• 什么是REST API


    前言

    什么是REST API?REST是Representational State Transfer(表现层状态转移)的缩写 - 对最常用的网络服务技术几乎是毫无意义的描述。REST API是两个计算机系统在web浏览器和服务器中使用HTTP技术进行通信的一种方式。

    在两个或多个系统之间共享数据一直是软件开发的一个基本要求。比如说,考虑购买汽车保险。你的保险公司必须获得关于你和你的车辆的信息,所以他们要求从汽车登记机构、信贷机构、银行和其他系统获得数据。所有这些都是实时透明地发生的,以确定保险公司是否能提供一个有竞争力的保单。

    API(应用程序接口)通过为系统之间的对话提供接口来帮助这种类型的通信。REST只是一种被广泛采纳的API风格,我们用它来与内部和外部以一种一致的和可预测的方式进行沟通。它可以比作我们以前寄信时用邮票、地址和信封的方式,以确保信件被送达和阅读。

    REST是人们在web系统中常用的交互方式。例如,在一个社交媒体应用中检索和更新账户信息。

    REST API示例

    在你的浏览器中打开以下链接,从Open Trivia Database中请求一个随机的计算机问题:

    https://opentdb.com/api.php?amount=1&category=18

    这是一个作为RESTful网络服务实现的公共API(它遵循REST公约)。你的浏览器将展示一个单独的JSON格式的问答问题,并附有答案。比如说:

    {
      "response_code": 0,
      "results": [
        {
          "category": "Science: Computers",
          "type": "multiple",
          "difficulty": "easy",
          "question": "What does GHz stand for?",
          "correct_answer": "Gigahertz",
          "incorrect_answers": [
            "Gigahotz",
            "Gigahetz",
            "Gigahatz"
          ]
        }
      ]
    }
    

    你可以使用任意HTTP客户端,来请求同样的URL并得到响应,比如使用curl

    curl "https://opentdb.com/api.php?amount=1&category=18"
    

    HTTP客户端库可以在所有流行的语言和运行时中使用,包括JavaScript、Node.js和Deno中的Fetch以及PHP中的file_get_contents()。JSON响应是机器可读的,因此可以在输出HTML或其他格式之前被进行解析和使用。

    REST APIs和Rest

    多年来,各种数据通信标准已经发展起来。你可能遇到过的选择包括CORBASOAP,或者 XML-RPC。大多数都确定了严格的消息传递规则。

    REST是由Roy Fielding在2000年定义的,比其他的要简单得多。它不是一个标准,而是一套关于RESTful网络服务的建议和约束。其中包括:

    • 客户服务器分离模式(Client-Server):系统A向系统B托管的URL发出HTTP请求,并返回一个响应。这与浏览器的工作方式相同。浏览器对一个特定的URL发出请求,该请求被转发到一个web服务器,该服务器通常返回一个HTML页面。该页面可能包含对图片、样式表和JavaScript的引用,从而产生进一步的请求和响应。
    • 无状态(Stateless):REST是无状态的:客户端请求应该包含响应所需的所有信息。换句话说,应该可以按照任何顺序发出两个或更多的HTTP请求,并且会收到相同的响应(除非API被设计为返回随机响应)。
    • 可缓存(Cacheable):响应应该被定义为可缓存或不可缓存。缓存可以提高性能,因为没有必要为同一个URL重新生成一个响应。在某个时间段特定于某个用户的私人数据通常不会被缓存。
    • 分层(Layered):请求的客户端不需要知道它是否在与实际的服务器、代理或任何其他中间人进行通信。

    创建RESTful网络服务

    一个RESTful网络服务请求包括:

    1. 端点URL。实现RESTful API的应用程序将定义一个或多个带有域名、端口、路径、和/或查询字符串的URL端点,例如,https://mydomain/user/123?format=json

