RESTful API 設計思考

RESTful 是目前最流行的 API 設計規範，用於 Web 數據接口的設計。

它的大原則容易把握，可是細節不容易作對。本文總結 RESTful 的設計細節，介紹如何設計出易於理解和使用的 API。
URL 設計
1.1 動詞 + 賓語
RESTful 的核心思想就是，客戶端發出的數據操做指令都是"動詞 + 賓語"的結構。好比，GET /articles這個命令，GET是動詞，/articles是賓語。

動詞一般就是五種 HTTP 方法，對應 CRUD 操做。

GET：讀取（Read）
POST：新建（Create）
PUT：更新（Update）
PATCH：更新（Update），一般是部分更新
DELETE：刪除（Delete）
根據 HTTP 規範，動詞一概大寫。

 

網絡應用程序，分爲前端和後端兩個部分。當前的發展趨勢，就是前端設備層出不窮（手機、平板、桌面電腦、其餘專用設備......）。

所以，必須有一種統一的機制，方便不一樣的前端設備與後端進行通訊。這致使API構架的流行，甚至出現"API First"的設計思想。RESTful API是目前比較成熟的一套互聯網應用程序的API設計理論。

 

1. 什麼是REST

REST全稱是Representational State Transfer，中文意思是表述（編者注：一般譯爲表徵）性狀態轉移。 它首次出如今2000年Roy Fielding的博士論文中，Roy Fielding是HTTP規範的主要編寫者之一。 他在論文中提到："我這篇文章的寫做目的，就是想在符合架構原理的前提下，理解和評估以網絡爲基礎的應用軟件的架構設計，獲得一個功能強、性能好、適宜通訊的架構。REST指的是一組架構約束條件和原則。" 若是一個架構符合REST的約束條件和原則，咱們就稱它爲RESTful架構。

REST自己並無創造新的技術、組件或服務，而隱藏在RESTful背後的理念就是使用Web的現有特徵和能力， 更好地使用現有Web標準中的一些準則和約束。雖然REST自己受Web技術的影響很深， 可是理論上REST架構風格並非綁定在HTTP上，只不過目前HTTP是惟一與REST相關的實例。 因此咱們這裏描述的REST也是經過HTTP實現的REST。

 

什麼是RESTful架構：

每個URI表明一種資源；
 客戶端和服務器之間，傳遞這種資源的某種表現層；
 客戶端經過四個HTTP動詞（GET/POST/PUT/DELETE），對服務器端資源進行操做，實現」表現層狀態轉化」。
 

URI

要讓一個資源能夠被識別，須要有個惟一標識，在Web中這個惟一標識就是URI(Uniform Resource Identifier)。 URI既能夠當作是資源的地址，也能夠當作是資源的名稱。若是某些信息沒有使用URI來表示，那它就不能算是一個資源， 只能算是資源的一些信息而已。URI的設計應該遵循可尋址性原則，具備自描述性，須要在形式上給人以直覺上的關聯。

 

HTTP動詞

 

1. 使用GET、POST、PUT、DELETE這幾種請求模式

請求模式也能夠說是動做、數據傳輸方式，一般咱們在web中的form有GET、POST兩種，而在HTTP中，存在下發這幾種。
GET (選擇)：從服務器上獲取一個具體的資源或者一個資源列表。
POST （建立）： 在服務器上建立一個新的資源。
PUT（更新）：以總體的方式更新服務器上的一個資源。
PATCH （更新）：只更新服務器上一個資源的一個屬性。
DELETE（刪除）：刪除服務器上的一個資源。

 

 

今天，我將介紹RESTful API的設計細節，探討如何設計一套合理、好用的API,

它要考慮這些方面：協議，域名，版本，路徑，http，過濾，狀態碼，錯誤處理，返回結果json, 身份認證等

1、協議

API與用戶的通訊協議，老是使用HTTPs協議。

2、域名

應該儘可能將API部署在專用域名之下。

https://api.example.com 

若是肯定API很簡單，不會有進一步擴展，能夠考慮放在主域名下。

https://example.org/api/ 

3、版本（Versioning）

應該將API的版本號放入URL。

https://api.example.com/v1/ 

另外一種作法是，將版本號放在HTTP頭信息中，但不如放入URL方便和直觀。Github採用這種作法。

4、路徑（Endpoint）

路徑又稱"終點"（endpoint），表示API的具體網址。

在RESTful架構中，每一個網址表明一種資源（resource），因此網址中不能有動詞，只能有名詞，並且所用的名詞每每與數據庫的表格名對應。通常來講，數據庫中的表都是同種記錄的"集合"（collection），因此API中的名詞也應該使用複數。

舉例來講，有一個API提供動物園（zoo）的信息，還包括各類動物和僱員的信息，則它的路徑應該設計成下面這樣。

• https://api.example.com/v1/zoos
• https://api.example.com/v1/animals
• https://api.example.com/v1/employees

5、HTTP動詞

對於資源的具體操做類型，由HTTP動詞表示。

經常使用的HTTP動詞有下面五個（括號裏是對應的SQL命令）。

• GET（SELECT）：從服務器取出資源（一項或多項）。
• POST（CREATE）：在服務器新建一個資源。
• PUT（UPDATE）：在服務器更新資源（客戶端提供改變後的完整資源）。
• PATCH（UPDATE）：在服務器更新資源（客戶端提供改變的屬性）。
• DELETE（DELETE）：從服務器刪除資源。

