Net-Base Časopis

04.05.2026

Nadogradnja REST-API-ja za postojeći softver: modernizacija sučelja bez ugrožavanja rada

Jedna REST-API omogućuje integrabilnost postojećih aplikacija: za portale, BI, mobilne procese i povezivanja s partnerima. Članak pokazuje kako Vi sučelja za postojeći softver temeljito planirati, osigurati, upravljati i postupno uvoditi – bez „Big Bang“.

04.05.2026

Mnoge tvrtke posjeduju stručnu provjerenu postojeću softversku infrastrukturu koja pouzdano prikazuje ključne procese – ali je samo ograničeno integrabilna. Čim se treba priključiti portal za korisnike, novi DMS/CRM, BI-analize, EDI-partneri ili mobilni tokovi, brzo postane jasno: bez urednih sučelja svaka integracija postaje skupa, sklona pogreškama i teško održiva. Upravo tu nastupa tema REST-API za Bestandssoftware nachrüsten: ona stvara kontrolirani, dokumentirani pristup funkcijama i podacima, bez potrebe za potpunim prepisivanjem aplikacije.

Ovaj tekst opisuje kako planirati i uvesti REST-sučelje (REST = „Representational State Transfer“, uobičajeni stil za HTTP-bazirane API-je) za postojeće aplikacije. Fokus nije na detaljima frameworka, već na radu u produkciji, podacima, sigurnosti, verzioniranju, migracijskim putovima i svakodnevici IT‑vodstva, administracije i tehničkih voditelja projekata.

Zašto je nakonopremljeni REST-API kod postojeće softverske infrastrukture često najsmisljeniji korak modernizacije

Naknadno ugrađeni API često je najmanja jedinica stvarne modernizacije koja donosi opipljivu korist. Omogućuje izgradnju novih sučelja (web‑portal, izvještavanje, mobilne aplikacije) bez da se odmah dira izrasla poslovna logika u jezgru. Istovremeno smanjujete izravne pristupe bazi podataka od strane trećih sustava – tipičnu točku rizika za stabilnost i sigurnost u legacy okolišu.

Tipični razlozi iz prakse:

  • Integracija umjesto otoka sustava: ERP, CRM, DMS, identity provider, izvještavanje i partnerska sučelja trebaju stabilan ugovor za podatke i funkcije.
  • Razdvajanje UI i poslovne logike: kad sučelje zastari, može se zamijeniti, dok se logika dalje koristi preko API‑ja.
  • Kontrolirani pristup: Umjesto „SQL izvana“ dobivate autentifikaciju, uloge/ უფლება (autorizacija), evidentiranje i ograničenja brzine na jednom mjestu.
  • Postupna migracija: funkcionalna područja mogu se učiniti API‑kompatibilnim jedan po jedan i kasnije interno modernizirati ili prenijeti u servise.

REST-API za Bestandssoftware nachrüsten: realistična procjena početne situacije

Prije nego što se API dizajnira, vrijedi realno popisati stanje. „Bestandssoftware“ obično znači: povijesno narasla, mnogo posebnih slučajeva, dug životni vijek, često uska povezanost između UI‑ja, baze i poslovne logike. REST‑API čini te poveznice vidljivima – i to je dobro ako se njima pristupi strukturirano.

Koje vrste integracija već postoje?

U mnogim okruženjima već postoje „sučelja“, ali najčešće neformalno:

  • Izravni pristupi bazi podataka za izvještaje, Excel‑eksporte, skripte ili vanjske sustave
  • Razmjena datoteka (CSV, XML, PDF‑mapa, „drop‑folder“)
  • FTP/SFTP razmjena, procesi temeljeni na e‑pošti
  • RPC/COM, SOAP, vlasnička TCP/IP protokoli ili message‑queue

Ti mehanizmi nisu nužno pogrešni. Problem nastaje kada ne postoje jasne odgovornosti, nema verzioniranja i nema sigurnosnih granica. REST‑API često ne zamjenjuje sve odmah, ali stvara obvezujući pristup za nove zahtjeve.

