
Vous pouvez donc ourir un autre terminal JupyterLab pour exécuter la commande suivante et encore un autre terminal pour executer des requêtes avec curl.<br/>
    
Les exemples suivants lancent, utilisent et ferment le serveur depuis le notebook.
</div>


La classe `fr.univtln.bruno.samples.jaxrs.server.BiblioServer` paramètre Jersey, démarre Grizzly et attend un CTRL-C pour arrêter le serveur. 

La classe `fr.univtln.bruno.samples.jaxrs.model.LibraryModel` définit le modèle de donnée (Une bibliothèque qui est une facade pour gérer des Auteurs et des Livres.)

Les classes `fr.univtln.bruno.samples.jaxrs.resources.LibraryResource` et `fr.univtln.bruno.samples.jaxrs.resources.AuthorResource` définissent des ressources REST.

<div class="alert alert-block alert-warning">
La commande suivante démarre le serveur REST dans le notebook, il s'éxecute en tâche de fond et devra être arrêté avec la commande <tt>httpServer.stop();</tt> ou par un redémarrage du notebook.
</div>

In [10]:
%jars "/home/jovyan/work/src/samples/sample-jaxrs/target/sample-jaxrs-*-withdependencies.jar"; 
import org.glassfish.grizzly.http.server.HttpServer;
import fr.univtln.bruno.samples.jaxrs.server.BiblioServer;
HttpServer httpServer = BiblioServer.startServer();
httpServer.toString();

org.glassfish.grizzly.http.server.HttpServer@5a673eb3

### Chemins et Verbes
La méthode `sayHello()` reprend l'exemple précédent.

In [11]:
%%javasrcMethodByName LibraryResource sayHello
/home/jovyan/work/src/samples/sample-jaxrs/src/main/java/fr/univtln/bruno/samples/jaxrs/resources/LibraryResource.java

```java
/**
 * The simpliest method that just return "hello" in plain text with GET on the default path "biblio".
 *
 * @return the string
 */
@SuppressWarnings("SameReturnValue")
@GET
@Path("hello")
@Produces(MediaType.TEXT_PLAIN)
public String sayHello() {
    return "hello";
}
```

In [12]:
%%shell
curl -s -i http://localhost:9998/mylibrary/library

HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 146

{"books":[{"id":1,"title":"Effective Java (English Edition)","authors":[1]}],"authors":[{"id":1,"name":"Bloch","firstname":"Joshua","books":[1]}]}



La méthode `init()` est un simple PUT sans paramètre qui initialise la bibliothèque avec deux auteurs.

In [13]:
%%javasrcMethodByName LibraryResource init
/home/jovyan/work/src/samples/sample-jaxrs/src/main/java/fr/univtln/bruno/samples/jaxrs/resources/LibraryResource.java

```java
/**
 * An init method that add two authors with a PUT on the default path.
 *
 * @return the number of generated authors.
 * @throws IllegalArgumentException the illegal argument exception
 */
@PUT
@Path("init")
public int init() throws BusinessException {
    Library.demoLibrary.removesAuthors();
    Library.Author author1 = Library.demoLibrary.addAuthor(Library.Author.builder().firstname("Alfred").name("Martin").build());
    Library.Author author2 = Library.demoLibrary.addAuthor(Library.Author.builder().firstname("Marie").name("Durand").build());
    Library.demoLibrary.addBook(Library.Book.builder().title("title1").authors(Set.of(author1)).build());
    Library.demoLibrary.addBook(Library.Book.builder().title("title2").authors(Set.of(author1, author2)).build());
    Library.demoLibrary.addBook(Library.Book.builder().title("title3").authors(Set.of(author2)).build());
    Library.demoLibrary.addBook(Library.Book.builder().title("title4").authors(Set.of(author2)).build());
    return Library.demoLibrary.getAuthorsNumber();
}
```

In [14]:
%%shell
curl -s -i -X PUT "http://localhost:9998/mylibrary/library/init"

HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 1

2


### Les paramètres simples
JAX-RS permet d'extraire automatiquement des valeurs de paramètres depuis le chemin de la ressources, les paramêtres de la requête ou l'entête http. Ces valeurs peuvent alors être "injectées" (affectée par annotation aux paramètres des méthodes REST).

L’annotation `@PathParam` permet d’injecter les valeurs provenant des URL comme des paramètres.

La méthode `getAuthor(@PathParam("id") final long id)` ci dessous-s'exécute lors d'un `GET` sur un chemin de forme `@Path("author/{id}")`. `id` est est un pas de chemin quelconque qui sera extrait, converti en long et injecté grâce à `@PathParam` dans le paramètre `id` de la fonction. Il est possible d'indiquer une expression régulière pour contraindre la forme du pas par exemple `@Path("authors/{id: [0-9]+}")`. 

Le `@Produces` sur la classe indique que du XML ou du JSON peuvent être produits.
Les méthodes REST retournent instance de la classe Response qui représente une réponse HTTP. Cette classe propose un builder pour construire manuellement. 
Cependant, JAX-RS permet de construite automatiquement ces réponses si le type de retour peut être transformé en un contenu de réponse (une entité http) par une implantation de l'interface `MessageBodyWriter`. Les implantations de JAX-RS en fournissent généralement par défaut par exemple pour String voire pour XML ou JSON (via les mécanismes de marshalling qui seront étudiés en détail plus tard).

In [15]:
%%javasrcMethodByName AuthorResource getAuthor
/home/jovyan/work/src/samples/sample-jaxrs/src/main/java/fr/univtln/bruno/samples/jaxrs/resources/AuthorResource.java

```java
/**
 * Find and return an author by id with a GET on the path "biblio/auteurs/{id}" where  {id} is the needed id.
 * The path parameter "id" is injected with @PathParam.
 *
 * @param id the needed author id.
 * @return the auteur with id.
 * @throws NotFoundException is returned if no author has the "id".
 */
@GET
@Path("{id}")
public Library.Author getAuthor(@PathParam("id") final long id) throws BusinessException {
    return Library.demoLibrary.getAuthor(id);
}
```

Get author 1 in JSON :

In [16]:
%%shell
curl -s -i -H "Accept: application/json"  \
  http://localhost:9998/mylibrary/authors/1

HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 59

{"id":1,"name":"Martin","firstname":"Alfred","books":[1,2]}


La requête suivante reprend la précédente et demande du XML. JAX-RS va chercher automatiquement des classes (MessageBodyWriter et Reader) pour créer le bon format. Ces classes peuvent construites explicitement mais des extensions peuvent être ajoutées pour produire les types classiques par annotations des entités (cf. le pom.xml et  les annotations de la classe `BiblioModel.Auteur`) : jersey-media-jaxb pour XML et jersey-media-json-jackson pour JSON. Jackson n'est pas l'implantatation pas défaut mais elle est plus efficace et plus configurable. 

Get author 2 in XML :

In [17]:
%%shell
curl -s -i -H "Accept: text/xml"  \
  http://localhost:9998/mylibrary/authors/2

HTTP/1.1 200 OK
Content-Type: text/xml
Content-Length: 313

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ebjax:author xmlns:ebjax="http://bruno.univ-tln.fr/sample-jaxrs" xmlns:xs="http://www.w3.org/2001/XMLSchema" id="Author-2"><name>Durand</name><firstname>Marie</firstname><books><book>Book-2</book><book>Book-3</book><book>Book-4</book></books></ebjax:author>


Les collections classiques sont supportés. Notez qu'ici les [collections eclipse](https://www.eclipse.org/collections/) sont utilisées en particulier celles pour les primitifs et qu'elles sont supportées par Jackson.

Get authors in XML :

In [18]:
%%javasrcMethodByName AuthorResource getAuthors
/home/jovyan/work/src/samples/sample-jaxrs/src/main/java/fr/univtln/bruno/samples/jaxrs/resources/AuthorResource.java

```java
/**
 * Gets auteurs.
 *
 * @return the auteurs
 */
@GET
public Collection<Library.Author> getAuthors() {
    return Library.demoLibrary.getAuthors().values();
}
```

Get authors in JSON

In [19]:
%%shell
curl -s -i -H "Accept: application/json"  \
  http://localhost:9998/mylibrary/authors

HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 122

[{"id":1,"name":"Martin","firstname":"Alfred","books":[1,2]},{"id":2,"name":"Durand","firstname":"Marie","books":[2,3,4]}]


D'une façon similaire les annotations `@HeaderParam` et `@QueryParam` permettent d'extraire des valeurs de l'entête ou des paramètres de la requête http.
La méthode suivante permet de construire un filtre pour des requêtes complexe. L'utilisation d'un chemin différent ("filter") n'est utile que pour l'exemple dans une application réelle il n'y aura qu'un seul GET. 

