restful api 设计的核心是围绕资源组织,使用标准 http 方法操作资源。1. 资源命名应使用名词,uri 使用斜杠分隔层级,避免扩展名,使用连字符提高可读性;2. http 方法对应操作:get 获取、post 创建、put 更新、delete 删除;3. 使用合适状态码如 200 成功、404 未找到等;4. 版本控制通过 uri 或请求头实现;5. hateoas 提供动态发现能力;6. 过滤排序使用查询参数,如 /users?name=john;7. 安全方面采用身份验证(如 jwt)、授权(如 rbac)、https、输入验证和速率限制;8. 文档使用 openapi 等标准化格式,提供详细描述和示例代码,并保持更新。
RESTful API 设计,简单来说,就是让你的 API 看起来更像一个网站,资源有唯一的地址,用标准的方法(GET、POST、PUT、DELETE)来操作。关键在于“资源”和“状态转移”。
解决方案
RESTful API 设计的核心在于围绕资源进行组织。每个资源都应该有一个唯一的 URI,并且客户端可以通过标准的 HTTP 方法来操作这些资源。
-
资源命名: 使用名词,而不是动词。例如,
/users表示用户资源,而不是/getUsers。 -
URI 设计:
- 使用斜杠 (/) 分隔资源层级,例如
/users/123/posts表示用户 ID 为 123 的用户的帖子。 - 避免在 URI 中使用文件扩展名,例如
.json或.xml。通过Content-Type请求头来指定响应格式。 - 使用连字符 (-) 分隔 URI 中的单词,提高可读性,例如
/user-posts。
- 使用斜杠 (/) 分隔资源层级,例如
-
HTTP 方法:
-
GET: 获取资源。 -
POST: 创建新资源。 -
PUT: 完整更新现有资源。 -
PATCH: 部分更新现有资源。 -
DELETE: 删除资源。
-
-
状态码: 使用合适的 HTTP 状态码来表示 API 请求的结果。例如:
-
200 OK: 请求成功。 -
201 Created: 资源创建成功。 -
204 No Content: 请求成功,但没有返回内容。 -
400 Bad Request: 客户端请求错误。 -
401 Unauthorized: 未授权。 -
403 Forbidden: 禁止访问。 -
404 Not Found: 资源未找到。 -
500 Internal Server Error: 服务器内部错误。
-
-
版本控制: 在 URI 中包含 API 版本号,例如
/v1/users。这样可以在不影响现有客户端的情况下,对 API 进行更新。或者使用自定义请求头X-API-Version: 1。 - HATEOAS (Hypermedia as the Engine of Application State): 在 API 响应中包含指向其他相关资源的链接。这使得客户端可以动态地发现 API 的功能,而无需硬编码 URI。
如何处理复杂的过滤和排序需求?
对于列表资源的过滤和排序,可以使用查询参数。例如:
-
/users?name=john&age=30: 过滤出名字为 john 且年龄为 30 的用户。 -
/users?sort=age&order=desc: 按照年龄降序排序用户。 -
/users?page=2&limit=10: 分页查询,每页 10 条数据,查询第二页。
需要注意的是,对于复杂的过滤条件,可能需要考虑使用更高级的查询语言,例如 GraphQL。
如何处理 API 的安全性问题?
