chuckQu

V1

2022/09/21阅读:8主题:凝夜紫

什么是REST API

原文链接:https://www.sitepoint.com/rest-api/

作者:https://www.sitepoint.com/author/craig-buckler/

前言

什么是REST API?REST是Representational State Transfer(表现层状态转移)的缩写 - 对最常用的网络服务技术几乎是毫无意义的描述。REST API是两个计算机系统在web浏览器和服务器中使用HTTP技术进行通信的一种方式。

在两个或多个系统之间共享数据一直是软件开发的一个基本要求。比如说,考虑购买汽车保险。你的保险公司必须获得关于你和你的车辆的信息,所以他们要求从汽车登记机构、信贷机构、银行和其他系统获得数据。所有这些都是实时透明地发生的,以确定保险公司是否能提供一个有竞争力的保单。

API(应用程序接口)通过为系统之间的对话提供接口来帮助这种类型的通信。REST只是一种被广泛采纳的API风格,我们用它来与内部和外部以一种一致的和可预测的方式进行沟通。它可以比作我们以前寄信时用邮票、地址和信封的方式,以确保信件被送达和阅读。

REST是人们在web系统中常用的交互方式。例如,在一个社交媒体应用中检索和更新账户信息。

REST API示例

在你的浏览器中打开以下链接,从Open Trivia Database中请求一个随机的计算机问题:

https://opentdb.com/api.php?amount=1&category=18

这是一个作为RESTful网络服务实现的公共API(它遵循REST公约)。你的浏览器将展示一个单独的JSON格式的问答问题,并附有答案。比如说:

{
  "response_code"0,
  "results": [
    {
      "category""Science: Computers",
      "type""multiple",
      "difficulty""easy",
      "question""What does GHz stand for?",
      "correct_answer""Gigahertz",
      "incorrect_answers": [
        "Gigahotz",
        "Gigahetz",
        "Gigahatz"
      ]
    }
  ]
}

你可以使用任意HTTP客户端,来请求同样的URL并得到响应,比如使用curl

curl "https://opentdb.com/api.php?amount=1&category=18"

HTTP客户端库可以在所有流行的语言和运行时中使用,包括JavaScript、Node.js和Deno中的Fetch以及PHP中的file_get_contents()。JSON响应是机器可读的,因此可以在输出HTML或其他格式之前被进行解析和使用。

REST APIs和Rest

多年来,各种数据通信标准已经发展起来。你可能遇到过的选择包括CORBASOAP,或者 XML-RPC。大多数都确定了严格的消息传递规则。

REST是由Roy Fielding在2000年定义的,比其他的要简单得多。它不是一个标准,而是一套关于RESTful网络服务的建议和约束。其中包括:

  • 客户服务器分离模式(Client-Server):系统A向系统B托管的URL发出HTTP请求,并返回一个响应。这与浏览器的工作方式相同。浏览器对一个特定的URL发出请求,该请求被转发到一个web服务器,该服务器通常返回一个HTML页面。该页面可能包含对图片、样式表和JavaScript的引用,从而产生进一步的请求和响应。
  • 无状态(Stateless):REST是无状态的:客户端请求应该包含响应所需的所有信息。换句话说,应该可以按照任何顺序发出两个或更多的HTTP请求,并且会收到相同的响应(除非API被设计为返回随机响应)。
  • 可缓存(Cacheable):响应应该被定义为可缓存或不可缓存。缓存可以提高性能,因为没有必要为同一个URL重新生成一个响应。在某个时间段特定于某个用户的私人数据通常不会被缓存。
  • 分层(Layered):请求的客户端不需要知道它是否在与实际的服务器、代理或任何其他中间人进行通信。

创建RESTful网络服务

一个RESTful网络服务请求包括:

  1. 端点URL。实现RESTful API的应用程序将定义一个或多个带有域名、端口、路径、和/或查询字符串的URL端点,例如,https://mydomain/user/123?format=json

  2. HTTP方法。不同的HTTP方法可以在任何端点上使用,这些方法映射到应用程序的创建、读取、更新和删除(CRUD)操作:

    HTTP方法 CRUD 行为
    GET 读取 返回请求数据
    POST 创建 创建一个新记录
    PUT 或者 PATCH 更新 更新已存在的记录
    DELETE 删除 删除已存在的记录

    比如:

    • /user/的GET请求返回系统中的注册用户列表。
    • /user/的POST请求使用body对象创建了一个ID为123的用户。该响应会返回ID。
    • /user/123的PUT请求使用body对象更新用户123
    • /user/123的GET请求返回用户123的详情。
    • /user/123的DELETE请求删除用户123
  3. HTTP头部。认证令牌或cookies等信息可以包含在HTTP请求头中。

  4. Body对象。数据通常在HTTP主体中传输,该方式与HTML<form>提交或者发送单独的JSON编码的数据字符串等方式相同。

API-Request.png
API-Request.png

REST API响应

响应的有效负载可以是任何实用的东西:数据、HTML、图像、音频文件等等。数据响应通常是JSON编码,但也可以使用XML,CSV,简单字符串或任何其他格式。你可以允许在请求中指定返回格式。比如说,/user/123?format=json 或者 /user/123?format=xml

还应该在响应头中设置适当的HTTP状态码200 OK用于成功的请求,尽管当记录被创建时也可以返回201 Created 。当发生错误时应该返回适当的状态码,比如说400 Bad Request404 Not Found401 Unauthorized等等。