    2. HTTP方法。不同的HTTP方法可以在任何端点上使用,这些方法映射到应用程序的创建、读取、更新和删除(CRUD)操作:

      HTTP方法 CRUD 行为
      GET 读取 返回请求数据
      POST 创建 创建一个新记录
      PUT 或者 PATCH 更新 更新已存在的记录
      DELETE 删除 删除已存在的记录

      比如:

      • /user/的GET请求返回系统中的注册用户列表。
      • /user/的POST请求使用body对象创建了一个ID为123的用户。该响应会返回ID。
      • /user/123的PUT请求使用body对象更新用户123
      • /user/123的GET请求返回用户123的详情。
      • /user/123的DELETE请求删除用户123
    3. HTTP头部。认证令牌或cookies等信息可以包含在HTTP请求头中。

    4. Body对象。数据通常在HTTP主体中传输,该方式与HTML

      提交或者发送单独的JSON编码的数据字符串等方式相同。

    API-Request.png

    REST API响应

    响应的有效负载可以是任何实用的东西:数据、HTML、图像、音频文件等等。数据响应通常是JSON编码,但也可以使用XML,CSV,简单字符串或任何其他格式。你可以允许在请求中指定返回格式。比如说,/user/123?format=json 或者 /user/123?format=xml

    还应该在响应头中设置适当的HTTP状态码200 OK用于成功的请求,尽管当记录被创建时也可以返回201 Created 。当发生错误时应该返回适当的状态码,比如说400 Bad Request404 Not Found401 Unauthorized等等。

    其他HTTP头部可以被设置包括Cache-ControlExpires,以指定响应在被视为过期之前可以缓存多长时间。

    然而,并没有严格的规则。端点URL、HTTP方法、body对象和响应类型可以随心所欲地实现。例如,POST、PUT和PATCH通常可以互换使用,如有必要任何一个都可以用来创建或更新记录。

    Hello World示例

    下面的Node.js代码使用Express框架创建了一个RESTful网络服务。一个单一的/hello/端点对HTTP GET请求作出响应。

    确保已安装Node.js,创建名为restapi的新文件夹。在该文件夹中创建一个新的package.json文件,内容如下:

    {
      "name": "restapi",
      "version": "1.0.0",
      "description": "REST test",
      "scripts": {
        "start": "node ./index.js"
      },
      "dependencies": {
        "express": "4.18.1"
      }
    }
    

    在命令行中运行npm install 来拉取依赖,然后创建index.js文件,包括以下代码:

    // simple Express.js RESTful API
    'use strict';
    
    // initialize
    const
      port = 8888,
      express = require('express'),
      app = express();
    
    // /hello/ GET request
    app.get('/hello/:name?', (req, res) =>
      res.json(
        { message: `Hello ${req.params.name || 'world'}!` }
      )
    );
    
    // start server
    app.listen(port, () =>
      console.log(`Server started on port ${port}`);
    );
    

    使用npm start从命令行启动该应用程序,并在浏览器中打开http://localhost:8888/hello/。响应GET请求时,会显示以下JSON:

    {
      "message": "Hello world!"
    }
    

    API也允许自定义名字,因此http://localhost:8888/hello/everyone/会返回:

    {
      "message": "Hello everyone!"
    }
    

    客户端REST请求和CORS

    考虑在浏览器中启动以下HTML页面,URL是http://localhost:8888/

    html>
    <html lang="en">
    <head>
    <meta charset="UTF-8">
    <title>REST testtitle>
    head>
    <body>
    <script>
    fetch('http://localhost:8888/hello/')
      .then((response) => {
        return response.json();
      })
      .then((json) => {
        console.log(json);
      });
    script>
    body>
    html>
    

    fetch调用发出同样的API请求,浏览器控制台显示{ message: "Hello world!" },正如你所期望的那样。

    然而,假设你的RESTful网络服务现在被放在网络上,域名是http://mydomain.com/hello/。页面的JavaScript fetch()URL也相应地改变了,但在浏览器中打开http://localhost:8888/,现在会返回控制台错误Cross-Origin Request Blocked

    为了安全起见,浏览器只允许客户端的XMLHttpRequestFetch API 调用页面所在的同域请求。

    幸运的是,跨源资源共享(CORS)使我们能够规避这一安全限制。设置Access-Control-Allow-OriginHTTP响应头来告诉浏览器允许该请求。它可以设置为一个特定的域,或者设置为所有的域*

    可以更改网络服务器API代码,以允许运行在任何域名的任何客户端脚本进行访问:

    // /hello/ GET request
    app.get('/hello/:name?', (req, res) =>
      res
        .append('Access-Control-Allow-Origin', '*')
        .json(
          { message: `Hello ${req.params.name || 'world'}!` }
        )
    );
    

    或者,Express.js中间件函数可以将头部附加到每个端点请求:

    // enable CORS
    app.use((req, res, next) => {
      res.append('Access-Control-Allow-Origin', '*');
      next();
    });
    
    // /hello/ GET request
    // ...
    

    注意,浏览器向REST API发出两个请求:

    1. 对同一URL的HTTP OPTIONS请求确定Access-Control-Allow-Origin HTTP响应头是否有效。
    2. 实际的REST调用。

    当你的服务器收到一个OPTIONS请求方法时,它可以设置Access-Control-Allow-Origin HTTP响应头返回一个假的空响应,以确保工作不被重复。

    REST API挑战

    REST的成功很大程度上归功于它的简单性。开发人员可以自由地实现RESTful API,但这可能会导致进一步的挑战。要深入了解实现策略,请看13个构建RESTful API的最佳实践

    端点共识

    考虑下面的端点:

    • /user/123
    • /user/id/123
    • /user/?id=123

    所有这些都是为用户123获取数据的有效选项。当你有更复杂的操作时,组合的数量会进一步增加。

    归根结底,你如何格式化URL并不重要,但整个API的一致性很重要。这对有许多开发人员的大型代码库来说是个挑战。

    REST API版本控制

    API的变化是不可避免的,但端点的URL永远不应该失效,否则会破坏使用它们的应用程序。

    为了避免兼容性问题,API通常是有版本的。例如,/2.0/user/123取代了/user/123。新的和旧的端点都可以保持活跃。不幸的是,这样就有必要维护多个历史API。旧的版本最终可以被废弃,但整个过程需要仔细规划。

    REST API认证

    上面显示的测试API是开放的:任何系统都可以在未经授权的情况下获取数据。这对于访问私有数据或允许更新和删除请求的API是不可行的。

    与RESTful API处于同域的客户端应用程序将像其他HTTP请求一样发送和接收cookies。(请注意,旧版浏览器中的Fetch()需要设置credentials初始选项)。因此,一个API请求可以被验证,以确保一个用户已经登录并拥有适当的权限。

    第三方应用程序必须使用替代的授权方法。常见的认证选项包括:

    • HTTP基本身份验证。在请求头中传递一个包含base64编码的username:password字符串的 HTTPAuthorization头。因为base64很容易被解码,基本(Basic)认证应该只和其他安全机制一起使用,比如HTTPS/SSL。
    • API密钥。第三方应用程序通过发布一个密钥来获得使用API的许可,这个密钥可能有特定的权限或被限制在一个特定的域。密钥在每个请求中的HTTP头或查询字符串中被传递。
    • OAuth。在发出任何请求之前,通过向OAuth服务器发送一个客户ID和可能的客户秘密,获得一个令牌。然后,OAuth令牌会随每个API请求一起发送,直到过期。
    • JSON Web Tokens (JWT)。数字签名的认证令牌在请求和响应头中安全地传输。JWT允许服务器对访问权限进行编码,因此不需要调用数据库或其他授权系统。

    API身份验证将根据使用上下文而有所不同:

    • 在某些情况下,第三方应用程序被视为像任何其他具有特定权利和权限的登录用户。例如,一个地图API可以将两点之间的方向返回给调用的应用程序。它必须确认该应用程序是一个有效的客户端,但不需要检查用户凭证。
    • 在其他情况下,第三方应用程序正在请求用户的私有数据,如电子邮件内容。REST API必须识别用户和他们的权利,但它可能不关心哪个应用程序在调用API。