Koji dijelovi poslovne logike su „prikladni za API“?

Česta pogreška razmišljanja: API = „izdati podatke“. U poslovnom softveru radi se gotovo uvijek o transakcijama (poslovni događaji poput „kreiraj nalog“, „knjiži primku“, „dodijeli ovlaštenje“). Robustan API stoga prvo modelira događaje i tek potom čiste upite podataka.

Za prioritetizaciju se pokazalo korisnim:

  • Veliki utjecaj na integraciju: funkcije koje trebaju više sustava (npr. master podaci, promjena statusa, povezivanje dokumenata).
  • Veliki ručni rad: prijelomi medija i ponavljajući export/import poslovi.
  • Visoka sigurnosna relevantnost: područja u kojima danas „svatko s DB‑pravima“ vidi premalo‑ograničene podatke.

Arhitekturne odluke: API ispred postojeće softvere ili unutar aplikacije?

Prilikom naknadnog uvođenja REST‑sučelja postoje dva temeljna uzorka, koja se mogu i kombinirati:

1) API kao integrirana komponenta postojeće aplikacije

Ovdje REST‑server radi „blizu“ poslovne logike, često u istom deploymentu (npr. kao Windows- i Linux-servisi, Linux‑daemon ili kao modul u postojećem procesnom serveru). Prednost: izravan pristup poslovnim pravilima, manje duplicirane logike. Rizik: deployment i stabilnost postojeće aplikacije moraju podnijeti opterećenje API‑ja i sigurnosne zahtjeve.

2) API‑fasada kao zaseban sustav (Facade/Adapter)

API se pokreće kao samostalan servis koji komunicira s postojećom aplikacijom preko definiranih kanala (baza s jasno definiranim view‑ovima/stored procedureima, postojeća sučelja, messaging ili ciljano razvijeni adapteri). Prednost: uredan rad u produkciji, neovisno skaliranje i sigurnosne kontrole. Rizik: više posla na arhitekturi; granica između „fasade“ i „poslovne logike“ mora biti strogo povučena kako ne bi nastala sjenovita logika.

API‑gateway: da ili ne?

API‑gateway je predložena komponenta koja centralizira poprečne teme: routing, autentifikaciju, rate limiting, TLS terminaciju, korelaciju logova. Za jednu internu API nije obavezna, ali može biti korisna rano ako su vidljive više API‑ja ili pristupaju vanjski partneri. Važno je da gateway ne zamjenjuje internu kvalitetu: verzioniranje, ponašanje pri greškama i podatkovni ugovori i dalje moraju biti uredni.

Podaci i ugovori: zašto model podataka u API‑ju ne bi trebao biti 1:1 s DB‑schemom

REST‑API je ugovor. Tko ga koristi, gradi na njemu poslovne procese, automatizacije i izvještaje. Zato je najvažniji cilj dizajna stabilnost – ne „omogućiti sve“. Česta pogreška je propusnost tablica baze podataka prema van. To veže potrošače na interne strukture i svaka promjena u DB‑u postaje prekid integracije.

DTO‑i, resursi i agregacije: jasno uvesti

U API‑jima se često radi s DTO‑ima („Data Transfer Objects“, tj. strukture podataka za prijenos). Za IT‑operacije i voditelje projekata ključna poruka glasi: API‑objekti su namjerno rezani. Mogu objediniti više tablica, preimenovati polja, sakriti interne ključeve i isporučiti samo ono što proces treba.

Dobra praksa u okruženjima s legacy sustavima:

  • Uvesti eksterne ID‑ove koji ostaju stabilni (umjesto izlaganja internih tehničkih ključeva).
  • Semantički imenovati polja (po poslovnoj logici, ne po tablici).
  • Ponuditi agregirane krajnje točke koje pokrivaju tipične UI ili procesne upite, kako ne bi bilo potrebno 10 poziva.

