详细

Restful API 设计原则

1. post 和 put 的区别

假如是客户端负责决定新资源采用什么URI,那就用PUT,假如是服务器负责新资源采用什么URI,那就用POST。 PUT请求来新建或修改资源 POST请求来新建从属资源。


表1— PUT和POST动作

URI向新资源发PUT请求向已有资源发PUT请求POST
/weblogsN/A(资源已存在)无效果创建一个新博客
/weblogs/myweblog创建该博客修改该博客的设置往博客里添加一篇文章
/weblogs/myweblog/entries/1N/A(你无法知道这个URI)编辑该博客的文章为该博客文章添加评论

2. PUT和DELETE操作具有幂等性

幂等性:可以简单的理解为一次操作和多次操作的结果一样的

3. restful api设计原则

参考来源: http://www.cnblogs.com/moonz-wu/p/4211626.html

URL段 > 添加额外URL段 > POST返回 > 过滤器

要点提示

  • 集合可以表达数据库表,资源可以表达数据库中的某条记录。事实上,API应该尽可能通过抽象来分离数据与业务逻辑。
  • 至少知道4个半HTTP方法 GET/POST/PUT/PATCH/DELETE。
  • API版本化,放在URL段里是不错的选择。
  • 分析API的使用次数和将要抛弃的API的通知(有第三方的应用关注此条)。
  • API根地址放到子域名,API基于HTTPS发布。
  • 通过添加一个额外的URL段就可以实现更多的交互能力,定义关键字也是不错的主意。
  • 能用端点(如GET /zoo/ZID/animals)表示的,不要用过滤器(如GET /animals?zoo_id=ZID)。
  • 负载均衡配合状态码。
  • 客户端创建资源时,它往往不知道新建资源ID(也许还有其他的属性,如创建和修改的时间戳等)。把属性作为POST请求的响应结果来返回。
  • 超媒体API通过请求API的根来获得一个URL的列表,这个列表里面的每一个URL都指向一个集合,并且提供了客户端可以理解的信息来描述每一个集合。
  • 创建一个控制台来让开发者可以立即体验一下API的功能。(时间充裕的情况下考虑)

术语

  • 资源:一个对象的单独实例,如一只动物
  • 集合:一群同种对象,如动物
  • 客户端:可以创建HTTP请求的客户端应用程序
  • 服务器:一个HTTP服务器或者应用程序,客户端可以跨网络访问它
  • 端点:这个API在服务器上的URL用于表达一个资源或者一个集合
  • 幂等:无边际效应,多次操作得到相同的结果
  • URL段:在URL里面已斜杠分隔的内容

正文

  • 数据设计与抽象

通常情况下,集合可以表达数据库表,资源可以表达数据库中的某条记录。事实上,你的API应该尽可能通过抽象来分离数据与业务逻辑。这点非常重要,只有这样做,才能满足复杂业务的第三方开发者,否则他们是不会想用你的API的。

当然,你的有些服务是不应该通过API暴露出去的,例如:很多API不允许第三方来创建用户的。

  • http方法

HTTP方法你至少需要知道四个半。我之所以说“半个”的意思就是PATCH这个方法非常类似于PUT,并且它们俩也常常被开发者绑定到同一个API上。

  • GET (获取):从服务器上获取一个具体的资源或者一个资源列表。
  • POST (创建): 在服务器上创建一个新的资源。
  • PUT (更新):以整体的方式更新服务器上的一个资源。
  • PATCH (更新):只更新服务器上一个资源的一个属性。
  • DELETE (删除):删除服务器上的一个资源。

还有两个不常用的HTTP方法:

  • HEAD : 获取API方法的头部信息,如数据的哈希值或最后的更新时间。
  • OPTIONS:获取客户端能对资源做什么操作的信息。

好的RESTful API只允许第三方调用者使用上述四个半的HTTP方法进行数据交互,并且在URL段里面不出现任何其他的方法关键字。

一般来说,GET请求可以被浏览器缓存(主要依赖请求头部),对于post的第二次提交而言也是如此。HEAD请求是基于GET的一个无响应体的请求,也是可以被缓存的。

  • 版本化

即时你规划和准备的很充分,你核心的应用总会发生变化,数据关系也会变化,资源上的属性也会被增加或删除。只要你的项目还在,并且有大量用户在用,这种情况总是会有的。

请谨记一点,API是服务器与客户端之间的公共契约。如果你修改了服务器上的API,更改后无法向后兼容,那么你就打破了这个契约,客户端又会要求你重新支持它。为避免此类事件,你既要确保应用程序的迭代,又要让客户端满意。那么你必须在引入新版本API的同时,保持旧版本API仍然可用。

