Рубрики
Без рубрики

Лучшие практики для реализации во время разработки и развития API API

API – это аббревиатура для «интерфейса программирования приложений». API значительно используются в программном обеспечении … Помечено JavaScript, Backend, Python, API.

API – это аббревиатура для «интерфейса программирования приложений». API значительно используются в мире разработки программного обеспечения для обмена данными между двумя приложениями. Другими словами, API позволяют приложениям взаимодействовать друг с другом путем отправки и получения данных через конечную точку.

В качестве примера многие приложения интегрируют Facebook и API входа Google и Google для облегчения новых и существующих пользователей на борту в их приложении. Другим примером является Uber, реализующий Google Maps API, а не разработать новую карту приложения для его навигационной системы. Кроме того, приложения Frontend общаются с приложением Backend с помощью API

Разработка API с правильной структурой и лучшими практиками позволяют другим разработчикам легко интегрировать ваше приложение без проблем, и он также гарантирует, что вы не позволяете атакурам иметь доступ к вашей заявке в Backend.

Со всеми, что сказано, давайте поговорим о лучших практиках разработки ваших API для эффективного использования и обеспечения их безопасности.

  1. Используйте правильные глаголы HTTP
  2. Используйте правильные коды состояния
  3. Обратные данные об ошибке в ответ
  4. API версификация
  5. Проверьте все запросы
  6. Проверьте весь ввод пользователя
  7. Документируйте свои API
  8. Защитите свои API

1. Используйте правильные глаголы HTTP

Это включает в себя (получить, пост, поставить, патч, удалить)

Http get – Это используется для извлечения только для ресурсов данных и не модифицировать. Другими словами, запрос на получение не должен использоваться для создания или обновления ресурса.

Плохой пример

GET /get-all-articlesGET /FetchUsers

Хороший пример

GET /articlesGET /users

Http post. – Это используется для создания новых ресурсов данных

Плохой пример

POST /create-new-articleGET /add-new-user

Хороший пример

POST /articlesPOST /users

Http поставил – Это используется для обновления или замены содержимого существующего ресурса

Плохой пример

POST /update-article/:id

Хороший пример

PUT /articles/:id

HTTP Patch – Это используется для частично обновления содержимого существующего ресурса. Разница между PUT и PATCH VERB – это то, что используется, когда вы хотите полностью обновить ресурс, когда патч используется, когда вы хотите частично обновить ресурс

Плохой пример

POST /update-article/:idGET /update-user/:id

Хороший пример

PATCH /articles/:idPATCH /users/:id

Http delete – Это используется для удаления ресурсов

Плохой пример

GET /delete-article/:id

Хороший пример

DELETE /articles/:id

Использование правильного HTTP глагола заставляет пользователь API понимает, что будет делать API. Приведенные выше примеры показывают лучшее представление с использованием глаголов HTTP в правильном порядке

2. Используйте правильные коды состояния

Наиболее распространенные коды состояния HTTP включают (200, 201, 202, 204, 400, 401, 403, 500).

200 (ОК)

Это указывает на то, что запрос был завершен и успешно. Это используется, когда другие коды состояния в серии 2xx неуместно. В отличие от кода состояния 204, код состояния 200 должен включать в себя ответ в его организме.

201 (создан)

Это используется, когда ресурс был выполнен и создает новые данные взамен.

202 (принято)

Это используется, когда запрос в ресурсе был принят для обработки, но он еще не завершен. Запрос может или, возможно, в конечном итоге не будет действовать, так как оно может быть запрещено, когда обработка фактически происходит. Нет объекта для статуса возврата от асинхронных операций, таких как это.

204 (нет контента)

Это указание того, что сервер выполнил запрос, и для отправки информации нет.

ОШИБКА 400, НЕВЕРНЫЙ ЗАПРОС)

Это используется, когда запрос не может быть понят с помощью сервера из-за неработанного синтаксиса, недействительным параметрам сообщения запроса, или обманчивой маршрутизации запроса.

401 (неавторизован)

Это указание, что клиент пытается получить доступ к ресурсу, который защищен без включения надлежащего авторизации

403 (запрещено)

Это используется, когда клиент аутентифицирован, но не авторизован для выполнения запрошенной операции на данном ресурсе.

ВНУТРЕННЯЯ ОШИБКА СЕРВЕРА 500)

Это когда сервер столкнулся с неожиданным условием, которое препятствовало ресурсу выполнить запрос.

3. Обратные данные об ошибке в ответ

Когда API возвращает ошибку, не достаточно, чтобы вернуть код состояния, ни код состояния с помощью универсального сообщения об ошибке, таком как (ошибка сервера – ошибка только что произошла), необходимо, чтобы ошибка, возвращаемая из API, насколько это возможно Отказ Подробная ошибка помогает потребителю API в отладке и понять, что происходит

4. API версификация

API версификация очень важна в разработке API. Это позволяет включить последние изменения в новой версии вашего API, тем самым позволяя пользователям иметь доступ к более старой версии вашего API, не нарушая приложение ваших пользователей.

api/v1/articlesapi/v2/articles

5. Проверьте все запросы

Важно, чтобы каждый запрос API проверен, чтобы убедиться, что клиент имеет разрешение на доступ к запросу данных. USERA не должна иметь доступа к данным USERBB, кроме USERA, имейте разрешение на доступ к данным

6. Проверьте весь ввод пользователя

Необходимо, чтобы API, содержащие данные в его теле, подтверждаются до того, как оно обрабатывается на бэкэнде. Например, API входа пользователя будет включать в себя электронную почту и пароль в своем корпусе API, важно, чтобы данные были подтверждены и никакие другие вредоносные или недопустимые данные не отправляются вместе с API.

Обратите внимание, что перед обработкой любых данных из вашего API проверим, что данные в формате, которые вы ожидаете.

7. Документируйте свои API

Документирование ваших API действительно важно, потому что это позволяет пользователям вашего API

  • иметь базовое понимание того, что делают API,
  • данные для включения в его запрос и
  • тип ответа на ожидаемый.

Каждый разработчик любит хорошую документацию, потому что она облегчает их работу. Почтальон очень хороший инструмент для создания документации для ваших API

8. Защитите свои API

Безопасность вашего API очень важно для вашей заявки. Наличие уязвимости в вашем API может позволить злоумышленнику иметь доступ к вашему приложению и выполнять разные эксплойты.

Ниже приведены следующие способы защиты ваших API и убедитесь, что они хорошо защищены

  1. Убедитесь, что вы не храните конфиденциальную информацию в ваших токенах аутентификации.
  2. Используйте SSL для ваших API
  3. Проверьте все входы и запросы
  4. Убедитесь, что вы зашифруете все конфиденциальную информацию, хранящуюся в вашей базе данных.
  5. Обеспечить предел количества запросов API в течение времени, это называется ограничением скорости или дросселирование API. Включение дросселирования API может защитить вас от атак грубой силы/DDOS
  6. Не проходите конфиденциальные данные в вашем API, например https://example.com/login/username=jack&password=12345.

Мы все должны стремиться к разработке API, которые легко пользоваться и интегрироваться в приложения. Я надеюсь, что эта статья смогла помочь вам в разработке API, которые являются удовольствием в использовании.

Ваше здоровье!!!

Пост Лучшие практики для реализации во время проектирования и развития API появился первым на Толустар Отказ

Оригинал: “https://dev.to/tolustar/best-practices-to-implement-during-api-design-and-development-5bbj”

Читайте ещё по теме: