bGZo's Notes

REST接口设计规范

25 min read

REST接口设计规范

随遇而安

Subscribe

Code

REST接口设计规范

David Wang

2015年11月10日 • 17 min read

URI格式规范

  • URI(Uniform Resource Identifiers) 统一资源标示符
  • URL(Uniform Resource Locator) 统一资源定位符

URI的格式定义如下:
URI = scheme "://" authority "/" path [ "?" query ] [ "#" fragment ]

URL是URI的一个子集(一种具体实现),对于REST API来说一个资源一般对应一个唯一的URI(URL)。在URI的设计中,我们会遵循一些规则,使接口看起透明易读,方便使用者调用。

  • 关于分隔符“/”的使用

”/“分隔符一般用来对资源层级的划分,例如
http://api.canvas.restapi.org/shapes/polygons/quadrilaterals/squares

对于REST API来说,”/“只是一个分隔符,并无其他含义。为了避免混淆,”/“不应该出现在URL的末尾。例如以下两个地址实际表示的都是同一个资源:
http://api.canvas.restapi.org/shapes/
http://api.canvas.restapi.org/shapes

REST API对URI资源的定义具有唯一性,一个资源对应一个唯一的地址。为了使接口保持清晰干净,如果访问到末尾包含 ”/” 的地址,服务端应该301到没有 ”/“的地址上。当然这个规则也仅限于REST API接口的访问,对于传统的WEB页面服务来说,并不一定适用这个规则。

  • URI中尽量使用连字符”-“代替下划线”_“的使用

连字符”-“一般用来分割URI中出现的字符串(单词),来提高URI的可读性,例如:
http://api.example.restapi.org/blogs/mark-masse/entries/this-is-my-first-post

使用下划线""来分割字符串(单词)可能会和链接的样式冲突重叠,而影响阅读性。但实际上,”-“和” “对URL中字符串的分割语意上还是有些差异的:”-“分割的字符串(单词)一般各自都具有独立的含义,可参见上面的例子。而”_“一般用于对一个整体含义的字符串做了层级的分割,方便阅读,例如你想在URL中体现一个ip地址的信息:210_110_25_88 .

  • URI中统一使用小写字母

根据RFC3986定义,URI是对大小写敏感的,所以为了避免歧义,我们尽量用小写字符。但主机名(Host)和scheme(协议名称:http/ftp/…)对大小写是不敏感的。

  • URI中不要包含文件(脚本)的扩展名

例如 .php .json 之内的就不要出现了,对于接口来说没有任何实际的意义。如果是想对返回的数据内容格式标示的话,通过HTTP Header中的Content-Type字段更好一些。

资源的原型

  • 文档(Document)

文档是资源的单一表现形式,可以理解为一个对象,或者数据库中的一条记录。在请求文档时,要么返回文档对应的数据,要么会返回一个指向另外一个资源(文档)的链接。以下是几个基于文档定义的URI例子:
http://api.soccer.restapi.org/leagues/seattle http://api.soccer.restapi.org/leagues/seattle/teams/trebuchet http://api.soccer.restapi.org/leagues/seattle/teams/trebuchet/players/mike

  • 集合(Collection)

集合可以理解为是资源的一个容器(目录),我们可以向里面添加资源(文档)。例如:
http://api.soccer.restapi.org/leagues http://api.soccer.restapi.org/leagues/seattle/teams http://api.soccer.restapi.org/leagues/seattle/teams/trebuchet/players

  • 仓库(Store)

仓库是客户端来管理的一个资源库,客户端可以向仓库中新增资源或者删除资源。客户端也可以批量获取到某个仓库下的所有资源。仓库中的资源对外的访问不会提供单独URI的,客户端在创建资源时候的URI除外。例如:
PUT /users/1234/favorites/alonso
上面的例子我们可以理解为,我们向一个id是1234的用户的仓库(收藏夹)中,添加了一个名为alonso的资源。通俗点儿说:就是用户收藏了一个自己喜爱的球员阿隆索。

  • 控制器(Controller)

控制器资源模型,可以执行一个方法,支持参数输入,结果返回。 是为了除了标准操作:增删改查(CRUD)以外的一些逻辑操作。控制器(方法)一般定义子URI中末尾,并且不会有子资源(控制器)。例如我们向用户重发ID为245743的消息:
POST /alerts/245743/resend