注:如果你只是简单的增加一个新特性到API上,如资源上的一个新属性或者增加一个新的端点,你不需要增加API的版本。因为这些并不会造成向后兼容性的问题,你只需要修改文档即可。

随着时间的推移,你可能声明不再支持某些旧版本的API。申明不支持一个特性并不意味着关闭或者破坏它。而是告诉客户端旧版本的API将在某个特定的时间被删除,并且建议他们使用新版本的API。

一个好的RESTful API会在URL中包含版本信息。常见的方案是在请求头里面携带版本信息。但是跟很多不同的第三方开发者一起工作后,我可以很明确的告诉你,在请求头里面包含版本信息远没有放在URL里面来的容易。

  • 分析

API分析就是持续跟踪正在使用的API的版本和端点信息,这像每次请求都往数据库增加一个整数那样简单。有很多的迹象表明API跟踪分析优势所在,例如,对使用最广泛的API来说效率是最重要的。

第三方开发者通常会关注API构建目的,其中最重要的一个目的是你决定什么时候不再支持某个版本。但是你要告知开发者使用的那些即将被移除的API特性。当你准备删除旧的API之前可以通过这种方式提醒他们升级。

当然,对于第三方开发者的通知,我们可以限定某种条件下会被自动触发,例如每当在一个过时的特性上发生10000次请求时,就发邮件通知开发者。

  • API根部URL

无论你信不信,API的根地址很重要。当一个开发者接手了一个旧项目(如进行代码review)。而这个项目正在使用你的API,同时开发者还想构建一个新的特性,但他们完全不知道你的服务。幸运的是他们知道客户端对外调用的那些URL列表。让你的API根入口点保持尽可能的简单是很重要的,因为开发者很可能一看到那些冗长而又复杂的URL就转身而走。

这里有两个常见的URL根例子:

https://example.org/api/v1/* https://api.example.com/v1/*

如果应用很复杂,将API放到子域名下通常是一个不错的选择。这种做法可以保持某些规模化上的灵活性。

如果API不多,或是想让应用安装更简单(使用相同的框架来支持站点和API),将API放到根域名下也是ok的。

让API根拥有一些内容也是不错的,Github的API根就是一个典型的例子。

同样请注意HTTPS前缀,一个好的RESTful API总是基于HTTPS来发布的。

  • 端点

一个端点就是指向特定资源或资源集合的URL。

如果你正在构建一个虚构的API来展现几个不同的动物园,每一个动物园又包含很多动物,员工和每个动物的物种,你可能会有如下的端点信息:

https://api.example.com/v1/zoos https://api.example.com/v1/animals https://api.example.com/v1/animal_types https://api.example.com/v1/employees

针对每一个端点,你可能想列出所有可行的HTTP方法和端点的组合。如下所示,请注意我把HTTP方法都放在虚构API的前面,正如将同样的注解放在每一个HTTP请求头里一样。

GET /zoos: List all Zoos (ID and Name, not too much detail)
POST /zoos: Create a new Zoo
GET /zoos/ZID: Retrieve an entire Zoo object
PUT /zoos/ZID: Update a Zoo (entire object)
PATCH /zoos/ZID: Update a Zoo (partial object)
DELETE /zoos/ZID: Delete a Zoo
GET /zoos/ZID/animals: Retrieve a listing of Animals (ID and Name).
GET /animals: List all Animals (ID and Name).
POST /animals: Create a new Animal
GET /animals/AID: Retrieve an Animal object
PUT /animals/AID: Update an Animal (entire object)
PATCH /animals/AID: Update an Animal (partial object)
GET /animal_types: Retrieve a listing (ID and Name) of all Animal Types
GET /animal_types/ATID: Retrieve an entire Animal Type object
GET /employees: Retrieve an entire list of Employees
GET /employees/EID: Retreive a specific Employee
GET /zoos/ZID/employees: Retrieve a listing of Employees (ID and Name) who work at this Zoo
POST /employees: Create a new Employee
POST /zoos/ZID/employees: Hire an Employee at a specific Zoo
DELETE /zoos/ZID/employees/EID: Fire an Employee from a specific Zoo

在上面的列表里,ZID表示动物园的ID, AID表示动物的ID,EID表示雇员的ID,还有ATID表示物种的ID。

让文档API有一个关键字是个不错的主意。

为简洁起见,我已经省略了所有API共有的URL前缀。作为沟通方式这没什么问题,但是如果你真要写到API文档中,那就必须包含完整的路径(如,GET http://api.example.com/v1/animal_type/ATID)。

展示数据之间的关系,特别是雇员与动物园之间多对多关系。通过添加一个额外的URL段就可以实现更多的交互能力。当然没有HTTP方法能表示正在解雇一个人,但可以用DELETE一个动物园里的雇员来表示。

  • 过滤器

当客户端创建一个请求来获取一个对象列表,必须要返回给一个符合查询条件的所有对象的列表。这个列表可能很大。但你不能随意给返回数据的数量做限制,因为限制会导致第三方开发者不知道发生了什么。如果他们请求一个确切的集合并且要遍历结果,然而他们发现只拿到了100条数据。接下来他们就不得不去查找这个限制条件的出处。到底是ORM的bug导致的,还是因为网络截断了大数据包?

