惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

S
Securelist
SecWiki News
SecWiki News
Help Net Security
Help Net Security
Attack and Defense Labs
Attack and Defense Labs
L
LINUX DO - 最新话题
H
Heimdal Security Blog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
H
Hacker News: Front Page
Hacker News - Newest:
Hacker News - Newest: "LLM"
Google DeepMind News
Google DeepMind News
V2EX - 技术
V2EX - 技术
Hacker News: Ask HN
Hacker News: Ask HN
O
OpenAI News
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
T
Threat Research - Cisco Blogs
A
Arctic Wolf
Simon Willison's Weblog
Simon Willison's Weblog
P
Privacy & Cybersecurity Law Blog
T
Threatpost
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
C
Cyber Attacks, Cyber Crime and Cyber Security
T
Tor Project blog
C
CXSECURITY Database RSS Feed - CXSecurity.com
Spread Privacy
Spread Privacy
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
人人都是产品经理
人人都是产品经理
S
SegmentFault 最新的问题
www.infosecurity-magazine.com
www.infosecurity-magazine.com
P
Palo Alto Networks Blog
C
CERT Recently Published Vulnerability Notes
PCI Perspectives
PCI Perspectives
AWS News Blog
AWS News Blog
IT之家
IT之家
美团技术团队
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
T
Tailwind CSS Blog
M
MIT News - Artificial intelligence
V
Visual Studio Blog
Schneier on Security
Schneier on Security
T
The Exploit Database - CXSecurity.com
有赞技术团队
有赞技术团队
小众软件
小众软件
Google Online Security Blog
Google Online Security Blog
N
News | PayPal Newsroom
博客园_首页
T
Tenable Blog
酷 壳 – CoolShell
酷 壳 – CoolShell
S
Secure Thoughts
I
Intezer

陈少文的网站

巨变与机遇的未来十年 Kubernetes 平台管理软件压力测试方案 使用镜像部署 Hexo 静态页面 终于等到你 - GitHub 镜像仓库服务(ghcr.io) 一起来学 Go --(6)Interface 一起来学 Go --(5)Goroutine 和 Channel 什么是函数式编程 如何在 Kubernetes 集群集成 Kata 柯里化与偏函数 使用 PyGithub 自动创建 Label 软件产品是团队能力的输出 Helm 2 、Helm 3 比较 IoT 变现 Kubernetes 中的 DNS 服务 国内的 Helm 镜像源 Harbor 使用自签证书支持 Https 访问 DevOps 工具链之 Prow 如何使用 kfctl 安装 Kubeflow VS Code 无法下载 Go 插件的工具包 工程师更应具有服务精神 你不知道的 Docker 使用技巧 使用 Docker 运行 Tensorflow 论中国 什么是左移 如何清空 Git 仓库全部历史记录 一禅小和尚 有风吹过厨房 时间的玫瑰 如何在 CentOS 安装 GPU 驱动 开发 Tips(19) 使用 Velero 备份 Kubernetes 集群 Kubernetes Cheat Sheet 开发 Tips(18) 如何构建一个 Java 工程 开发 Tips(17) KubeSpray 安装 Kubernetes 报错 ip in ansible_all_ipv4_addresses 基于 Kubernetes 和 Jenkins 搭建自动化测试系统 在 Kubernetes 上动态创建 Jenkins Slave 使用 Jenkins 进行服务拨测 开发 Tips(16) Kubernetes 签发 Ingress 证书及日常故障运维 Kubernetes 中 Deployment 的基本操作 Kubernetes 中的证书 如何使用 KubeBuilder 开发一个 Operator Kubernetes 1.6.0 安装问题汇总 镜像管理工具 -- Harbor 开发 Tips(15) Docker 如何拉取镜像 开发 Tips(14) 使用 Helm 安装 harbor 开发 Tips(13) 使用 S2I 构建云原生应用 在 Kubernetes 中使用 emptyDir、hostPath、localVolume 开发 Tips(12) 开发 Tips(11) 代码质量分析工具 SonarQube 使用 Kubeadm 安装 Kubernetes 集群 一起来学 Go --(4)常用函数 Kubernetes 中的 Ceph Kubernetes 之 Volumes Kubernetes 之 Labels、Selectors 开发 Tips(10) 开源正在重构商业模式 Kubernetes 之网络 Kubernetes 之 API 使用 Helm 和 Operator 快速部署 Prometheus Kubernetes 复杂有状态应用管理框架 -- Operator Kubernetes 的包管理器 -- Helm 一起来学 Go --(3)Go Modules 如何一步一步地优化博客方案 kubectl 实用指南 Kubernetes 中的基本概念 搭建远程 Kubernetes 开发环境 大公司和小公司的 ToB 思路 开发 Tips(9) Go 入门指南 一起来学 Go --(2)数据与逻辑结构 如何预防 Web 富文本中的 XSS 攻击 django-xss-cleaner 云工作时代 一起来学 Go --(1)背景与特点 SaaS 开发团队的不同阶段 你不知道的 Git 使用技巧 输出既服务 微服务设计 继续奔跑 开发 Tips(8) 从账户安全到二次验证 Django 性能之数据库查询优化 Django 性能之分库分表 敏捷开发之研发流程 打造一致性的团队 开发 Tips(7) Pytest 进阶学习之 Mock PaaS 部署之 buildpack Go 开发配置 领域输出才是 PaaS 的核心竞争力 Pytest 入门学习 开发 Tips(6) 如何使用 Jenkins、Docker、GitLab 搭建 Django 自动化部署流程
API 接口规范
微信公众号 · 2017-12-01 · via 陈少文的网站