URI命名规范

  • 文档(Document)类型的资源用名词(短语)单数 命名
  • 集合(Collection)类型的资源用名词(短语)复数 命名
  • 仓库(Store)类型的资源用名词(短语)复数 命名
  • 控制器(Controller)类型的资源用**动词(短语)**命名
  • URI中有些字段可以是变量,在实际使用中可以按需替换

例如一个资源URI可以这样定义:
http://api.soccer.restapi.org/leagues/{leagueId}/teams/{teamId}/players/{playerId}
其中:leagueId,teamId,playerId 是变量(数字,字符串都类型都可以)。

  • CRUD 的操作不要体现在URI中,HTTP协议中的操作符已经对CRUD做了映射。

CRUD是创建,读取,更新,删除这四个经典操作的简称
例如删除的操作用REST规范执行的话,应该是这个样子:
DELETE /users/1234

以下是几个错误的示例:
GET /deleteUser?id=1234
GET /deleteUser/1234
DELETE /deleteUser/1234
POST /users/1234/delete

URI的query字段

http://api.college.restapi.org/students/morgan/send-sms
http://api.college.restapi.org/students/morgan/send-sms?text=hello

以上的两个URI看起来很像,但实际的含义是有差别的。第一个URI是一个发送消息的Controller类型的API,第二个URI是发送一个text的内容是hello的消息。

在REST中,query字段一般作为查询的参数补充,也可以帮助标示一个唯一的资源。但需要注意的是,作为一个提供查询功能的URI,无论是否有query条件,我们都应该保证结果的唯一性,一个URI对应的返回数据是不应该被改变的(在资源没有修改的情况下)。HTTP中的缓存也可能缓存查询结果,这个也是我们需要知道的。

  • Query参数可以作为Collection或Store类型资源的过滤条件来使用

例如:
GET /users //返回所有用户列表
GET /users?role=admin //返回权限为admin的用户列表

  • Query参数可以作为Collection或Store资源列表分页标示使用

如果是一个简单的列表操作,可以这样设计:
GET /users?pageSize=25&pageStartIndex=50
如果是一个复杂的列表或查询操作的话,我们可以为资源设计一个Collection,因为复杂查询可能会涉及比较多的参数,建议使用Post的方式传入,例如这样:
POST /users/search

HTTP交互设计

HTTP请求方法的使用

  • GET 方法用来获取资源
  • PUT 方法可用来新增/更新Store类型的资源
  • PUT 方法可用来更新一个资源
  • POST 方法可用来创建一个资源
  • POST 方法可用来触发执行一个Controller类型资源
  • DELETE 方法用于删除资源

一旦资源被删除,GET/HEAD方法访问被删除的资源时,要返回404
DELETE是一个比较纯粹的方法,我们不能对其做任何的重构或者定义,不可附加其它状态条件,如果我们希望”软”删除一个资源,则这种需求应该由Controller类资源来实现。

HTTP响应状态码的使用

  • 200 (“OK”) 用于一般性的成功返回,不可用于请求错误返回
  • 201 (“Created”) 资源被创建
  • 202 (“Accepted”) 用于Controller控制类资源异步处理的返回,仅表示请求已经收到。对于耗时比较久的处理,一般用异步处理来完成
  • 204 (“No Content”) 此状态可能会出现在PUT、POST、DELETE的请求中,一般表示资源存在,但消息体中不会返回任何资源相关的状态或信息。
  • 301 (“Moved Permanently”) 资源的URI被转移,需要使用新的URI访问
  • 302 (“Found”) 不推荐使用,此代码在HTTP1.1协议中被303/307替代。我们目前对302的使用和最初HTTP1.0定义的语意是有出入的,应该只有在GET/HEAD方法下,客户端才能根据Location执行自动跳转,而我们目前的客户端基本上是不会判断原请求方法的,无条件的执行临时重定向
  • 303 (“See Other”) 返回一个资源地址URI的引用,但不强制要求客户端获取该地址的状态(访问该地址)
  • 304 (“Not Modified”) 有一些类似于204状态,服务器端的资源与客户端最近访问的资源版本一致,并无修改,不返回资源消息体。可以用来降低服务端的压力
  • 307 (“Temporary Redirect”) 目前URI不能提供当前请求的服务,临时性重定向到另外一个URI。在HTTP1.1中307是用来替代早期HTTP1.0中使用不当的302
  • 400 (“Bad Request”) 用于客户端一般性错误返回, 在其它4xx错误以外的错误,也可以使用400,具体错误信息可以放在body中
  • 401 (“Unauthorized”) 在访问一个需要验证的资源时,验证错误
  • 403 (“Forbidden”) 一般用于非验证性资源访问被禁止,例如对于某些客户端只开放部分API的访问权限,而另外一些API可能无法访问时,可以给予403状态
  • 404 (“Not Found”) 找不到URI对应的资源
  • 405 (“Method Not Allowed”) HTTP的方法不支持,例如某些只读资源,可能不支持POST/DELETE。但405的响应header中必须声明该URI所支持的方法
  • 406 (“Not Acceptable”) 客户端所请求的资源数据格式类型不被支持,例如客户端请求数据格式为application/xml,但服务器端只支持application/json
  • 409 (“Conflict”) 资源状态冲突,例如客户端尝试删除一个非空的Store资源
  • 412 (“Precondition Failed”) 用于有条件的操作不被满足时
  • 415 (“Unsupported Media Type”) 客户所支持的数据类型,服务端无法满足
  • 500 (“Internal Server Error”) 服务器端的接口错误,此错误于客户端无关