    REST API安全性

    RESTful API提供了另一种访问和操作你的应用程序的途径。即使它不是一个引人注目的黑客目标,一个行为不良的客户端也可能每秒发送数以千计的请求,并使你的服务器崩溃。

    安全性超出了本文的范围,但常见的最佳实践包括:

    • 使用HTTPS。
    • 使用健壮的身份验证方法。
    • 使用CORS来限制客户端对特定域的调用。
    • 提供最少的功能,也就是不要创建不需要的DELETE选项。
    • 验证所有端点URL和body对象。
    • 避免在客户端JavaScript中暴露API令牌。
    • 阻止来自未知域名或IP地址的访问。
    • 阻止意外的大型有效负载。
    • 考虑速率限制,也就是使用同一API令牌或IP地址的请求被限制在每分钟N个以内。
    • 以适当的HTTP状态代码和缓存头进行响应。
    • 记录请求并调查失败情况。

    多个请求和不必要的数据

    RESTful APIs受到其实现的限制。响应可能包含比你需要的更多的数据,或者需要进一步的请求来访问所有数据。

    考虑一个RESTful API,它提供对作者和书籍数据的访问。为了显示前10名畅销书的数据,客户端可以:

    • 请求按销售量数量订购的前10/book/的详细信息(最畅销的在前)。响应包含有每个作者ID的书籍列表。
    • 最多组成10个/author/{id}请求以获取每个作者的详细信息。

    这被称为N+1问题;必须为父请求中的每个结果提出N个API请求。

    为了避免不必要的大的响应,可以调整API使作者的细节是可选的。例如,?author_details=full。API作者需要满足的选项的数量可能会变得令人困惑。

    GraphQL是否更好?

    REST的难题导致Facebook创建了GraphQL--一种网络服务查询语言。把它看作是网络服务的SQL:一个单一的请求定义了你所需要的数据以及你希望它如何返回。

    GraphQL解决了RESTful APIs带来的一些挑战,尽管它引入了其他挑战。例如,很难对GraphQL响应进行缓存。

    你的客户不太可能有与Facebook类似的问题,所以一旦RESTful API发展到超出其实际限制时,GraphQL可能值得考虑。

    REST API链接和开发工具

    有许多工具可以帮助所有语言的RESTful API开发。值得注意的选项包括:

    • Swagger:帮助设计、记录、模拟、测试和监控REST APIs的各种工具。
    • Postman:一个RESTful API测试应用程序。
    • Hoppscotch:一个开源的、基于web的Postman替代品。

    还有大量的公共REST API,集合了笑话、货币转换、地理编码、政府数据以及你能想到的每一个主题。许多是免费的,尽管有些需要你注册一个API密钥或使用其他认证方法。分类列表包括:

    在实现你自己的网络服务之前,在你自己的项目中尝试使用一些RESTful API。或者考虑跟随Facebook、GitHub、Google和其他许多巨头的脚步,建立一个属于自己的RESTful API。

    下一篇文章中,会翻译分享13个构建RESTful API的最佳实践,欢迎关注。

    以上就是全部内容,如果对你有所帮助,欢迎点赞收藏转发~

  • 相关阅读:
    银河麒麟服务器系统使用的一些问题和解决方案
    公开透明,是OKR实践中的第一个改变
    FPGA零基础学习:半导体存储器和可编程逻辑器件简介
    滥用出资人权利的后果是什么
    Vue学习第21天——插槽slot的理解及案例
    算法基础实验OJ—树的遍历
    Iphone文件传到电脑用什么软件,看这里
    Java输入开始时间和结束输出全部对应的年月、年份、日期
    C++使用TinyXml(开源库)读取*.XMl文件
    docker快速安装redis,mysql,minio,nacos等常用软件【持续更新】
  • 原文地址:https://www.cnblogs.com/chuckQu/p/16717542.html