Čitanje nasuprot pisanju: jasno povući transakcijske granice

Za upite (GET) često se relativno brzo može isporučiti vrijednost, npr. za portale ili izvještavanje. Operacije pisanja (POST/PUT/PATCH/DELETE) su složenije jer tu stupaju na snagu validacija, prava, nuspojave i transakcijska sigurnost. Stoga planirajte:

  • Prvo čitajuće krajnje točke za ključne poglede
  • Zatim odabrane operacije pisanja kao jasne poslovne naredbe („postavi status“, „dodaj stavku“) umjesto „spremi zapis“

Sigurnost i pristup: autentifikacija, autorizacija i evidentiranje

Naknadno ugrađeni API postaje novi pristupni kanal. Time se mijenja model prijetnji i odgovornosti. Tri područja moraju biti planirana od početka: identitet, prava i sljedivost.

Autentifikacija: tko je pozivatelj?

U poslovnim okruženjima uobičajeno je povezati API s centralnim identity sustavom. Česti elementi su OAuth 2.0 (delegacija pristupa preko tokena) i OpenID Connect (sloj identiteta iznad toga). Također je raširen SAML 2.0, osobito za single sign‑on u korporativnim portalima. Važno: API bi trebao provjeravati tokene i ne graditi vlastiti korisničko‑lozinski silo ako postoji identity provider.

Autorizacija: što pozivatelj smije raditi?

Autorizacija znači provjeru uloga, prava i odnosa prema mandantu. Tipični zahtjevi u postojeće softverske okoline:

  • Razdvajanje mandanata (tenant‑isolation): podaci i događaji moraju biti strogo odvojeni.
  • Uloge i prava (RBAC): npr. čitanje, knjiženje, odobravanje, administracija.
  • Pravila vezana uz objekte: „može vidjeti samo vlastite tikete“ ili „samo troškovno mjesto X“.

Robustan API prisiljava provođenje tih pravila na serverskoj strani – neovisno o tome poziva li ga portal, skripta ili partner.

Audit logging: što se i kada dogodilo?

Pogotovo kod operacija pisanja, audit logging (revidabilni ili barem sljedivi zapisi promjena) je ključan. Minimalno treba evidentirati: vrijeme, pozivateljski identitet, krajnju točku, relevantni ID objekta, rezultat (uspjeh/neuspjeh) i korelacijsku ID za praćenje kroz sustave. To nije „nice‑to‑have“: smanjuje vrijeme rješavanja incidenata i u mnogim sektorima je bitno za usklađenost i internu kontrolu.

Održavanje i pouzdanost: što administratori trebaju rano osigurati

API‑ji se u svakodnevici tretiraju kao infrastruktura. Ako ih nema ili su spori, procesi stoje. Zato se isplati ne ostaviti rad u proizvodnji i observabilnost (metrike/logovi/trace) posljednjem koraku.

Monitoring, metrike i smisleni alarmi

Za stabilan rad nije dovoljno „radi“ i „stiže odgovor“. Smisleni minimalni metrički skup:

  • Latencija po krajnjoj točki (npr. p95/p99) za otkrivanje outliera
  • Stope pogrešaka (HTTP 4xx/5xx), razdvojeno po krajnjim točkama
  • Protok (requests po minuti) za razumijevanje obrazaca opterećenja
  • Ovisnosti o DB/Backendu: vremena čekanja, timeouti, iskorištenost poola

Alarmi ne bi trebali reagirati na pojedinačne skokove, već na trendove i održive degradacije. Time se izbjegava „umor od alarma“ u dežurstvu.

Rate limiting i zaštita od nepravilnog ponašanja

Rate limiting ograničava zahtjeve po vremenu kako bi se zaštitila postojeća aplikacija od preopterećenja – i od dobrohotnih, ali neučinkovitih klijenata. Dodatno su korisni: request timeouti, maksimalne veličine payloada i jasne poruke o pogrešci, kako bi klijenti mogli prilagoditi ponašanje.

Ponašanje pri grešci i idempotencija

Idempotencija znači: zahtjev se može poslati više puta bez neželjenih nuspojava (npr. dvostruka knjiženja). To je važno jer mreža i klijenti mogu ponovno pokušavati slanje. Za administratore i donositelje odluka učinak je jasan: manje duplikata, manje ručnih ispravaka, robusniji procesi. Za kritične operacije pisanja planirajte mehanizme poput Idempotency‑Keyeva ili jedinstvenih identifikatora procesa.