In [20]:
%%javasrcMethodByName AuthorResource getFilteredAuthors
/home/jovyan/work/src/samples/sample-jaxrs/src/main/java/fr/univtln/bruno/samples/jaxrs/resources/AuthorResource.java

```java
/**
 * Gets a list of "filtered" authors.
 *
 * @param name        an optional exact filter on the name.
 * @param firstname     an optional exact filter on the firstname.
 * @param biography an optional contains filter on the biography.
 * @param sortKey    the sort key (prenom or nom).
 * @return the filtered auteurs
 */
@GET
@Path("filter")
public Page<Library.Author> getFilteredAuthors(@QueryParam("name") String name, @QueryParam("firstname") String firstname, @QueryParam("biography") String biography, @HeaderParam("sortKey") @DefaultValue("name") String sortKey) {
    PaginationInfo paginationInfo = PaginationInfo.builder().name(name).firstname(firstname).biography(biography).sortKey(sortKey).build();
    return Library.demoLibrary.getAuthorsWithFilter(paginationInfo);
}
```

In [21]:
%%shell
curl -s -i -H "Accept: application/json"  \
 "http://localhost:9998/mylibrary/authors/filter?name=Durand&firstname=Marie"

HTTP/1.1 200 OK
JAXRS_Sample-Total-Count: 1
JAXRS_Sample-Page-Count: 1
Content-Type: application/json
Content-Length: 62

[{"id":2,"name":"Durand","firstname":"Marie","books":[2,3,4]}]


In [22]:
%%shell
curl -s -i -H "Accept: application/json"  \
-H "sortKey: firstname" \
  "http://localhost:9998/mylibrary/authors/filter"

HTTP/1.1 200 OK
JAXRS_Sample-Total-Count: 2
JAXRS_Sample-Page-Count: 1
Content-Type: application/json
Content-Length: 122

[{"id":1,"name":"Martin","firstname":"Alfred","books":[1,2]},{"id":2,"name":"Durand","firstname":"Marie","books":[2,3,4]}]


Pour simplifier le traitement des paramètres JAX-RX propose l'annotation `@BeanParam` qui permet de créer un instance d'une classe à partir des paramètres extraits. Pour cela, les propriétés de la classe peuvent être annotées pour indiquer les paramêtres correspondants.

L'exemple suivant montre comment l'utiliser pour mettre en place la pagination qui est essentielle quand le volume des données peut être important. Là aussi le chemin spécifique ("page") n'est là que pour l'exemple. 

In [23]:
%%javasrcClassByName PaginationInfo
/home/jovyan/work/src/samples/sample-jaxrs/src/main/java/fr/univtln/bruno/samples/jaxrs/resources/PaginationInfo.java

```java
/**
 * The Pagination information to be injected with @BeanPararm Filter Queries.
 * Each field is annotated with a JAX-RS parameter injection.
 */
@FieldDefaults(level = AccessLevel.PRIVATE)
@Getter
@ToString
@Builder
@NoArgsConstructor
@AllArgsConstructor
public class PaginationInfo {

    @SuppressWarnings("FieldMayBeFinal")
    @QueryParam("page")
    @Builder.Default
    long page = 1;

    @SuppressWarnings("FieldMayBeFinal")
    @QueryParam("pageSize")
    @Builder.Default
    long pageSize = 10;

    @HeaderParam("sortKey")
    @DefaultValue("name")
    String sortKey;

    @QueryParam("name")
    String name;

    @QueryParam("firstname")
    String firstname;

    @QueryParam("biography")
    String biography;
}
```

In [24]:
%%javasrcMethodByName AuthorResource getAuthorsPage
/home/jovyan/work/src/samples/sample-jaxrs/src/main/java/fr/univtln/bruno/samples/jaxrs/resources/AuthorResource.java

```java
/**
 * Gets a page of authors after applying a sort.
 *
 * @param paginationInfo the pagination info represented as a class injected with @BeanParam.
 * @return the page of authors.
 */
@GET
@Path("page")
public Page<Library.Author> getAuthorsPage(@BeanParam PaginationInfo paginationInfo) {
    return Library.demoLibrary.getAuthorsWithFilter(paginationInfo);
}
```

L'appel suivant de l'API génère alétoirement 100 auteurs.

In [25]:
%%shell
curl -s -i -X PUT "http://localhost:9998/mylibrary/library/init/100"

HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 3

100


On peut alors demander la page 3 (de taille 10).

In [26]:
%%shell
curl -s -i -H "Accept: application/json"  \
-H "sortKey: firstname" \
  "http://localhost:9998/mylibrary/authors/page?pageSize=10&page=3"

HTTP/1.1 200 OK
Link: <http://localhost:9998/mylibrary/authors/page?pageSize=10&page=2>; rel="previous",<http://localhost:9998/mylibrary/authors/page?pageSize=10&page=1>; rel="first",<http://localhost:9998/mylibrary/authors/page?pageSize=10&page=4>; rel="next",<http://localhost:9998/mylibrary/authors/page?pageSize=10&page=10>; rel="last"
JAXRS_Sample-Total-Count: 100
JAXRS_Sample-Page-Count: 10
Content-Type: application/json
Content-Length: 447

[{"id":94,"name":"eds","firstname":"fx"},{"id":61,"name":"tamgpeg","firstname":"gcmbcmg"},{"id":14,"name":"yhctr","firstname":"gg"},{"id":35,"name":"zdic","firstname":"ggwa"},{"id":95,"name":"paxiz","firstname":"ghhian"},{"id":85,"name":"wedlpy","firstname":"hglqlo"},{"id":30,"name":"fwmrxui","firstname":"hledw"},{"id":47,"name":"wpxr","firstname":"hurtl"},{"id":92,"name":"ytaqlls","firstname":"hz"},{"id":89,"name":"uf","firstname":"ibohlbl"}]


L'appel suivant de l'API remet uniquement deux auteurs dans la base de données.

In [27]:
%%shell
curl -s -i -X PUT "http://localhost:9998/mylibrary/library/init"

HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 1

2


In [28]:
httpServer.stop();

### La sérialisation des données
Les resources sont habituellement échangées en utilisant des langage de description standards comme [XML](https://www.w3.org/TR/xml11/) ou [JSON](https://www.ecma-international.org/publications-and-standards/standards/ecma-404/) (pour être précis JSON n'est pas vraiment un "standard" du web). Il est donc très courant de convertir des données vers et depuis Java. Pour cela, des API standards existent.

#### JAXB
Nous allons voir maintenant une introduction rapide au mapping XML<->Java. La définition des formats de données XML se fait par annotation des entités en utilisant le standard [JAXB](https://jakarta.ee/specifications/xml-binding/3.0/jakarta-xml-binding-spec-3.0.html) (Java Architecture for XML Binding) : `@XmlElement`, `@XmlType`, `@XmlAttribute`, `@XmlTransient`, `@XmlValue`, ...

Depuis Java 9, il est nécessaire d'ajouter les dépendances suivantes pour traiter des données XML avec JAXB : 

In [29]:
%%loadFromPOM
<dependency>
  <groupId>jakarta.xml.bind</groupId> 
  <artifactId>jakarta.xml.bind-api</artifactId>
  <version>3.0.0</version>
</dependency>
<dependency>
  <groupId>org.glassfish.jaxb</groupId>
  <artifactId>jaxb-runtime</artifactId>
  <version>3.0.0</version>
</dependency>

La classe `Task` ci-dessous est un exemple simple. marquée comme étant représentée comme un élément XML (`@XmlRootElement`). On précise que les annotations sont faites sur les champs avec `@XmlAccessorType` (utile avec Lombok).

Par défaut, les propriétés sont représentées comme des éléments XML. Il est possible de préciser que l'on veut un attribut (`@XmlAttribute`) sur `id`, de contrôler leur nom (paramètre `name`) et de définir ceux qui ne doivent pas apparaitre (`@XMLTransient`). Il est aussi possible de contrôler l'ordre d'apparition des éléments (`propOrder` de `@XmlType`).