在 Web 应用开发的过程中,后端开发人员需要频繁的交付 API 接口,前端开发人员需要频繁的调用 API 接口。为了降低沟通成本、预防可能的安全风险,遵循约定优于配置的原则,有必要规范 API 的接口规范。Restful API 是以资源为核心的 API 设计思路,所有的操作都是针对特定的资源进行。在 SaaS 开发中,推荐使用 Restful API 风格接口,本文主要讨论 Restful API 在 SaaS 开发过程中的一些前置约定。

1. 请求规范

1.1 编码方式

统一采用 charset=utf-8

Ajax 全局配置

1
2
3
$.ajaxSetup({
  contentType: "application/json; charset=utf-8",
});

Axios 全局配置

1
2
axios.defaults.headers.common["Content-Type"] =
  "application/json;charset=UTF-8";

1.2 请求方法

API 的 Method,要符合实际请求的类型。

动词含义
GET查看
POST创建
DELETE删除
PUT更新

1.3 传参方式

  • GET 请求
    参数放在请求路径后以 ? 开头的参数串中,参数以 urlencode 编码。

  • PUT / PATCH / POST 请求
    对于复杂数据结构的传参,建议将参数 JSON 编码后放在请求体中。

1.4 请求参数

  • 批量数据必须排序,例如: ?sortOrder=asc&sortField=created_time
  • 批量数据必须分页,例如:?page=5&pagesize=50
  • 可以批量请求的 API,不允许轮询,例如:?id=1,2,3

2. 响应规范

2.1 统一的返回格式

字段名返回内容描述
resultTrue/False
code现阶段可以不使用, 0 代表正确,非 0 代表不同的错误情况
data成功时,返回的数据的内容
message失败时,返回的错误信息
request_id(可选)标识请求的 id(可以自动生成的唯一标识,方便追踪请求记录 uuid )
1
2
3
4
5
6
{
    'result': True,
    'message': '',
    'data': [],
    'code': 0
}

2.2 合适的状态码

建议充分利用 HTTP Status Code 作为响应结果的基本状态码,基本状态码不能区分的 status,再用响应中"约定"的 code 进行补充。

  • 200 : GET 请求成功,及 DELETE 或 PATCH 同步请求完成,或者 PUT 同步更新一个已存在的资源
  • 201 : POST 同步请求完成,或者 PUT 同步创建一个新的资源
  • 401 : Unauthorized : 用户未认证,请求失败
  • 403 : Forbidden : 用户无权限访问该资源,请求失败
  • 429 : Too Many Requests : 因为访问频繁,你已经被限制访问,稍后重试
  • 500 : Internal Server Error : 服务器错误,确认状态并报告问题

http 状态码详细说明请参考:
https://zh.wikipedia.org/wiki/HTTP%E7%8A%B6%E6%80%81%E7%A0%81

2.3 参数获取方式

  • 使用 Django URL 的正则匹配获取参数
1
url(r'^area/(?P<cityID>\d{6})/$', 'get_area')
  • 使用 Django Forms 获取参数
1
2
3
4
5
6
7
8
9
class FilterForm(forms.Form):
    sys_type = forms.ChoiceField(choices=choices.SYS_CHOICES, required=True, label=u'类型')

def my_view(request):
    form = FilterForm(request.GET)
    if not form.is_valid():
        # 数据不合法
    else:
        # 通过 form.cleaned_data 获取数据

2.4 权限校验

  • 垂直越权
    普通用户不允许访问管理员用户资源

  • 平行越权
    普通用户不能访问没有授权的其他普通用户资源

3. 错误码规范

3.1 错误码设计

  • 合理的设计错误码

参考设计 1

2000502
HTTP 状态码服务模块代码具体错误代码

参考设计 2

ERROR_INVALID_FUNCTION
ERROR_PATH_NOT_FOUND
ERROR_TOO_MANY_OPEN_FILES
ERROR_ACCESS_DENIED

3.2 错误提示应准确并有用

需要提供两个基本内容:

  • 返回错误状态,解释原因
  • 提示用户如何解决

例如:

  • 调用 XXX 接口异常,请稍后重试,或联系管理员 XXX
  • 连接 MySQL 数据库异常,请联系管理员 XXX
  • 您输入的 XXX 不符合格式要求,请输入 XXX 格式的数据

3.3 提供错误说明对照表

提供一个页面或接口,展示错误码-错误详情的信息。例如:接口 /api/v1/error_code/,返回:

1
2
3
4
5
6
{
  "http_status_code - error_code - message": [
    [412, "Error_LOGIN_FRONT_NOT_GIFT", "礼品不充足"],
    [503, "ERROR_FAULT", "服务器内部错误"]
  ]
}

4. 参考