Deployment bez prekida rada

Kada je API u produkciji, svaka promjena predstavlja potencijalni rizik. Provjerena načela:

  • Backward Compatibility: dodavanje novih polja obično nije kritično; uklanjanje polja ili promjena semantike je kritično.
  • Blue/Green ili Rolling Deployments: paralelne verzije ili postupna zamjena kako bi se izbjeglo vrijeme zastoja.
  • Planirati migracije baze podataka odvojeno: promjene sheme izvoditi tako da stare i nove API verzije neko vrijeme koegzistiraju.

Verzioniranje i životni ciklus: kako činiti promjene upravljivima

Verzioniranje API‑ja nije teoretska arhitektonska tema, već alat za razvoj bez stalne krize. U okruženjima s legacy sustavima obično imate više potrošača: interni portal, izvještavanje, partnerska sučelja, automatizacije, možda vanjski korisnici. Promjena svega odjednom rijetko je realna.

Koja strategija verzioniranja je praktična?

Uobičajeno je verzioniranje u URL‑u (npr. /v1/…) ili preko zaglavlja. Za organizaciju i rad često je verzioniranje u URL‑u jednostavnije jer je odmah vidljivo u logovima, gatewayima i monitoring‑u. Važnije od „kako“ je dosljednost: verzija ima definirano razdoblje podrške i breaking promjene se uvode kontrolirano.

Deprecation‑policy i komunikacija

Rano definirajte deprecacijski postupak: koliko dugo ostaje v1 dostupna kad se pojavi v2? Kako se obavještavaju potrošači? Čak i interno je to ključno, inače stare verzije ostanu u pogonu trajno i povećavaju troškove održavanja i sigurnosti.

Modernizirati pristup podacima bez potpunog prepisivanja

Prilikom naknadnog uvođenja REST‑API‑ja timovi često nalaze tehnički dug u pristupu podacima: mješoviti SQL stilovi, nedostajući transakcijski opsezi, izravni pristupi tablicama iz više mjesta. Cilj ne mora biti „savršeno“, već enkapsulacija: API treba pružiti definirani put prema skladištu podataka.

Sloj servisa i jasne odgovornosti

Sloj servisa okuplja poslovnu logiku i pravila za pozive API‑ja: validaciju, autorizaciju, transakcije, nuspojave. To smanjuje rizik da svaki endpoint „skuha svoju juhu“. Za rad i održavanje važno je da su simptomi pogrešaka konzistentniji i da promjene imaju manje nuspojava.

Kad je baza podataka sama po sebi legacy

Mnoge postojeće aplikacije oslanjaju se na starije DB sustave ili drivere. U tom slučaju API može poslužiti kao poluga za postupno stabiliziranje pristupa podacima: novi driveri, jasno upravljanje konekcijama, konzistentno kodiranje znakova (npr. Unicode), uredno rukovanje datumskim i vremenskim vrijednostima. Ključno: prvo mjeriti i stabilizirati, pa tek onda raditi preinake. API koji „povremeno“ isporučuje pogrešne vremenske oznake brzo gubi povjerenje.

Tipične zamke pri naknadnom uvođenju API‑ja – i kako ih izbjeći

Mnogi problemi ne proizlaze iz REST‑tehnologije same, već iz nejasnih ciljeva i nedostatka planiranja operacija. Sljedeće točke su osobito česte u legacy integracijama:

1) „Jednostavno otvorimo tablice“

To vodi uskoj povezanosti, nekontroliranom odljevu podataka i teškom verzioniranju. Bolje: poslovni resursi i događaji, DTO‑i i stabilni vanjski ID‑ovi.

2) Nejasne odgovornosti za kvalitetu podataka

Ako više sustava piše preko API‑ja, mora biti jasno gdje je „single source of truth“. Inače nastaju konflikti, duplikati ili kontradiktorna stanja. Definirajte za svako područje podataka: tko smije stvarati, tko mijenjati, tko smije samo čitati?