Attention, un constructeur sans paramètre (au maximum `protected`) est obligatoire (pour permettre la reconstruction). Sinon `@XmlType.factoryMethod()` et `@XmlType.factoryClass()` permettent d'utiliser une factory s'il s'agit d'une méthode statique sans paramètre.

Dans le cas d'une collection `@XmlElementWrapper` permet d'ajouter un élément parent au contenu et `@XmlElements` contrôle le type des éléments en fonction du type réel Java. Pour des primitifs `@XmlList` permet de générer des listes avec un espace comme séparateur.

`@XmlType` est similaire à `@XmlRootElement` si la classe ne doit apparitre que comme un sous-élément. 

`@XmlValue` ne peut être utilisée que sur une seule propriété dont la valeur sera alors le contenu de l'élément (sans élément parent). 

In [30]:
import jakarta.xml.bind.annotation.*;
import java.util.List;
import java.util.ArrayList;
    
@XmlRootElement(name="task", namespace="http://bruno.univ-tln.fr/sample-jaxb/task")
@XmlType(propOrder = { "id", "state", "title", "description", "tags"})
@XmlAccessorType(XmlAccessType.FIELD)
public class Task {
   @XmlAttribute(name="id")
   private long id=-1;

   private String title;

   @XmlElement(name="status")
   private State state=State.OPENED;
   
   @XmlTransient
   private int age = -1;
        
   @XmlElementWrapper(name="tags")
   @XmlElements({@XmlElement(name="tag",type=String.class)})
   private List<String> tags; 
    
   private Description description = new Description(); 
    
   protected Task() {} 
   public Task(long id, String title, State state, List<String> tags) {
       this.id=id; this.title=title; this.state=state; this.tags = tags;
       }  
    
   public String toString() {return "Task {id="+id+",title='"+title+"',status='"+state+", tags='"+tags+"', description='"+description+"'}";}
    
 @XmlEnum(Integer.class)   
 //Par défaut vers String (donc @XmlEnumValue inutile)
 //@XmlEnum(String.class)   
 public enum State {
    @XmlEnumValue("1") OPENED, 
    @XmlEnumValue("0") CLOSED
 }
 
 @XmlAccessorType(XmlAccessType.FIELD)    
 public static class Description {
     @XmlValue 
     private String content = "...";
     public String toString() {return content;}
 }
    
}

JAXB offre la classe [JAXBContext](https://jakarta.ee/specifications/xml-binding/3.0/jakarta-xml-binding-spec-3.0.html#jaxbcontext) pour transformer une classe Java en XML (Marshalling).

In [31]:
import jakarta.xml.bind.JAXBContext;
import jakarta.xml.bind.Marshaller;

Task task = new Task(1L, "First task", Task.State.OPENED, Arrays.asList("important","outside"));

//Création du contexte JAXB sur la classe Task
JAXBContext jaxbContext = JAXBContext.newInstance(Task.class);

//Création de la classe qui converti vers XML
Marshaller marshaller = jaxbContext.createMarshaller();
//Définition des paramètres de la conversion (optionnel)
marshaller.setProperty(Marshaller.JAXB_FORMATTED_OUTPUT, true);
//Exécution de la conversion
StringWriter sw = new StringWriter();
marshaller.marshal(task, sw);
String result=sw.toString();

render("```xml\n"+result+"\n```", "text/markdown");

```xml
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<ns2:task id="1" xmlns:ns2="http://bruno.univ-tln.fr/sample-jaxb/task">
    <status>1</status>
    <title>First task</title>
    <description>...</description>
    <tags>
        <tag>important</tag>
        <tag>outside</tag>
    </tags>
</ns2:task>

```

Le contexte JABX permet aussi simplement de réaliser l'opération inverse (UnMarshalling) à partir d'un document XML contenu dans une String, un fichier, d'un flux, ...

In [32]:
String xmlString="""
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<ns2:task xmlns:ns2="http://bruno.univ-tln.fr/sample-jaxb/task" id="2">
    <status>0</status>
    <title>Another task</title>
    <description>Une tache inutile</description>
    <tags>
        <tag>spare-time</tag>
        <tag>fun</tag>
    </tags>
</ns2:task>""";
//Conversion d'n document XML 
jaxbContext.createUnmarshaller()
       .unmarshal(new StringReader(xmlString));

Task {id=2,title='Another task',status='CLOSED, tags='[spare-time, fun]', description='Une tache inutile'}

Dans le cas de JAX-RS, c'est le framework qui prend en charge la transformation des données retournées et reçues à condition d'ajouter la dépendance suivante en plus de celles de JAXB :

```xml
<dependency>
 <groupId>org.glassfish.jersey.media</groupId>
 <artifactId>jersey-media-jaxb</artifactId>
</dependency>
```

JAXB Permet aussi de générer automatique le Schema XML à partir des classes Java. Il suffit d'écrire une sous-classe de `SchemaOutputResolver` pour indiquer où les résultat doit être produit. Ci dessous deux exemples pour obtenir une String et des fichiers. 

In [33]:
import jakarta.xml.bind.SchemaOutputResolver;
import javax.xml.transform.Result;
import javax.xml.transform.stream.StreamResult;

public class StringSchemaOutputResolver extends SchemaOutputResolver {
    private StringWriter stringWriter = new StringWriter();    

    public Result createOutput(String namespaceURI, String suggestedFileName) throws IOException  {
        StreamResult result = new StreamResult(stringWriter);
        result.setSystemId(suggestedFileName);
        return result;
    }

    public String getSchema() {
        return stringWriter.toString();
    }

}


public class FileSchemaOutputResolver extends SchemaOutputResolver {        
    @Override
    public Result createOutput(String nameSpaceURI, String suggestedName) throws IOException {
        System.out.println(nameSpaceURI+" "+suggestedName);
        StreamResult streamResult = new StreamResult(suggestedName);
        return streamResult;
    }
}

StringSchemaOutputResolver stringSchemaOutputResolver = new StringSchemaOutputResolver();
jaxbContext.generateSchema(stringSchemaOutputResolver);
String result = stringSchemaOutputResolver.getSchema();

render("```xml\n"+result+"\n```", "text/markdown");

```xml
<?xml version="1.0" standalone="yes"?>
<xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">

  <xs:complexType name="task">
    <xs:sequence>
      <xs:element name="status" type="state" minOccurs="0"/>
      <xs:element name="title" type="xs:string" minOccurs="0"/>
      <xs:element name="description" type="description" minOccurs="0"/>
      <xs:element name="tags" minOccurs="0">
        <xs:complexType>
          <xs:sequence>
            <xs:element name="tag" type="xs:string" minOccurs="0" maxOccurs="unbounded"/>
          </xs:sequence>
        </xs:complexType>
      </xs:element>
    </xs:sequence>
    <xs:attribute name="id" type="xs:long" use="required"/>
  </xs:complexType>

  <xs:simpleType name="description">
    <xs:restriction base="xs:string"/>
  </xs:simpleType>

  <xs:simpleType name="state">
    <xs:restriction base="xs:int">
      <xs:enumeration value="1"/>
      <xs:enumeration value="0"/>
    </xs:restriction>
  </xs:simpleType>
</xs:schema>

<?xml version="1.0" standalone="yes"?>
<xs:schema version="1.0" targetNamespace="http://bruno.univ-tln.fr/sample-jaxb/task" xmlns:xs="http://www.w3.org/2001/XMLSchema">

  <xs:import schemaLocation="schema2.xsd"/>

  <xs:element name="task" type="task"/>

</xs:schema>


```

#### JSON
Le standard officiel pour JSON est maintenant [JSON-B](http://json-b.net/) (Java API for JSON Binding). Cependant, des fonctionnalités importantes sont manquantes comme la gestion des types Polymorphes ou de certaines classes importantes en natif (comme les collections eclipses). Nous utiliserons donc une autre librairie : [Jackson](https://github.com/FasterXML/jackson) (cf. pom.xml). 

Pour l'utiliser, il suffit d'ajouter les dépendances suivantes :

In [34]:
%%loadFromPOM
<!-- -->
<dependency>
 <groupId>com.fasterxml.jackson.core</groupId>
 <artifactId>jackson-databind</artifactId>
 <version>2.12.1</version>
</dependency>

<!-- Optionnel ajoute le support de type Java8 hors Date -->
<dependency>
 <groupId>com.fasterxml.jackson.module</groupId>
 <artifactId>jackson-modules-java8</artifactId>
 <version>2.12.1</version>
</dependency>
<!-- Optionnel ajoute le support des Date Java8 -->
<dependency>
    <groupId>com.fasterxml.jackson.datatype</groupId>
    <artifactId>jackson-datatype-jsr310</artifactId>
    <version>2.12.1</version>
</dependency>

Le contrôle de la sérialisation/désérialisation se fait principalement par annotation des entités. Les méthodes de sérialisation/désérialisations sont alors générées automatiquement. Il est possible de créer manuellement ces méthodes pour un contrôle plus précis. 