還有兩個不經常使用的HTTP動詞。

• HEAD：獲取資源的元數據。
• OPTIONS：獲取信息，關於資源的哪些屬性是客戶端能夠改變的。

下面是一些例子。

• GET /zoos：列出全部動物園
• POST /zoos：新建一個動物園
• GET /zoos/ID：獲取某個指定動物園的信息
• PUT /zoos/ID：更新某個指定動物園的信息（提供該動物園的所有信息）
• PATCH /zoos/ID：更新某個指定動物園的信息（提供該動物園的部分信息）
• DELETE /zoos/ID：刪除某個動物園
• GET /zoos/ID/animals：列出某個指定動物園的全部動物
• DELETE /zoos/ID/animals/ID：刪除某個指定動物園的指定動物

6、過濾信息（Filtering）

若是記錄數量不少，服務器不可能都將它們返回給用戶。API應該提供參數，過濾返回結果。

下面是一些常見的參數。

• ?limit=10：指定返回記錄的數量
• ?offset=10：指定返回記錄的開始位置。
• ?page=2&per_page=100：指定第幾頁，以及每頁的記錄數。
• ?sortby=name&order=asc：指定返回結果按照哪一個屬性排序，以及排序順序。
• ?animal_type_id=1：指定篩選條件

參數的設計容許存在冗餘，即容許API路徑和URL參數偶爾有重複。好比，GET /zoo/ID/animals 與 GET /animals?zoo_id=ID 的含義是相同的。

7、狀態碼（Status Codes）

服務器向用戶返回的狀態碼和提示信息，常見的有如下一些（方括號中是該狀態碼對應的HTTP動詞）。

• 200 OK - [GET]：服務器成功返回用戶請求的數據，該操做是冪等的（Idempotent）。
• 201 CREATED - [POST/PUT/PATCH]：用戶新建或修改數據成功。
• 202 Accepted - [*]：表示一個請求已經進入後臺排隊（異步任務）
• 204 NO CONTENT - [DELETE]：用戶刪除數據成功。
• 400 INVALID REQUEST - [POST/PUT/PATCH]：用戶發出的請求有錯誤，服務器沒有進行新建或修改數據的操做，該操做是冪等的。
• 401 Unauthorized - [*]：表示用戶沒有權限（令牌、用戶名、密碼錯誤）。
• 403 Forbidden - [*] 表示用戶獲得受權（與401錯誤相對），可是訪問是被禁止的。
• 404 NOT FOUND - [*]：用戶發出的請求針對的是不存在的記錄，服務器沒有進行操做，該操做是冪等的。
• 406 Not Acceptable - [GET]：用戶請求的格式不可得（好比用戶請求JSON格式，可是隻有XML格式）。
• 410 Gone -[GET]：用戶請求的資源被永久刪除，且不會再獲得的。
• 422 Unprocesable entity - [POST/PUT/PATCH] 當建立一個對象時，發生一個驗證錯誤。
• 500 INTERNAL SERVER ERROR - [*]：服務器發生錯誤，用戶將沒法判斷髮出的請求是否成功。

狀態碼的徹底列表參見這裏。

8、錯誤處理（Error handling）

若是狀態碼是4xx，就應該向用戶返回出錯信息。通常來講，返回的信息中將error做爲鍵名，出錯信息做爲鍵值便可。

{ error: "Invalid API key" } 

9、返回結果

針對不一樣操做，服務器向用戶返回的結果應該符合如下規範。

• GET /collection：返回資源對象的列表（數組）
• GET /collection/resource：返回單個資源對象
• POST /collection：返回新生成的資源對象
• PUT /collection/resource：返回完整的資源對象
• PATCH /collection/resource：返回完整的資源對象
• DELETE /collection/resource：返回一個空文檔

10、Hypermedia API

RESTful API最好作到Hypermedia，即返回結果中提供連接，連向其餘API方法，使得用戶不查文檔，也知道下一步應該作什麼。

好比，當用戶向api.example.com的根目錄發出請求，會獲得這樣一個文檔。

{"link": { "rel": "collection https://www.example.com/zoos", "href": "https://api.example.com/zoos", "title": "List of zoos", "type": "application/vnd.yourformat+json" }} 

上面代碼表示，文檔中有一個link屬性，用戶讀取這個屬性就知道下一步該調用什麼API了。rel表示這個API與當前網址的關係（collection關係，並給出該collection的網址），href表示API的路徑，title表示API的標題，type表示返回類型。

Hypermedia API的設計被稱爲HATEOAS。Github的API就是這種設計，訪問api.github.com會獲得一個全部可用API的網址列表。

{ "current_user_url": "https://api.github.com/user", "authorizations_url": "https://api.github.com/authorizations",  // ... } 

從上面能夠看到，若是想獲取當前用戶的信息，應該去訪問api.github.com/user，而後就獲得了下面結果。

{ "message": "Requires authentication", "documentation_url": "https://developer.github.com/v3" } 

上面代碼表示，服務器給出了提示信息，以及文檔的網址。

11、其餘

（1）API的身份認證應該使用oauth2.0框架。

（2）服務器返回的數據格式，應該儘可能使用JSON，避免使用XML。

 

OAuth的思路

OAuth在"客戶端"與"服務提供商"之間，設置了一個受權層（authorization layer）。"客戶端"不能直接登陸"服務提供商"，只能登陸受權層，以此將用戶與客戶端區分開來。"客戶端"登陸受權層所用的令牌（token），與用戶的密碼不一樣。用戶能夠在登陸的時候，指定受權層令牌的權限範圍和有效期。

"客戶端"登陸受權層之後，"服務提供商"根據令牌的權限範圍和有效期，向"客戶端"開放用戶儲存的資料。