原数据设计

HTTP Headers

  • Content-Type 标示body的数据格式
  • Content-Length body 数据体的大小,客户端可以根据此标示检验读取到的数据是否完整,也可以通过Header判断是否需要下载可能较大的数据体
  • Last-Modified 用于服务器端的响应,是一个资源最后被修改的时间戳,客户端(缓存)可以根据此信息判断是否需要重新获取该资源
  • ETag 服务器端资源版本的标示,客户端(缓存)可以根据此信息判断是否需要重新获取该资源,需要注意的是,ETag如果通过服务器随机生成,可能会存在多个主机对同一个资源产生不同ETag的问题
  • Store类型的资源要支持有条件的PUT请求

假设有两个客户端client#1/#2都向一个Store资源提交PUT请求,服务端是无法清楚的判断是要insert还是要update的,所以我们要在header中加入条件标示if-Match,If-Unmodified-Since 来明确是本次调用API的意图。例如:

client#1第一次向服务端发起一个请求 PUT /objects/2113 此时2113资源还不存在,那服务端会认为本次请求是一个insert操作,完成后,会返回 201 (“Created”)

client#2再一次向服务端发起同一个请求 PUT /objects/2113 时,因2113资源已存在,服务端会返回 409 (“Conflict”)

为了能让client#2的请求成功,或者说我们要清楚的表明本次操作是一次update操作,我们必须在header中加入一些条件标示,例如 if-Match。我们需要给出资源的ETag(if-Match:Etag),来表明我们希望更新资源的版本,如果服务端版本一致,会返回200 (“OK”) 或者 204 (“No Content”)。如果服务端发现指定的版本与当前资源版本不一致,会返回 412 (“Precondition Failed”)

  • Location 在响应header中使用,一般为客户端感兴趣的资源URI,例如在成功创建一个资源后,我们可以把新的资源URI放在Location中,如果是一个异步创建资源的请求,接口在响应202 (“Accepted”)的同时可以给予客户端一个异步状态查询的地址

  • Cache-Control, Expires, Date 通过缓存机制提升接口响应性能,同时根据实际需要也可以禁止客户端对接口请求做缓存。对于REST接口来说,如果某些接口实时性要求不高的情况下,我们可以使用max-age 来指定一个小的缓存时间,这样对客户端和服务器端双方都是有利的。一般来说只对GET方法且返回200的情况下使用缓存,在某些情况下我们也可以对返回3xx或者4xx的情况下做缓存,可以防范错误访问带来的负载。

  • 我们可以自定义一些头信息,作为客户端和服务器间的通信使用,但不能改变HTTP方法的性质。自定义头尽量简单明了,不要用body中的信息对其作补充说明。

数据媒体类型(Media Type)

定义如下:

Content-Type: type "/" subtype *( ";" parameter )
两个实例:
Content-type: text/html; charset=ISO-8859-4
Content-type: text/plain; charset="us-ascii"

type 主类型一般为:application, audio, image, message, model, multipart, text, video。REST接口的主类型一般使用application

数据媒体类型(Media Type)设计

  • 设计上来说,服务器端可以支持多种媒体类型

  • 可以通过URI的查询字段来指定客户端希望的数据类型

    GET /bookmarks/mikemassedotcom?accept=application/xml

数据媒体格式的设计

body的媒体格式

  • json是一种流行且轻便友好的格式,json是一种无序的键值对的集合,其中key是需要用双引号引起来的,value如果是数字可以不用双引号,如果是非数字的格式需要使用双引号。