Les principales annotations sont données dans le tableau ci dessous et illustrées dans l'exemple suivant. 

|annotation|Description|
|---|---|
|`@JsonProperty` |contrôle le nom d'une propriété.|
|`@JsonRootName` |défini les nom d'un élément "wrapper", doit être activée dans l'objectMapper.|
|`@JsonPropertyOrder` |défini l'ordre des propriétés. |
|`@JsonRawValue` |indique qu'une propriété contient du JSON et doit être utilisée sans conversion.|
|`@JsonValue` |indique la seule méthode qui retourne le contenu à serialiser.  Nécessite un constructeur avec un paramètre du même type pour la désérialisation.|
|`@JsonIgnore` (sur une propriété) |pour ignorer une ou plusieurs propriété.|
|`@JsonIgnoreProperties` (sur la classe) |pour ignorer une ou plusieurs propriété. |
|`@JsonIgnoreType` (sur la classe) | permet d'ignorer toutes les propriétés d'un type donné.|
|`@JsonUnwrapped` | inclut directement les propriétés d'un objet dans la classe qui le référence. |
|`@JsonInclude` |permet d'inclure ou d'ignorer les propriétés dont la valeur est nulle, vide ou celle par défaut.|


Pour les types polymorphes des annotations spécifiques pour les classes qui permettent d'indiquer comment le type est indiqué (`@JsonTypeInfo`), quels sont les sous-types (`@JsonSubTypes`) et le nom donné à chaque type (`@JsonTypeName`).

`@JsonView(XXX.class)` définit des vues différentes qui peuvent être choisir dans l'objectmapper.


In [35]:
import java.util.List;
import java.time.LocalDateTime;
import java.util.ArrayList;
import com.fasterxml.jackson.annotation.*;
    
public class View {
    public static class Minimal {}
    public static class Complete extends Minimal {}
}

@JsonTypeInfo(include = JsonTypeInfo.As.WRAPPER_OBJECT, use = JsonTypeInfo.Id.NAME)
@JsonTypeName("Task")
@JsonPropertyOrder({ "id", "state", "title", "description", "tags"})
@JsonIgnoreProperties({"age"})
@JsonInclude(JsonInclude.Include.NON_EMPTY)
public class Task {
   private long id=-1;

   private String title;

   @JsonProperty("status")
   private State state=State.OPENED;
   
   @JsonIgnore
   private int age = -1;
        
   private List<String> tags; 
 
   @JsonView(View.Complete.class)
   private Description description = new Description(""); 
    
   protected Task() {} 
   public Task(long id, String title, State state, List<String> tags) {
       this.id=id; this.title=title; this.state=state; this.tags = tags;
       }  
    
   @JsonFormat(
      shape = JsonFormat.Shape.STRING,
      pattern = "yyyy-MM-dd@HH:mm:ss")
   public LocalDateTime creationDate =  LocalDateTime.now();
    
   public String toString() {return "Task {id="+id+",title='"+title+"',status='"+state+", tags='"+tags+"', description='"+description+"'}";}
    
 public enum State {
    OPENED, 
    CLOSED
 }
 
//@JsonTypeInfo(include = JsonTypeInfo.As.WRAPPER_OBJECT, use = JsonTypeInfo.Id.NAME)
@JsonTypeName("Description")
@JsonInclude(JsonInclude.Include.NON_EMPTY)
public static class Description {
     @JsonValue 
     private String content;
     public String toString() {return content;}
     public Description(String content) {
         this.content=content;
     }
 }
    
}

La sérialisation/désérialisation est réalisée à l'aide d'une classe appelée ObjectMapper. Dans le cas de JAX-RS cette opération sera réalisée automatiquement par le framework.

In [36]:
import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.annotation.JsonAutoDetect.Visibility;
import com.fasterxml.jackson.databind.SerializationFeature;

Task[] tasks = {new Task(1L, "First task", Task.State.OPENED, Arrays.asList("important","outside")),
            new Task(2L, "Second task", Task.State.OPENED, Arrays.asList("optionnal"))};

ObjectMapper objectMapper = new ObjectMapper()
    
    //Only needed because task doesn't have getters.
    .setVisibility(PropertyAccessor.FIELD, Visibility.ANY)

    //Optionnal : wrap elements (see @JsonRootName)
    //.enable(SerializationFeature.WRAP_ROOT_VALUE)

    //Optionnal : pretty print the result.
    .enable(SerializationFeature.INDENT_OUTPUT)

    //Register jackson modules like date 
    .findAndRegisterModules();

    //.writerWithView(View.Minimal.class);
    //.writerWithView(View.Complete.class);


String taskAsString = 
    objectMapper
      //Choose or view (or none)
    //.writerWithView(View.Minimal.class)
      //.writerWithView(View.Complete.class)
    //writes to a file  
      //.writeValue(new File("task.json"), tasks)
    //or returns a String
      .writeValueAsString(tasks);

//Render the formatted result in the notebook
render("```json\n"+taskAsString+"\n```", "text/markdown");

```json
[ {
  "Task" : {
    "id" : 1,
    "status" : "OPENED",
    "title" : "First task",
    "description" : "",
    "tags" : [ "important", "outside" ],
    "creationDate" : "2021-11-18@08:14:40"
  }
}, {
  "Task" : {
    "id" : 2,
    "status" : "OPENED",
    "title" : "Second task",
    "description" : "",
    "tags" : [ "optionnal" ],
    "creationDate" : "2021-11-18@08:14:40"
  }
} ]
```

La construction d'une object Java depuis JSON est très simple avec la methode `readValue` de `ObjectMapper`.

In [37]:
String jsonString="""
{
  "Task" : {
    "id" : 3,
    "status" : "CLOSED",
    "title" : "Another task",
    "description" : "inutile",
    "tags" : [ "spare-time", "fun"],
    "creationDate" : "2021-02-23@04:06:37"
  }
}    
""";
    
objectMapper.readValue(jsonString, Task.class);

Task {id=3,title='Another task',status='CLOSED, tags='[spare-time, fun]', description='inutile'}

Jackson propose une gestion simple des références qui prend en compte les cycles. Dans notre exemple, si une tâche est associée à un utilisateur qui référence aussi toutes ses tâches, il y a une boucle infinie lors de la sérialisation. Une solution consiste à utiliser dans au moins l'un des deux l'indentifiant de l'autre.

L'annotation `@JsonIdentityInfo` permet de définir la solution pour identifier les instances d'une classe.  Elle est alors utilisée automatiquement quand cela est nécessaire.

`@JsonIdentityReference(alwaysAsId = true)` permet de contrôler l'usage de l'identifiant (ici de le rendre systématique).

`@JsonBackReference` et `@JsonManagedReference` pour les références unidirectionnelles.