3) Nedostatak strategije za opterećenje i timeout

API može generirati novu opterećenost: portali pollaju status, BI povlači velike količine podataka, partneri šalju pikove. Bez timeouta, limitiranja i smislenih endpointa nastaje nepotreban pritisak na bazu i poslovnu logiku. Planirajte profile opterećenja prije nego što prvi vanjski potrošač ode u produkciju.

4) Sigurnost tek „nakon proof of concepta“

U API kontekstu naknadno dodavanje autentifikacije, uloga i audita često je skuplje nego uredan početak. Čak i ako u prvoj fazi startate samo interno: planirajte sigurnost tako da API kasnije može biti eksternaliziran bez preokreta arhitekture.

Pragmatičan plan projekta u šest koraka

Da naknadno uvođenje ne zapne u konceptu, pomaže pristup koji daje brze rezultate i istovremeno štiti rad u produkciji:

  1. Jasno definirajte ciljeve i potrošače: portal, izvještavanje, partneri, automatizacije. Koji su procesi prioritet?
  2. Presjecite domene: master podaci, događaji, dokumenti, prava. Ne radite „jedan veliki API“ bez strukture.
  3. Postavite sigurnosnu osnovu: povezivanje identiteta, uloge, logika mandanta, audit‑eventi, TLS.
  4. Isporučite prvo read‑first: najvažniji read endpointi sa stabilnim DTO‑ima, pagingom/filterima i razumljivim pogreškama.
  5. Operacije pisanja kao komande: malo, jasno definiranih transakcija s idempotencijom i urednom validacijom.
  6. Standardizirajte rad: monitoring, korelacija logova, strategija deploymenta, verzioniranje i deprecacija.

Tako nastaje API koji se stvarno može koristiti, umjesto da ostane tehnološka „sporedna pruga“.

Kako API priprema put modernizacije

Naknadno uvođenje REST‑API‑ja rijetko je krajnji cilj. Često je početna točka za postupno prevođenje postojeće softverske infrastrukture u robusniju arhitekturu: jasnije razdvajanje modula, zamjena zastarjelih pristupa podacima, uspostava novih sučelja, izdvajanje pojedinih background procesa u servise. Ključna prednost: API uspostavlja stabilan integracijski ugovor oko kojeg se mogu usmjeriti daljnje mjere.

Kada se kasnije interno refaktorira ili migrira, potrošači i dalje mogu raditi preko API‑ja – dokle god ugovor ostane stabilan. To smanjuje rizik projekta i sprječava „Big Bang“ preinake.

Zaključak: Naknadno ugrađeni REST‑API je projekt održavanja, ne samo razvojna značajka

REST‑sučelje za postojeću softversku infrastrukturu uspješno je ako jasno prikazuje poslovne procese, zadovoljava sigurnosne zahtjeve i može se upravljati u radu. Najveću korist donosi kad API nije shvaćen kao kanal za izvoz podataka, već kao jasan ugovor između sustava: verzioniran, dokumentiran, nadziran i s jasno dodijeljenim odgovornostima za podatke i prava.

Ako želite naknadno ugraditi REST‑API za Bestandssoftware i pri tom od početka uredno spojiti arhitekturu, sigurnost i operacije, razgovarajte s nama o vašoj početnoj situaciji i realnom planu uvođenja:

U poslovnom kontekstu autentifikacija i autorizacija također igraju važnu ulogu kada se integracije, tokovi podataka i daljnji razvoj trebaju uredno uskladiti.

Projekt ili modernizacijski zahvat razgovarajte s Net-Base.

Podijeli objavu

Izravno proslijedite ovu objavu

LinkedIn, X, XING, Facebook, WhatsApp i e-mail su odmah dostupni. Za Instagram pripremamo link i kratak tekst.

E-pošta

Instagram se otvara u novoj kartici. Link i kratki tekst se prethodno kopiraju u međuspremnik.