1. 使用GET、POST、PUT、DELETE這幾種請求模式
請求模式也可以說是動作、數據傳輸方式,通常我們在web中的form有GET、POST兩種,而在HTTP中,存在下發這幾種。
GET (選擇):從服務器上獲取一個具體的資源或者一個資源列表。
POST (創建): 在服務器上創建一個新的資源。
PUT(更新):以整體的方式更新服務器上的一個資源。
PATCH (更新):只更新服務器上一個資源的一個屬性。
DELETE(刪除):刪除服務器上的一個資源。
HEAD : 獲取一個資源的元數據,如數據的哈希值或最后的更新時間。
OPTIONS:獲取客戶端能對資源做什么操作的信息。
比如在數據過多, 需要對數據進行分頁請求的時候, 我們應該統一 API 請求參數. 常見的有這些.
limit=10指定返回記錄的數量
offset=10指定返回記錄的開始位置。
page=2&per_page=100指定第幾頁,以及每頁的記錄數。
sortby=name&order=asc指定返回結果按照哪個屬性排序,以及排序順序。
animal_type_id=1指定篩選條件
2. 版本
API的開發直接關系了APP是否可以正常使用,如果原本運行正常的API,突然改動,那么之前使用這個API的APP可能無法正常運行。APP是不可能強迫用戶主動升級的,因此,通過API版本來解決這個問題。也就是說,API的多個版本是同時運行的,而且都要保證可以正常使用。
按照RESTful的規范,不同的版本也應該用相同的API URL,通過header信息來判斷版本,再調用不同版本的程序進行處理。但是這明顯會給開發帶來巨大的成本。
解決辦法有以下幾種:
1.新版本兼容舊版本,所有舊版本的動作、字段、操作,都在新版本中可以被實現,但明顯這樣的維護成本很大;
2.不同的版本,用不同的URL來提供服務,在URL中通過v1、v2來區分版本號,比如v2.api.xxx.com/user的方式,或者http://api.domain.com/v2。
3.每個接口有各自的版本,一般為接口添加個version的參數。
3.json數據類型
接口的數據一般都采用JSON格式進行傳輸,不過,需要注意的是,JSON的值只有六種數據類型:
Number:整數或浮點數
String:字符串
Boolean:true 或 false
Array:數組包含在方括號[]中
Object:對象包含在大括號{}中
Null:空類型
所以,傳輸的數據類型不能超過這六種數據類型。以前,我們曾經試過傳輸Date類型,它會轉為類似於"2016年1月7日 09時17分42秒 GMT+08:00"這樣的字符串,這在轉換時會產生問題,不同的解析庫解析方式可能不同,有的可能會轉亂,有的可能直接異常了。要避免出錯,必須做特殊處理,自己手動去做解析。為了根除這種問題,最好的解決方案是用毫秒數或者字符串表示日期。
4.返回的數據結構
服務器返回的數據結構,一般為:
{code:0,message:"success",data:{key1:value1,key2:value2,...}}
code: 返回碼,0表示成功,非0表示各種不同的錯誤
message: 描述信息,成功時為"success",錯誤時則是錯誤信息
data: 成功時返回的數據,類型為對象或數組
不同錯誤需要定義不同的返回碼,屬於客戶端的錯誤和服務端的錯誤也要區分,比如1XX表示客戶端的錯誤,2XX表示服務端的錯誤。這里舉幾個例子:
0:成功
100:請求錯誤
101:缺少appKey
102:缺少簽名
103:缺少參數
200:服務器出錯
201:服務不可用
202:服務器正在重啟
錯誤信息一般有兩種用途:一是客戶端開發人員調試時看具體是什么錯誤;二是作為App錯誤提示直接展示給用戶看。主要還是作為App錯誤提示,直接展示給用戶看的。所以,大部分都是簡短的提示信息。
data字段只在請求成功時才會有數據返回的。數據類型限定為對象或數組,當請求需要的數據為單個對象時則傳回對象,當請求需要的數據是列表時,則為某個對象的數組。這里需要注意的就是,不要將data傳入字符串或數字,即使請求需要的數據只有一個,比如token,那返回的data應該為:
//正確data:{token:123456}//錯誤data:123456
5. 使用SSL(https)來提供URL
首先,使用https可以在數據包被抓取時多一層加密。我們現在的APP使用環境大部分都是在路由器WIFI環境下,一旦路由器被入侵,那么黑客可以非常容易的抓取到用戶通過路由器傳輸的數據,如果使用http未經加密,那么黑客可以很輕松的獲取用戶的信息,甚至是賬戶信息。