In [38]:
//BEGIN NOT NEED IN REAL JAVA
//Temporary User & Task class déclaration because forward declaration in JShell does not work with annotations
public class User{};
public class Task{};
//END OF NOT NEED IN REAL JAVA    

@JsonTypeName(value = "Data")
@JsonIdentityInfo(
  generator = ObjectIdGenerators.PropertyGenerator.class,
  property = "uuid")

@JsonTypeInfo(//use = JsonTypeInfo.Id.CLASS, //Use the class
              use = JsonTypeInfo.Id.NAME,  //or use the name
              //property = "@class",
              include = JsonTypeInfo.As.PROPERTY            
              )
@JsonSubTypes({
        @JsonSubTypes.Type(value = User.class, name = "User"),
        @JsonSubTypes.Type(value = Task.class, name = "Task")
    })
public class Data {
    protected UUID uuid = UUID.randomUUID();   
    public String toString() {return "User {uuid="+uuid+"'}";}    
}

@JsonTypeName(value = "User")
public class User extends Data {
    private String name;
    
    @JsonIdentityReference(alwaysAsId = true)    
    private List<Task> tasks = new ArrayList<>();
    public void addTask(Task task) {tasks.add(task);}
    public List<Task> getTasks() {return tasks;}
    
    protected User() {};
    public User(String name) {this.name = name;}
    public String toString() {return "User {uuid="+uuid+",name='"+name+"'}";}    
}

@JsonTypeName(value = "Task")
public class Task extends Data {
    private String title;
    
    @JsonIdentityReference(alwaysAsId = true)    
    private User owner;
    
    protected Task() {};
    @JsonCreator
    public Task(@JsonProperty("title") String title, @JsonProperty("owner") User owner) {        
        this.title = title; this.owner = owner;
        owner.addTask(this);
        //System.out.println("'Task Constructor Called: ' "+title+" "+owner+" "+owner.getTasks());
    }
    public void setOwner(User owner) {
        this.owner = owner;
        owner.addTask(this);
    }
    
    public String toString() {return "Task {uuid="+uuid+",title='"+title+"'}";}
}

In [39]:
User user1 = new User("John");
Task task1 = new Task("T1",user1);
Task task2 = new Task("T2",user1);

List<Data> dataList = Arrays.asList(user1, task1, task2); 
Data[] dataArray = new Data[]{user1, task1, task2}; 

ObjectMapper objectMapper = new ObjectMapper()
    .setVisibility(PropertyAccessor.FIELD, Visibility.ANY)
    .enable(SerializationFeature.INDENT_OUTPUT)
    .findAndRegisterModules();

String result = objectMapper.writeValueAsString(dataArray);

render("```json\n"+result+"\n```", "text/markdown");

```json
[ {
  "@type" : "User",
  "uuid" : "8d5cf5c1-57c4-4c20-8baa-050f375a5ceb",
  "name" : "John",
  "tasks" : [ "735616bb-48ed-4b04-b2ee-0b690786785c", "d899b4d3-9135-4b4a-b828-4f8e9aaedb5c" ]
}, {
  "@type" : "Task",
  "uuid" : "735616bb-48ed-4b04-b2ee-0b690786785c",
  "title" : "T1",
  "owner" : "8d5cf5c1-57c4-4c20-8baa-050f375a5ceb"
}, {
  "@type" : "Task",
  "uuid" : "d899b4d3-9135-4b4a-b828-4f8e9aaedb5c",
  "title" : "T2",
  "owner" : "8d5cf5c1-57c4-4c20-8baa-050f375a5ceb"
} ]
```

La lecture de données JSON se fait de la même manière. Attention, pour le lien bidirectionnel il ne doit pas apparaitre deux fois (dans User et dans Task) sinon les données sont ajoutées en double.

In [40]:
//We read the JSON String to produce Java Objects
Data[] data2 = objectMapper.readValue("""
[ {
  "@type" : "User",
  "uuid" : "487d6096-7608-11eb-9439-0242ac130002",
  "name" : "Mary"
}, {
  "@type" : "Task",
  "uuid" : "5ba90634-7608-11eb-9439-0242ac130002",
  "title" : "TM1",
  "owner" : "487d6096-7608-11eb-9439-0242ac130002"
}, {
  "@type" : "Task",
  "uuid" : "69b64aa2-7608-11eb-9439-0242ac130002",
  "title" : "TM2",
  "owner" : "487d6096-7608-11eb-9439-0242ac130002"
} ]""", Data[].class);

//We produce JSON from the generated Java objects.                                      
String result = objectMapper.writeValueAsString(data2);
                                      
render("```json\n"+result+"\n```", "text/markdown");                               

```json
[ {
  "@type" : "User",
  "uuid" : "487d6096-7608-11eb-9439-0242ac130002",
  "name" : "Mary",
  "tasks" : [ "5ba90634-7608-11eb-9439-0242ac130002", "69b64aa2-7608-11eb-9439-0242ac130002" ]
}, {
  "@type" : "Task",
  "uuid" : "5ba90634-7608-11eb-9439-0242ac130002",
  "title" : "TM1",
  "owner" : "487d6096-7608-11eb-9439-0242ac130002"
}, {
  "@type" : "Task",
  "uuid" : "69b64aa2-7608-11eb-9439-0242ac130002",
  "title" : "TM2",
  "owner" : "487d6096-7608-11eb-9439-0242ac130002"
} ]
```

Pour aller plus loin, JSON n'est en fait pas un standard du Web et donc chaque format est "propriétaire". [JSON-LD](https://json-ld.org/) qui s'appuie sur JSON pour représenter des données sémantiques sur le Web est une meilleure solution. Pour être, complètement compatible avec l'approche HATEOS, Un vocabulaire spécifique pour les API RESGT construit au dessus de JSON-LD appelé [Hydra](http://www.hydra-cg.com/spec/latest/core/) est en cours de définition. LE site [schemas.org](https://schema.org/docs/schemas.html) propose de standardiser des schémas courants.

#### Autres formats
Par curiosité, Jackson propose aussi d'autres formats comme YAML.

In [41]:
%%loadFromPOM
<dependency>
 <groupId>com.fasterxml.jackson.dataformat</groupId>
 <artifactId>jackson-dataformat-yaml</artifactId>
 <version>2.12.1</version>
</dependency>

In [42]:
import com.fasterxml.jackson.dataformat.yaml.YAMLFactory;

ObjectMapper objectMapperYAML = new ObjectMapper(new YAMLFactory())
    .setVisibility(PropertyAccessor.FIELD, Visibility.ANY)
    .enable(SerializationFeature.INDENT_OUTPUT)
    .findAndRegisterModules();

String result = objectMapperYAML.writeValueAsString(data2);
render("```yaml\n"+result+"\n```", "text/markdown");

```yaml
---
- !<User>
  &487d6096-7608-11eb-9439-0242ac130002 uuid: "487d6096-7608-11eb-9439-0242ac130002"
  name: "Mary"
  tasks:
  - "5ba90634-7608-11eb-9439-0242ac130002"
  - "69b64aa2-7608-11eb-9439-0242ac130002"
- !<Task>
  &5ba90634-7608-11eb-9439-0242ac130002 uuid: "5ba90634-7608-11eb-9439-0242ac130002"
  title: "TM1"
  owner: *487d6096-7608-11eb-9439-0242ac130002
- !<Task>
  &69b64aa2-7608-11eb-9439-0242ac130002 uuid: "69b64aa2-7608-11eb-9439-0242ac130002"
  title: "TM2"
  owner: *487d6096-7608-11eb-9439-0242ac130002

```

### Les paramètres complexes dans les corps de requêtes 
Les conversions sont aussi automatiques dans l'autre sens quand des données (XML, JSON, ...) sont envoyées dans le corps d'une requête HTTP (par exemple PUT ou POT) pour être utilisée simplement comme un parametre Java de la méthode. Les méthodes qui nécessitent des paramètres sont annotées avec `@Consumes(type[, type, …])` pour indiquer les types mime supportés. 

L'annotation @Consummes de la méthode `addAuthor()` ci-dessous indique ce qui est possible et l'entete http `Content-Type` de la requête ce qui est envoyé. Noter que l'Id n'est pas indiqué dans la requête mais que l'entité complète est retournée. 

In [43]:
HttpServer httpServer = BiblioServer.startServer();

In [44]:
%%javasrcMethodByName AuthorResource addAuthor
/home/jovyan/work/src/samples/sample-jaxrs/src/main/java/fr/univtln/bruno/samples/jaxrs/resources/AuthorResource.java

```java
/**
 * Adds an new author to the data.
 * Status annotation is a trick to fine tune 2XX status codes (see the status package).
 *
 * @param author The author to be added without its id.
 * @return The added author with its id.
 * @throws IllegalArgumentException if the author has an explicit id (id!=0).
 */
@POST
@Status(Status.CREATED)
@Consumes(MediaType.APPLICATION_JSON)
public Library.Author addAuthor(Library.Author author) throws BusinessException {
    return Library.demoLibrary.addAuthor(author);
}
```

Adds an author :

In [45]:
%%shell
curl -s -i -H "Accept: application/json"  \
  -H "Content-type: application/json"  \
  -X POST \
  -d '{"name":"John","firstname":"Smith","biography":"My life"}' \
   http://localhost:9998/mylibrary/authors

HTTP/1.1 201 Created
Content-Type: application/json
Content-Length: 64

{"id":3,"name":"John","firstname":"Smith","biography":"My life"}


La méthode `updateAuteur` est appelée par un PUT mais avec une resource précise (indiquée dans l'URL) à mettre à jour.