安全性是 API 设计中非常重要的一环。以下是一些常见的安全措施:
《PHP设计模式》首先介绍了设计模式,讲述了设计模式的使用及重要性,并且详细说明了应用设计模式的场合。接下来,本书通过代码示例介绍了许多设计模式。最后,本书通过全面深入的案例分析说明了如何使用设计模式来计划新的应用程序,如何采用PHP语言编写这些模式,以及如何使用书中介绍的设计模式修正和重构已有的代码块。作者采用专业的、便于使用的格式来介绍相关的概念,自学成才的编程人员与经过更多正规培训的编程人员
-
身份验证 (Authentication): 验证客户端的身份。常见的身份验证方式包括:
-
Basic Authentication: 将用户名和密码进行 Base64 编码后放在
Authorization请求头中。不安全,不推荐使用。 - API Keys: 为每个客户端分配一个唯一的 API Key,客户端在请求时将 API Key 放在请求头或查询参数中。
- OAuth 2.0: 一种授权框架,允许第三方应用访问用户的资源,而无需获取用户的密码。
- JWT (JSON Web Token): 一种基于 JSON 的开放标准,用于在客户端和服务器之间安全地传输信息。
-
Basic Authentication: 将用户名和密码进行 Base64 编码后放在
-
授权 (Authorization): 确定客户端是否有权访问特定的资源。常见的授权方式包括:
- 基于角色的访问控制 (RBAC): 为用户分配角色,并为角色分配权限。
- 基于属性的访问控制 (ABAC): 根据用户的属性、资源的属性和环境的属性来决定是否允许访问。
- HTTPS: 使用 HTTPS 加密客户端和服务器之间的通信,防止数据被窃听。
- 输入验证: 对客户端提交的数据进行验证,防止恶意输入。
- 速率限制: 限制客户端的请求频率,防止 API 被滥用。
例如,使用 JWT 的一个简单示例 (Python + Flask):
import jwt
import datetime
from functools import wraps
from flask import Flask, request, jsonify, make_response
app = Flask(__name__)
app.config['SECRET_KEY'] = 'your_secret_key' # 实际应用中应使用更强的密钥
def token_required(f):
@wraps(f)
def decorated(*args, **kwargs):
token = request.headers.get('Authorization')
if not token:
return jsonify({'message': 'Token is missing!'}), 401
try:
data = jwt.decode(token, app.config['SECRET_KEY'], algorithms=["HS256"])
# 在这里可以根据 data['user'] 查询用户信息,并传递给被装饰的函数
except:
return jsonify({'message': 'Token is invalid!'}), 401
return f(*args, **kwargs)
return decorated
@app.route('/login')
def login():
auth = request.authorization
if not auth or not auth.username or not auth.password:
return make_response('Could not verify', 401, {'WWW-Authenticate': 'Basic realm="Login Required"'})
# 在这里验证用户名和密码
if auth.username == 'test' and auth.password == 'password':
token = jwt.encode({
'user': auth.username,
'exp': datetime.datetime.utcnow() + datetime.timedelta(minutes=30)
}, app.config['SECRET_KEY'], algorithm="HS256")
return jsonify({'token': token})
return make_response('Could not verify', 401, {'WWW-Authenticate': 'Basic realm="Login Required"'})
@app.route('/protected')
@token_required
def protected():
return jsonify({'message': 'This is a protected route!'})
if __name__ == '__main__':
app.run(debug=True)如何设计良好的 API 文档?
清晰、完整的 API 文档对于 API 的使用者来说至关重要。以下是一些建议:
- 使用标准化的文档格式: 例如 OpenAPI (Swagger) 或 RAML。这些格式可以自动生成 API 文档,并提供交互式的 API 测试界面。
- 提供详细的资源描述: 描述每个资源的 URI、HTTP 方法、请求参数、响应格式和状态码。
- 提供示例代码: 提供各种编程语言的示例代码,方便 API 使用者快速上手。
- 保持文档更新: 随着 API 的更新,及时更新文档。
例如,使用 Swagger 的一个简单示例 (YAML):
openapi: 3.0.0
info:
title: User API
version: v1
paths:
/users:
get:
summary: Get all users
responses:
'200':
description: Successful operation
content:
application/json:
schema:
type: array
items:
type: object
properties:
id:
type: integer
name:
type: string
/users/{id}:
get:
summary: Get a user by ID
parameters:
- name: id
in: path
required: true
schema:
type: integer
responses:
'200':
description: Successful operation
content:
application/json:
schema:
type: object
properties:
id:
type: integer
name:
type: string这个 YAML 文件可以被 Swagger UI 解析,生成交互式的 API 文档。
总而言之,RESTful API 设计不仅仅是一种技术规范,更是一种设计哲学。它强调资源的重要性,并通过标准的 HTTP 方法来操作这些资源。一个好的 RESTful API 应该易于理解、易于使用、易于维护,并且具有良好的安全性。