其次,即使使用https,也要在API數據傳輸設計時,正確的采用加密。例如直接將token信息放在URL中的做法,即使你使用了https,黑客抓不到你具體傳輸的數據,但是可以抓到你請求的URL啊!(查了資料了,https用GET方式請求,也僅能抓到域名字符部分,不能抓到請求的數據,但是URL可以在瀏覽器或特殊客戶端工具中直接看到。多謝下面的朋友指正錯誤)因此,使用https進行請求時,要采用POST、PUT或者HEAD的方式傳輸必要的數據。
6.TOKEN
現在,大部分App的接口都采用RESTful架構,RESTFul最重要的一個設計原則就是,客戶端與服務器的交互在請求之間是無狀態的,也就是說,當涉及到用戶狀態時,每次請求都要帶上身份驗證信息。實現上,大部分都采用token的認證方式,一般流程是:
用戶用密碼登錄成功后,服務器返回token給客戶端;
客戶端將token保存在本地,發起后續的相關請求時,將token發回給服務器;
服務器檢查token的有效性,有效則返回數據,若無效,分兩種情況:
token錯誤,這時需要用戶重新登錄,獲取正確的token
token過期,這時客戶端需要再發起一次認證請求,獲取新的token
然而,此種驗證方式存在一個安全性問題:當登錄接口被劫持時,黑客就獲取到了用戶密碼和token,后續則可以對該用戶做任何事情了。用戶只有修改密碼才能奪回控制權。
如何優化呢?第一種解決方案是采用HTTPS。HTTPS在HTTP的基礎上添加了SSL安全協議,自動對數據進行了壓縮加密,在一定程序可以防止監聽、防止劫持、防止重發,安全性可以提高很多。不過,SSL也不是絕對安全的,也存在被劫持的可能。另外,服務器對HTTPS的配置相對有點復雜,還需要到CA申請證書,而且一般還是收費的。而且,HTTPS效率也比較低。一般,只有安全要求比較高的系統才會采用HTTPS,比如銀行。而大部分對安全要求沒那么高的App還是采用HTTP的方式。
我們目前的做法是給每個接口都添加簽名。給客戶端分配一個密鑰,每次請求接口時,將密鑰和所有參數組合成源串,根據簽名算法生成簽名值,發送請求時將簽名一起發送給服務器驗證。類似的實現可參考OAuth1.0的簽名算法。這樣,黑客不知道密鑰,不知道簽名算法,就算攔截到登錄接口,后續請求也無法成功操作。不過,因為簽名算法比較麻煩,而且容易出錯,只適合對內的接口。如果你們的接口屬於開放的API,則不太適合這種簽名認證的方式了,建議還是使用OAuth2.0的認證機制。
我們也給每個端分配一個appKey,比如Android、iOS、微信三端,每個端分別分配一個appKey和一個密鑰。沒有傳appKey的請求將報錯,傳錯了appKey的請求也將報錯。這樣,安全性方面又加多了一層防御,同時也方便對不同端做一些不同的處理策略。
另外,現在越來越多App取消了密碼登錄,而采用手機號+短信驗證碼的登錄方式,我在當前的項目中也采用了這種登錄方式。這種登錄方式有幾種好處:
不需要注冊,不需要修改密碼,也不需要因為忘記密碼而重置密碼的操作了;
用戶不再需要記住密碼了,也不怕密碼泄露的問題了;
相對於密碼登錄其安全性明顯提高了。
7.用戶設計
顯式用戶和隱式用戶,我不知道這兩個詞用的是否確切。
顯式用戶指的是,APP程序中有用戶系統,一個username、password正確的合法用戶,稱之為顯式的用戶,
通常顯式用戶都需要注冊,登錄以后能完成一些個人相關的操作。
隱式用戶指的是,APP程序本身就沒有用戶系統,或者一個在沒有登錄的情況下,使用我們APP的用戶。
在這種情況下,可以通過客戶端生成的UDID來標識一個用戶。
有了用戶信息,我們就能夠了解不同用戶的使用習慣,而不僅僅是全體用戶的一個整體的統計信息,
有了這些個體的信息之后,就可以做一些用戶分群、個性化推薦之類的事情。
如果是SAAS版本,還需要區分不同商戶的用戶
8.良好的接口說明文檔和測試程序
接口文檔有時候是項目初期就定下來的,前后端開發人員按照接口規范開發,
有的是接口開發完成后寫的。
接口文檔要清晰、明了,包含多少個接口,每個接口的地址、參數、請求方式、數據交換格式、返回值等都要寫清楚。
接口測試程序,有條件的話,也可以提供,方便前后端的調試。
如果是springMVC開發的話,可以用swagger,后端只要加幾個注釋發一個url給前端就可以了,輕松又高效。
9.接口統計功能
在做PC端網站的時候,我們都會給我們的網站加上個統計功能,要么自己寫統計系統,要么使用第三方的比如GA、百度等。
移動端接口API則需要我們自己實現統計功能,
這時就需要我們盡可能多的收集客戶端的信息,除了傳統的IP、User-Agent之外,還應該收集一些移動相關的信息,
比如
手機操作系統,是android還是ios,都是什么版本,
用戶使用的網絡狀況,是2G、3G、4G還是WIFI
客戶端APP是什么版本信息。
這樣,有助於我們更好的了解我們用戶的使用情況。
鏈接:https://www.jianshu.com/p/9e307a600b44