尽可能减少会影响到第三方开发者的限制,这点很重要,但可以让客户端自己对结果做一些具体的过滤或限制。这么做最重要的一个原因是可以最小化网络传输,并让客户端尽快的得到查询结果。

其次是客户端可能比较懒,如果这时服务器能对结果做一些过滤或分页,对大家都是好事。另外一个不那么重要的原因是(从客户端角度来说),对服务器来说响应请求的负载越少越好。

过滤器是最有效的方式去处理那些获取资源集合的请求。所以只要出现GET的请求,就应该通过URL来过滤信息。以下有一些过滤器的例子,可能是你想要填加到API中的:

?limit=10: 减少返回给客户端的结果数量(用于分页) ?offset=10: 发送一堆信息给客户端(用于分页) ?animal_type_id=1: 使用条件匹配来过滤记录 ?sortby=name&order=asc: 对结果按特定属性进行排序

有些过滤器可能会与端点URL的效果重复。例如我之前提到的GET /zoo/ZID/animals。

它也同样可以通过GET /animals?zoo_id=ZID来实现。 独立的端点会让客户端更好过一些,因为他们的需求往往超出你的预期。本文中提到这种冗余差异可能对第三方开发者并不可见。

无论怎么样,当准备过滤或排序数据时,必须明确的将那些可以过滤或排序的数据字段放到白名单中,因为我们不想将任何的数据库错误发送给客户端。

  • 状态码

RESTful API使用HTTP的状态码至关重要,因为它们是HTTP的标准。很多的网络设备都可以识别这些状态码,例如某台服务器已经发送了很多50x错误回来,负载均衡器可能会通过配置来避免继续发送请求到这台服务器上。

  • 预期的返回文档

使用不同的HTTP方法向服务器请求时,客户端需要在返回结果里拿到一系列的信息。下面的列表是非常经典的RESTful API定义:

GET /collection: 返回一系列资源对象 GET /collection/resource: 返回单独的资源对象 POST /collection: 返回新创建的资源对象 PUT /collection/resource: 返回完整的资源对象 PATCH /collection/resource: 返回完整的资源对象 DELETE /collection/resource: 返回一个空文档

当一个客户端创建一个资源时,它往往不知道新建资源ID(也许还有其他的属性,如创建和修改的时间戳等)。这些属性将在随后的请求中返回,并且作为刚才POST请求的一个响应结果。

  • 认证 服务器在大多数情况下是想确切的知道谁创建了什么请求。当然,有些API是提供给公共用户(匿名用户)的,但是大部分时间里也是代表某人个用户。

OAuth2.0提供了一个非常好的方式去处理这种问题。在每个请求里,可以明确知道哪个客户端创建了请求,哪个用户提交了请求,并且提供了一种标准的访问过期机制或允许用户从客户端注销,所有这些都不需要第三方的客户端知道用户的登陆认证信息。

还有OAuth1.0和xAuth同样适用这种场景。无论选择哪个方法,请确保它为多种不同语言/平台上的库提供了一些通用的并且设计良好文档,因为你的用户可能会使用这些语言和平台来编写客户端。

  • Content Type(内容类型)

目前,大多数“精彩”的API都为RESTful接口提供JSON数据。诸如Facebook,Twitter,Github等等你所知的。XML曾经也火过一把(通常在一个大企业级环境下)。这要感谢SOAP,不过它已经挂了,并且我们也没看到太多的API把HTML作为结果返回给客户端(除非你在构建一个爬虫程序)。

只要你返回给他们有效的数据格式,开发者就可以使用流行的语言和框架进行解析。如果你正在构建一个通用的响应对象,通过使用一个不同的序列化器,你也可以很容易的提供之前所提到的那些数据格式(不包括SOAP)。而你所要做的就是把使用方式放在响应数据的接收头里面。

有些API的创建者会推荐把.json, .xml, .html等文件的扩展名放在URL里面来指示返回内容类型,但我个人并不习惯这么做。我依然喜欢通过接收头来指示返回内容类型(这也是HTTP标准的一部分),并且我觉得这么做也比较友好。