    这是一个json格式的例子: { “firstName” : “Osvaldo”, “lastName” : “Alonso”, “firstNamePronunciation” : “ahs-VAHL-doe”, “number” : 6, “birthDate” : “1985-11-11” }

  • json是允许大小写混用命名的,但要避免使用特殊符号

  • 除了json我们也可以使用其他常用的格式,例如xml,html等

  • body本身只应包含资源相关的信息,不要附加其它传输状态的信息

错误响应描述

  • 错误信息的格式应该保持一致,例如用以下方式(json格式):

    { “id” : Text, //错误唯一标示id “description” : Text //错误具体描述 }

    如果有多个错误,可以用json数组来描述: { “elements” : [ { “id” : “Update Failed”, “description” : “Failed to update /users/1234” } ] }

  • 错误类型需要保持统一

客户端关注的问题

接口版本管理

  • 一个资源,只用一种单一的URI来标示,资源的版本不应该体现在URI中
  • 资源的版本是可以由客户端来指定的,并且提供向后兼容
  • ETag可以用来管理资源的版本,有助于客户端缓存的应用

接口的安全

  • 使用OAuth认证,对敏感资源保护
  • 使用API管理策略,或管理平台(Apigee, Mashery)

接口数据响应的结构

JavaScript客户端

目前主流的浏览器对JavaScript的支持越来越完善,因此对于WEB应用来说,我们完全可以把客户单看成一个JavaScript客户端。

  • 一般浏览器对于跨域的操作都有一定的安全策略,通常我们可以使用JSONP来解决跨域接口访问的限制
  • 通过CORS(Cross-Origin Resource Sharing)来解决跨域访问,此方法与JSONP相比,支持更多的方法,JSONP只能用于GET请求, 一般现代的浏览器会支持CORS的方式

本文内容参考/引用于:
Mark.Masse《REST.API.Design.Rulebook》

Sign up for more like this.

Enter your email Subscribe

Ghost开启Https后重复重定向无法访问的问题 Ghost开启Https支持,除了Nginx的配置外,还需要修改 config.production.json 配置文件中 url 的配置项。 重启Ghost后出现了访问页面会重复重定向301的问题,造成页面无法访问。经查,和以下的Nginx配置有关,需要额外添加一条 proxy_set_header X-Forwarded-Proto scheme 的配置,即可解决。相关配置如下: location / { proxy_pass http://127.0.0.1:3001; proxy_set_header Host host:443; proxy_set_header X-Real-IP proxy_add_x_ 2022年10月31日 — 1 min read

如何安装免费SSL证书 Let’s Encrypt SSL证书选择有很多,其中有很多免费的方案可供选择,免费SSL证书中普遍认为Let’s Encrypt做的还不错,下面大概简单介绍一下Let’s Encrypt的安装和使用,安装环境为自有主机权限,系统为CentOS Stream release 8 Let’s Encrypt简介 Let’s Encrypt 是一家免费、开放、自动化的证书颁发机构(CA),为公众的利益而运行。 它是一项由 Internet Security Research Group (ISRG) 提供的服务。 Let’s Encrypt的关键原则为: * 免费: 任何拥有域名的人都可以使用 Let’s Encrypt 免费获取受信的证书。 * 自动化: 运行于服务器上的软件可以与 Let’s Encrypt 直接交互,以便轻松获取证书,安全地配置它,并自动进行续期。 * 安全: Let’s Encrypt 将成为一个推动 2022年10月31日 — 5 min read

如何保持SSH客户端的连接不被关闭 SSH客户端连接服务器的时候,会有因客户端不活跃而被服务器主动关闭链接的情况。这种情况我们一般可以修改服务器端SSHD的配置文来解决。 1.修改服务器端SSHD的配置文件 sudo vim /etc/ssh/sshd_config 2.修改ClientAlive相关配置 ClientAliveInterval 60 ClientAliveCountMax 3 一般默认ClientAlive的两行配置是被关闭(默认会被#注释掉的) * ClientAliveInterval 多久(秒)检测一次客户端是否存活,默认是0不检测,一般修改为60(s)即可 * ClientAliveCountMax 最多检测多少次,默认3次即可,如上设置,如果3x60s=180秒内如果客户端无存活应答,服务器端会主动关闭连接 按如上设置,可以防止客户端在不活跃的时候被服务器主动关闭连接 3.修改完配置后,需要重新加载SSHD配置生效 sudo service sshd reload 2020年6月26日 — 1 min read

随遇而安 © 2022

Powered by Ghost

Graph View

Recent Notes