In [46]:
%%javasrcMethodByName AuthorResource updateAuthor
/home/jovyan/work/src/samples/sample-jaxrs/src/main/java/fr/univtln/bruno/samples/jaxrs/resources/AuthorResource.java

```java
/**
 * Update an author with an given id.
 *
 * @param id     the id injected from the path param "id"
 * @param author a injected author made from the JSON data (@Consumes) from body of the request. This author is forbidden to havce an Id.
 * @return The resulting author with its id.
 * @throws NotFoundException        is returned if no author has the "id".
 * @throws IllegalArgumentException is returned if an "id" is also given in the request body.
 */
@PUT
@Path("{id}")
@Consumes(MediaType.APPLICATION_JSON)
public Library.Author updateAuthor(@PathParam("id") long id, Library.Author author) throws BusinessException {
    return Library.demoLibrary.updateAuteur(id, author);
}
```

Fully update an author

In [47]:
%%shell
curl -s -i -H "Accept: application/json"  \
  -H "Content-type: application/json"  \
  -X PUT \
  -d '{"name":"Martin","firstname":"Jean","biography":"ma vie"}' \
  http://localhost:9998/mylibrary/authors/1

HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 64

{"id":1,"name":"Martin","firstname":"Jean","biography":"ma vie"}


### La suppression
La suppression des ressources se fait avec les approches précédentes.

In [48]:
%%javasrcMethodByName AuthorResource removeAuthor
/home/jovyan/work/src/samples/sample-jaxrs/src/main/java/fr/univtln/bruno/samples/jaxrs/resources/AuthorResource.java

```java
/**
 * Removes an author by id from the data.
 *
 * @param id the id of the author to remove
 * @throws NotFoundException is returned if no author has the "id".
 */
@DELETE
@Path("{id}")
public void removeAuthor(@PathParam("id") final long id) throws BusinessException {
    Library.demoLibrary.removeAuthor(id);
}
```

Removes one author :

In [49]:
%%shell
curl -s -i -X DELETE \
    http://localhost:9998/mylibrary/authors/1

HTTP/1.1 204 No Content



In [50]:
%%javasrcMethodByName AuthorResource removeAuthors
/home/jovyan/work/src/samples/sample-jaxrs/src/main/java/fr/univtln/bruno/samples/jaxrs/resources/AuthorResource.java

```java
/**
 * Removes every authors
 */
@DELETE
public void removeAuthors() {
    Library.demoLibrary.removesAuthors();
}
```

Removes all authors

In [51]:
%%shell
curl -s -i -X DELETE \
    http://localhost:9998/mylibrary/authors/

HTTP/1.1 204 No Content



Reset the database with two authors

In [52]:
%%shell
curl -s -i -X PUT http://localhost:9998/mylibrary/library/init

HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 1

2


### Les liens sémantiques
Les liens sémantiques entre les resources peuvent être réprésentés à l'aide d'URLs de façon standard ((RFC8288)[https://tools.ietf.org/html/rfc8288]). Une liste complète est données sur le site de l'IANA : https://www.iana.org/assignments/link-relations/link-relations.xhtml. Les plus classiquement utilisé avec REST sont self, first, previous, next et last. Pour simplifier l'usage de l'API ces liens peuvent être fournis dans l'entête d'une réponse http et/ou dans le corps de la réponse (par exemple lors de la pagination).
```http
Link: <http://MyServer:8080/MyApp/Persons/1>; rel="first-person", <http://MyServer:8080/MyApp/Persons/10>; rel="next-person", <http://MyServer:8080/MyApp/Persons/8>; rel="previous-person", <http://MyServer:8080/MyApp/Persons/90>; rel="last-person"
```

### Etendre JAX-RS avec les Providers

D'une façon générale une classe annotée par `@Provider` ajoute des fonctions à JAXRS (traitement des exceptions, conversion des données, ...).

#### Les mappers : application aux exceptions
Le traitement des exceptions peut être simplifié en utilisant des mappers (cf. package exceptions et mapper) qui s'appliquent automatiquement lors qu'une exception est émise. Dans ce cas un objet Response est construit manuellement pour contrôler le détail du corps et de l'entête. 

In [53]:
%%javasrcClassByName NotFoundException
/home/jovyan/work/src/samples/sample-jaxrs/src/main/java/fr/univtln/bruno/samples/jaxrs/exceptions/NotFoundException.java

```java
@XmlRootElement
public class NotFoundException extends BusinessException {

    public NotFoundException() {
        super(Response.Status.NOT_FOUND);
    }
}
```

In [54]:
%%javasrcClassByName BusinessExceptionMapper
/home/jovyan/work/src/samples/sample-jaxrs/src/main/java/fr/univtln/bruno/samples/jaxrs/mappers/BusinessExceptionMapper.java

```java
/**
 * The type Business exception mapper automatically produces a HTTP Response
 * if a BusinessException is thrown.
 */
@SuppressWarnings("unused")
@Provider
@FieldDefaults(level = AccessLevel.PRIVATE)
@Log
public class BusinessExceptionMapper implements ExceptionMapper<BusinessException> {

    public Response toResponse(BusinessException ex) {
        return Response.status(ex.getStatus()).entity(ex).build();
    }
}
```

If a resource doesn't exist an exception is raised, and the 404 http status code is returned

In [55]:
%%shell
curl -s -i -H "Accept: application/json"  \
  http://localhost:9998/mylibrary/authors/1000

HTTP/1.1 404 Not Found
Content-Type: application/json
Content-Length: 89

{"status":"NOT_FOUND","message":"Author not found","localizedMessage":"Author not found"}


#### Les filtres : application au statut et à la pagination

In [56]:
%%javasrcClassByName StatusFilter
/home/jovyan/work/src/samples/sample-jaxrs/src/main/java/fr/univtln/bruno/samples/jaxrs/status/StatusFilter.java

```java
@Provider
public class StatusFilter implements ContainerResponseFilter {

    @Override
    public void filter(ContainerRequestContext containerRequestContext, ContainerResponseContext containerResponseContext) {
        if (containerResponseContext.getStatus() == Response.Status.OK.getStatusCode()) {
            for (Annotation annotation : containerResponseContext.getEntityAnnotations()) {
                if (annotation instanceof Status) {
                    containerResponseContext.setStatus(((Status) annotation).value());
                    break;
                }
            }
        }
    }
}
```

In [57]:
%%shell
cat /home/jovyan/work/src/samples/sample-jaxrs/src/main/java/fr/univtln/bruno/samples/jaxrs/status/Status.java

package fr.univtln.bruno.samples.jaxrs.status;

import jakarta.ws.rs.NameBinding;

import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;


@NameBinding
@Retention(RetentionPolicy.RUNTIME)
public @interface Status {
    int CREATED = 201;
    int ACCEPTED = 202;
    int NO_CONTENT = 204;
    int RESET_CONTENT = 205;
    int PARTIAL_CONTENT = 206;

    int value();
}


Un exemple de filtre appliqué à la requête sera donné dans la partie sur la sécurité.

## Schéma d'une API REST
  * [WSDL](https://www.w3.org/TR/wsdl/) un autre langage de service Web permet de décrire un tel [schéma](https://www.ibm.com/developerworks/webservices/library/ws-restwsdl/).
  * Le langage [WADL](https://www.w3.org/Submission/wadl/) est spécifique à REST. 
  * Par défaut Jersey génére une description WADL `/application.wadl`
  * Cependant, pour cela l'application nécessite une implantation du standard pour traiter les documents XML appelé [JAXB](https://eclipse-ee4j.github.io/jaxb-ri/) qui n'est plus fournie en standard dans le JDK depuis la version 8 (nous utilisons ici la version 15).

Si JAXB est dans le classpath (cf. pom.xml) la génération d'une description WADL est automatique.

In [58]:
%%shell
curl -s -D - --get http://localhost:9998/mylibrary/application.wadl

HTTP/1.1 200 OK
Last-modified: Thu, 18 Nov 2021 08:14:47 UTC
Content-Type: application/vnd.sun.wadl+xml
Transfer-Encoding: chunked

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<application xmlns="http://wadl.dev.java.net/2009/02">
    <doc xmlns:jersey="http://jersey.java.net/" jersey:generatedBy="Jersey: 3.0.1 2021-01-26 17:49:29"/>
    <doc xmlns:jersey="http://jersey.java.net/" jersey:hint="This is simplified WADL with user and core resources only. To get full WADL with extended resources use the query parameter detail. Link: http://localhost:9998/mylibrary/application.wadl?detail=true"/>
    <grammars>
        <include href="application.wadl/xsd0.xsd">
            <doc title="Generated" xml:lang="en"/>
        </include>
    </grammars>
    <resources base="http://localhost:9998/mylibrary/">
        <resource path="library">
            <method id="getLibrary" name="GET">
                <response>
                    <representation xmlns:ns2="http://bruno.univ-tln.fr/

https://jakarta.ee/specifications/restful-ws/3.0/jakarta-restful-ws-spec-3.0.html#context


## Une API Cliente
La classe `fr.univtln.bruno.samples.jaxrs.client.BiblioClient` définit un client qui utilise l'API fluent cliente pour construire des requêtes REST en Java.

In [59]:
%%javasrcClassByName BiblioClient
/home/jovyan/work/src/samples/sample-jaxrs/src/main/java/fr/univtln/bruno/samples/jaxrs/client/BiblioClient.java

```java
/**
 * Created by bruno on 04/11/14.
 */
@Log
public class BiblioClient {

    public static void main(String[] args) {
        // create the rest client
        Client client = ClientBuilder.newClient();
        WebTarget webResource = client.target("http://localhost:9998/mylibrary");
        // Send a put with a String as response
        String responseInitAsString = webResource.path("library/init").request().put(Entity.entity("", MediaType.TEXT_PLAIN), String.class);
        log.info(responseInitAsString);
        // Send a get and parse the response as a String
        String responseAuteursAsJsonString = webResource.path("authors").request().get(String.class);
        log.info(responseAuteursAsJsonString);
        // Idem but the result is deserialised to an instance of Auteur
        Author author = webResource.path("authors/1").request().get(Author.class);
        log.info(author.toString());
        // Log in to get the token with basci authentication
        String email = "john.doe@nowhere.com";
        String passwd = "admin";
        String token = webResource.path("setup/login").request().accept(MediaType.TEXT_PLAIN).header("Authorization", "Basic " + java.util.Base64.getEncoder().encodeToString((email + ":" + passwd).getBytes())).get(String.class);
        if (!token.isBlank()) {
            log.info("token received.");
            // We access a JWT protected URL with the token
            String result = webResource.path("setup/secured").request().header("Authorization", "Bearer " + token).get(String.class);
            log.info(result);
        }
    }
}
```

In [60]:
%%shell 
cd /home/jovyan/work/src/samples/sample-jaxrs
mvn  -quiet -Dmain.class="fr.univtln.bruno.samples.jaxrs.client.BiblioClient" exec:java

Nov 18, 2021 8:14:50 AM fr.univtln.bruno.samples.jaxrs.client.BiblioClient main
INFO: 2
Nov 18, 2021 8:14:50 AM fr.univtln.bruno.samples.jaxrs.client.BiblioClient main
INFO: [{"id":1,"name":"Martin","firstname":"Alfred","books":[1,2]},{"id":2,"name":"Durand","firstname":"Marie","books":[2,3,4]}]
Nov 18, 2021 8:14:50 AM fr.univtln.bruno.samples.jaxrs.client.BiblioClient main
INFO: Library.Author(id=1, name=Martin, firstname=Alfred, biography=null)
Nov 18, 2021 8:14:51 AM fr.univtln.bruno.samples.jaxrs.client.BiblioClient main
INFO: token received.
Nov 18, 2021 8:14:51 AM fr.univtln.bruno.samples.jaxrs.client.BiblioClient main
INFO: Access with JWT ok for Doe, John <john.doe@nowhere.com>


## La sécurité

Pour assurer la sécurité d'une API REST, la première chose à faire est d'assurer la confidentialité. Pour cela, il faut utiliser HTTPS qui utilise TLS pour permettre de valider l'identité du serveur et pour garantir la confidentialité et l'intégrité des données échangées en utilisant des certificats. 

Pour mettre cela en place, il est possible d'utiliser un "reverse proxy" (par exemple (nginx)[https://docs.nginx.com/nginx/admin-guide/web-server/reverse-proxy/]) qui lui sera sécurisé et servira de facade, le serveur REST n'étant jamais accessible autrement.

L'autre solution est de sécuriser les serveurs web (dans notre exemple Java, Grizzly). Pour cela, il faut idéalement se procurer des certificats pour le serveurs signés par une autorité reconnue. Nous utiliserons ici des certificats auto-signés dans un but de démonstration uniquement.

Le certificat du serveur est habituellement généré avec openssl, ici nous utilisons maven (`keytool-maven-plugin`) pour le générer automatiquement s'il n'existe pas déjà dans le répertoire `/src/jaxrs/sample-jaxrs/src/main/resources/ssl/`. Le certificat est automatiquement ajouté à un keystore Java dans le même répertoire (cert.jks).  

Le serveur Grizzly est en écoute avec HTTP sur le port 9998 et en HTTPS sur le port 4443.

Cette méthode ajoute aussi le support de HTTP2 qui améliore grandement les performances.

### TLS avec Grizzly

In [61]:
%%javasrcMethodByName BiblioServer addTLSandHTTP2
/home/jovyan/work/src/samples/sample-jaxrs/src/main/java/fr/univtln/bruno/samples/jaxrs/server/BiblioServer.java

```java
/**
 * Adds a https (TLS) listener to secure connexion and adds http2 on this protocol.
 * @param httpServer
 * @return
 * @throws IOException
 */
public static HttpServer addTLSandHTTP2(HttpServer httpServer) throws IOException {
    NetworkListener listener = new NetworkListener("TLS", NetworkListener.DEFAULT_NETWORK_HOST, TLS_PORT);
    listener.setSecure(true);
    // We add the certificate stored in a java keystore in src/main/resources/ssl
    // By default a self signed certificate is generated by maven (see pom.xml)
    SSLContextConfigurator sslContextConfigurator = new SSLContextConfigurator();
    sslContextConfigurator.setKeyStoreBytes(BiblioServer.class.getResourceAsStream("/ssl/cert.jks").readAllBytes());
    sslContextConfigurator.setKeyStorePass("storepass");
    listener.setSSLEngineConfig(new SSLEngineConfigurator(sslContextConfigurator, false, false, false));
    // Create default HTTP/2 configuration and provide it to the AddOn
    Http2Configuration configuration = Http2Configuration.builder().build();
    Http2AddOn http2Addon = new Http2AddOn(configuration);
    // Register the Addon.
    listener.registerAddOn(http2Addon);
    httpServer.addListener(listener);
    return httpServer;
}
```

On commence donc par activer TLS. On en profite pour activer aussi le support de HTTP2.

In [62]:
BiblioServer.addTLSandHTTP2(httpServer);

org.glassfish.grizzly.http.server.HttpServer@7b03ed45

Pour tester les requêtes sécurisée avec un certificat autosigné il faut d'abord le télécharger (ici avec la commande curl). Il sera ensuite utilisé pour valider l'indentité du serveur web.

In [63]:
%%shell
echo quit | openssl s_client -showcerts -servername localhost -connect localhost:4443 >! /tmp/cacert.pem
curl --trace-ascii - --http2 --cacert /tmp/cacert.pem https://localhost:4443/mylibrary/library

depth=0 CN = localhost
verify error:num=18:self signed certificate
verify return:1
depth=0 CN = localhost
verify return:1
DONE
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed



== Info:   Trying 127.0.0.1:4443...
== Info: TCP_NODELAY set
== Info: Connected to localhost (127.0.0.1) port 4443 (#0)
== Info: ALPN, offering h2
== Info: ALPN, offering http/1.1
== Info: successfully set certificate verify locations:
== Info:   CAfile: /tmp/cacert.pem
  CApath: /etc/ssl/certs
=> Send SSL data, 5 bytes (0x5)
0000: .....
== Info: TLSv1.3 (OUT), TLS handshake, Client hello (1):
=> Send SSL data, 512 bytes (0x200)
0000: ........SR....I3 x.....'w.....e..-.O.N ......3.|.4.7+.a....>..QY
0040: WV......>.......,.0.........+./...$.(.k.#.'.g.....9.....3.....=.
0080: <.5./.....u.........localhost........................3t.........
00c0: h2.http/1.1.........1.....*.(...................................
0100: ......+........-.....3.&.$... .Hq..n.Q..m..T6D.!..(.|..M5.~*...
0140: ................................................................
0180: ................................................................
01c0: ................................................................

  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0
100   306  100   306    0     0   2448      0 --:--:-- --:--:-- --:--:--  2448


<= Recv SSL data, 5 bytes (0x5)
0000: ....\
<= Recv SSL data, 1 bytes (0x1)
0000: .
<= Recv data, 306 bytes (0x132)
0000: {"books":[{"id":1,"title":"title1","authors":[1]},{"id":2,"title
0040: ":"title2","authors":[2,1]},{"id":3,"title":"title3","authors":[
0080: 2]},{"id":4,"title":"title4","authors":[2]}],"authors":[{"id":1,
00c0: "name":"Martin","firstname":"Alfred","books":[1,2]},{"id":2,"nam
0100: e":"Durand","firstname":"Marie","books":[2,3,4]}]}
{"books":[{"id":1,"title":"title1","authors":[1]},{"id":2,"title":"title2","authors":[2,1]},{"id":3,"title":"title3","authors":[2]},{"id":4,"title":"title4","authors":[2]}],"authors":[{"id":1,"name":"Martin","firstname":"Alfred","books":[1,2]},{"id":2,"name":"Durand","firstname":"Marie","books":[2,3,4]}]}== Info: Connection #0 to host localhost left intact


### Authentification

Il faut mettre en place une gestion correcte des utilisateurs (login+mots de passe hashés correctement). Cela pourra être complété/remplacé par des certificats ou une délégation d'authentification.

In [64]:
fr.univtln.bruno.samples.jaxrs.security.InMemoryLoginModule.USER_DATABASE.getUsers()

{mary.roberts@here.net=mary.roberts@here.net495tCwzcGcXL/MMBjFjRBQ==, william.smith@here.net=william.smith@here.netkmi6OaeZGoWz4V4qFv23iA==, john.doe@nowhere.com=john.doe@nowhere.comq/brYRwgfPt+dJR2hO6g4w==}

### Autorisation

L'Autorisation est cruciale, elle peut s'appuyer un token qui est fourni par le système lors d'un login et a une durée de vie limitée.
Ce token est envoyé avec chaque requête et le système lui attribue un ensemble de permission. 

Un autre approche est d'utiliser un token cryptographique qui contient ces informations et qui est signée par le serveur. 

Par exemple avec les [JSON Web Token - JWT](https://jwt.io/) qui présente en détail le processus type. 

Dans ces exemples, nous utiliserons la librairies Java  [JJWT](https://github.com/jwtk/jjwt).

Voilà des exemples d'utilisations simples.

**Accès refusé à une ressource sécurisée.**

In [65]:
%%shell
curl -s -i --http2 --cacert /tmp/cacert.pem -H "Accept: application/json" "https://localhost:4443/mylibrary/setup/secured"

HTTP/2 401 
content-type: application/json
content-length: 31

Please provide your credentials


**Utilisation de la "Basic Authentication" pour obtenir un Java Web Token.**

In [66]:
%%shell
curl -is --http2 --cacert /tmp/cacert.pem  --user "john.doe@nowhere.com:admin" "https://localhost:4443/mylibrary/setup/login"

HTTP/2 200 
content-type: text/plain
content-length: 251

eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJzYW1wbGUtamF4cnMiLCJpYXQiOjE2MzcyMjMyOTMsInN1YiI6ImpvaG4uZG9lQG5vd2hlcmUuY29tIiwiZmlyc3RuYW1lIjoiSm9obiIsImxhc3RuYW1lIjoiRG9lIiwicm9sZXMiOlsiQURNSU4iXSwiZXhwIjoxNjM3MjI0MTkzfQ.TTRhZkuG1oT8naYqHxhT-8P7-xdQ2PgXu_n4SFNrGDY


***Décodage d'un JWT***

Il suffit de faire une requête rest et d'en obtenir un.

In [67]:
import jakarta.ws.rs.client.Client;
import jakarta.ws.rs.client.WebTarget;
import jakarta.ws.rs.client.ClientBuilder;

Client client = ClientBuilder.newClient();
WebTarget webResource = client.target("http://localhost:9998/mylibrary");
String email = "john.doe@nowhere.com";
String passwd = "admin";
String token = webResource.path("setup/login")
                .request()
//                .accept(MediaType.TEXT_PLAIN)
                .header("Authorization", "Basic " + java.util.Base64.getEncoder().encodeToString((email + ":" + passwd).getBytes()))
                .get(String.class);
token;

eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJzYW1wbGUtamF4cnMiLCJpYXQiOjE2MzcyMjMyOTQsInN1YiI6ImpvaG4uZG9lQG5vd2hlcmUuY29tIiwiZmlyc3RuYW1lIjoiSm9obiIsImxhc3RuYW1lIjoiRG9lIiwicm9sZXMiOlsiQURNSU4iXSwiZXhwIjoxNjM3MjI0MTk0fQ.qSW5fMcbEZjSfl_DxtSHfaAFsKuggpodMntmkwSl_RY

puis en utilisant la clé publique (dans cette exemple simple ont y accède directement côté serveur), il est possible de vérifier les informations. Ici le choix a été fait d'utiliser une approche RBAC (Role Based Access Control) embarquée dans le token qui cumule donc authentification et autorisation. Cela rend le système très simple mais à comme conséquence de faire qu'un change de droit n'est appliqué qu'à la fin de la durée de vie du token.

In [68]:
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;

import fr.univtln.bruno.samples.jaxrs.security.InMemoryLoginModule;

Jws<Claims> jws = Jwts.parserBuilder()
    .setSigningKey(InMemoryLoginModule.KEY)
    .build()
    .parseClaimsJws(token);
jws;

header={alg=HS256},body={iss=sample-jaxrs, iat=1637223294, sub=john.doe@nowhere.com, firstname=John, lastname=Doe, roles=[ADMIN], exp=1637224194},signature=qSW5fMcbEZjSfl_DxtSHfaAFsKuggpodMntmkwSl_RY

**Utilisation d'un Java Web Token.**
Le token peut donc être transmis au serveur qui le vérifie et l'utilise pour l'authentification voir l'autorisation.
Ici l'accès à une ressource qui demande d'être user ou admin est autorisé à un admin.

In [69]:
%%shell
TOKEN=$(curl -s --http2 --cacert /tmp/cacert.pem --user "john.doe@nowhere.com:admin" "https://localhost:4443/mylibrary/setup/login")
curl -s -i --http2 --cacert /tmp/cacert.pem -H "Authorization: Bearer $TOKEN" "https://localhost:4443/mylibrary/setup/secured"    

HTTP/2 200 
content-type: text/plain
content-length: 55

Access with JWT ok for Doe, John <john.doe@nowhere.com>


tout comme l'accès à une ressource qui demande d'être admin est autorisé à un admin.

In [70]:
%%shell
TOKEN=$(curl -s --http2 --cacert /tmp/cacert.pem --user "john.doe@nowhere.com:admin" "https://localhost:4443/mylibrary/setup/login")
curl -s -i --http2 --cacert /tmp/cacert.pem -H "Authorization: Bearer $TOKEN" "https://localhost:4443/mylibrary/setup/secured/admin"        

HTTP/2 200 
content-type: text/plain
content-length: 55

Access with JWT ok for Doe, John <john.doe@nowhere.com>


L'accès à une ressource qui demande d'être user ou admin est autorisé à un user.

In [71]:
%%shell
TOKEN=$(curl -s --http2 --cacert /tmp/cacert.pem --user "william.smith@here.net:user" "https://localhost:4443/mylibrary/setup/login")
curl -i -s --http2 --cacert /tmp/cacert.pem -H "Authorization: Bearer $TOKEN" "https://localhost:4443/mylibrary/setup/secured"

HTTP/2 200 
content-type: text/plain
content-length: 62

Access with JWT ok for Smith, William <william.smith@here.net>


mais l'accès à une ressource qui demande d'être admin est refusée à un user.

In [72]:
%%shell
TOKEN=$(curl -s --user "william.smith@here.net:user" "https://localhost:4443/mylibrary/setup/login")
curl -s -i --http2 --cacert /tmp/cacert.pem -H "Authorization: Bearer $TOKEN" "https://localhost:4443/mylibrary/setup/secured/admin"

HTTP/2 401 
content-type: text/plain
content-length: 34

Please provide correct credentials


L'application exemple présente en détail comme un filtre JAX-RS et des annotations peuvent être utilisé pour appliquer une politique de contrôle d'accès.