  • 超媒体API

超媒体API很可能就是RESTful API设计的将来。超媒体是一个非常棒的概念,它回归到了HTTP和HTML如何运作的“本质”。

在非超媒体RESTful API的情景中,URL端点是服务器与客户端契约的一部分。这些端点必须让客户端事先知道,并且修改它们也意味着客户端可能再也无法与服务器通信了。你可以先假定这是一个限制。

时至今日,英特网上的API客户端已不仅仅只有那些创建HTTP请求的用户代理了。大多数HTTP请求是由人们通过浏览器产生的。人们不会被哪些预先定义好的RESTful API端点URL所束缚。是什么让人们变的如此与众不同?因为人们可以阅读内容,可以点击他们感兴趣的链接,并浏览一下网站,然后跳到他们关注的内容那里。即使一个URL改变了,人们也不会受到影响(除非他们事先给某个页面做了书签,这时他们回到主页并发现原来有一条新的路径可以去往之前的页面)。

超媒体API概念的运作跟人们的行为类似。通过请求API的根来获得一个URL的列表,这个列表里面的每一个URL都指向一个集合,并且提供了客户端可以理解的信息来描述每一个集合。是否为每一个资源提供ID并不重要(或者不是必须的),只要提供URL即可。

一个超媒体API一旦具有了客户端,那么它就可以爬行链接并收集信息,而URL总是在响应中被更新,并且不需要如契约的一部分那样事先被知晓。如果一个URL曾经被缓存过,并且在随后的请求中返回404错误,那么客户端可以很简单的回退到根URL并重新发现内容。

在获取集合中的一个资源列表时会返回一个属性,这个属性包含了各个资源的完整URL。当实施一个POST/PATCH/PUT请求后,响应可以被一个3xx的状态码重定向到完整的资源上。

JSON不仅告诉了我们需要定义哪些属性作为URL,也告诉了我们如何将URL与当前文档关联的语义。正如你猜的那样,HTML就提供了这样的信息。我们很欣慰看到我们的API走过了完整的周期,并回到了处理HTML上来。想一下我们与CSS一起前行了多远,有一天我们可能再次看到它变成了一个通用实践让API和网站可以去使用相同的URL和内容。

  • 文档

老实说,即使你不能完全遵循指南中的条款,你的API也不会那么糟糕。但是,如果你不为API准备文档的话,没有人会知道怎么使用它,那它真的会成为一个糟糕的API。

让你的文档对那些未经认证的开发者也可用,不要使用文档自动化生成器,即便你用了,你也要保证自己审阅过并让它具有更好的版式。 不要截断示例中请求与响应的内容,要展示完整的东西。并在文档中使用高亮语法。 文档化每一个端点所预期的响应代码和可能的错误消息,和在什么情况下会产生这些的错误消息。

如果时间充足,那就创建一个控制台来让开发者可以立即体验一下API的功能。创建一个控制台并没有想象中那么难,并且开发者们(内部或者第三方)也会因此而欣赏你。

另外确保你的文档能够被打印。CSS是个强大的工具可以帮助到你。而且在打印的时候也不用太担心边侧栏的问题。即便没有人会打印到纸上,你也会惊奇的发现很多开发者愿意转化成PDF格式进行离线阅读。

  • 勘误:原始的HTTP封包

因为上述都是基于HTTP协议,所以我将展示给你一个解析后的HTTP包。我很惊讶的发现,大部分人不知道这些东西。当客户端发送一个请求到服务器时,他们会提供一个键值对集,先是一个头,紧跟着是两个回车换行符,然后才是请求体。所有这些都是在一个封包里被发送。

服务器响应也是同样的键值对集,带两个回车换行符,然后是响应体。HTTP就是一个请求/响应协议;它不支持“推送”模式(服务器直接发送数据给客户端),除非你采用其他协议,如Websocket。

当你设计API时,你应该能够使用工具去查看原始的HTTP包。Wireshark是个不错的选择。同时,你也该采用一个框架/web服务器,使你能够在必要时修改某些字段的值。

Example HTTP Request
POST /v1/animal HTTP/1.1
Host: api.example.org
Accept: application/json
Content-Type: application/json
Content-Length: 24
{
"name": "Gir",
"animal_type": 12
}
Example HTTP Response
HTTP/1.1 200 OK
Date: Wed, 18 Dec 2013 06:08:22 GMT
Content-Type: application/json
Access-Control-Max-Age: 1728000
Cache-Control: no-cache
{
"id": 12,
"created": 1386363036,
"modified": 1386363036,
"name": "Gir",
"animal_type": 12
}