其他HTTP头部可以被设置包括Cache-ControlExpires,以指定响应在被视为过期之前可以缓存多长时间。

然而,并没有严格的规则。端点URL、HTTP方法、body对象和响应类型可以随心所欲地实现。例如,POST、PUT和PATCH通常可以互换使用,如有必要任何一个都可以用来创建或更新记录。

Hello World示例

下面的Node.js代码使用Express框架创建了一个RESTful网络服务。一个单一的/hello/端点对HTTP GET请求作出响应。

确保已安装Node.js,创建名为restapi的新文件夹。在该文件夹中创建一个新的package.json文件,内容如下:

{
  "name""restapi",
  "version""1.0.0",
  "description""REST test",
  "scripts": {
    "start""node ./index.js"
  },
  "dependencies": {
    "express""4.18.1"
  }
}

在命令行中运行npm install 来拉取依赖,然后创建index.js文件,包括以下代码:

// simple Express.js RESTful API
'use strict';

// initialize
const
  port = 8888,
  express = require('express'),
  app = express();

// /hello/ GET request
app.get('/hello/:name?', (req, res) =>
  res.json(
    { message`Hello ${req.params.name || 'world'}!` }
  )
);

// start server
app.listen(port, () =>
  console.log(`Server started on port ${port}`);
);

使用npm start从命令行启动该应用程序,并在浏览器中打开http://localhost:8888/hello/。响应GET请求时,会显示以下JSON:

{
  "message""Hello world!"
}

API也允许自定义名字,因此http://localhost:8888/hello/everyone/会返回:

{
  "message""Hello everyone!"
}

客户端REST请求和CORS

考虑在浏览器中启动以下HTML页面,URL是http://localhost:8888/

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>REST test</title>
</head>
<body>
<script>
fetch('http://localhost:8888/hello/')
  .then((response) => {
    return response.json();
  })
  .then((json) => {
    console.log(json);
  });
</script>
</body>
</html>

fetch调用发出同样的API请求,浏览器控制台显示{ message: "Hello world!" },正如你所期望的那样。

然而,假设你的RESTful网络服务现在被放在网络上,域名是http://mydomain.com/hello/。页面的JavaScript fetch()URL也相应地改变了,但在浏览器中打开http://localhost:8888/,现在会返回控制台错误Cross-Origin Request Blocked

为了安全起见,浏览器只允许客户端的XMLHttpRequestFetch API 调用页面所在的同域请求。

幸运的是,跨源资源共享(CORS)使我们能够规避这一安全限制。设置Access-Control-Allow-OriginHTTP响应头来告诉浏览器允许该请求。它可以设置为一个特定的域,或者设置为所有的域*

可以更改网络服务器API代码,以允许运行在任何域名的任何客户端脚本进行访问:

// /hello/ GET request
app.get('/hello/:name?', (req, res) =>
  res
    .append('Access-Control-Allow-Origin''*')
    .json(
      { message`Hello ${req.params.name || 'world'}!` }
    )
);

或者,Express.js中间件函数可以将头部附加到每个端点请求:

// enable CORS
app.use((req, res, next) => {
  res.append('Access-Control-Allow-Origin''*');
  next();
});

// /hello/ GET request
// ...

注意,浏览器向REST API发出两个请求:

  1. 对同一URL的HTTP OPTIONS请求确定Access-Control-Allow-Origin HTTP响应头是否有效。
  2. 实际的REST调用。

当你的服务器收到一个OPTIONS请求方法时,它可以设置Access-Control-Allow-Origin HTTP响应头返回一个假的空响应,以确保工作不被重复。

REST API挑战

REST的成功很大程度上归功于它的简单性。开发人员可以自由地实现RESTful API,但这可能会导致进一步的挑战。要深入了解实现策略,请看13个构建RESTful API的最佳实践

端点共识

考虑下面的端点:

  • /user/123
  • /user/id/123
  • /user/?id=123

所有这些都是为用户123获取数据的有效选项。当你有更复杂的操作时,组合的数量会进一步增加。

归根结底,你如何格式化URL并不重要,但整个API的一致性很重要。这对有许多开发人员的大型代码库来说是个挑战。

REST API版本控制

API的变化是不可避免的,但端点的URL永远不应该失效,否则会破坏使用它们的应用程序。

为了避免兼容性问题,API通常是有版本的。例如,/2.0/user/123取代了/user/123。新的和旧的端点都可以保持活跃。不幸的是,这样就有必要维护多个历史API。旧的版本最终可以被废弃,但整个过程需要仔细规划。

REST API认证

上面显示的测试API是开放的:任何系统都可以在未经授权的情况下获取数据。这对于访问私有数据或允许更新和删除请求的API是不可行的。

与RESTful API处于同域的客户端应用程序将像其他HTTP请求一样发送和接收cookies。(请注意,旧版浏览器中的Fetch()需要设置credentials初始选项)。因此,一个API请求可以被验证,以确保一个用户已经登录并拥有适当的权限。

第三方应用程序必须使用替代的授权方法。常见的认证选项包括:

  • HTTP基本身份验证。在请求头中传递一个包含base64编码的username:password字符串的 HTTPAuthorization头。因为base64很容易被解码,基本(Basic)认证应该只和其他安全机制一起使用,比如HTTPS/SSL。
  • API密钥。第三方应用程序通过发布一个密钥来获得使用API的许可,这个密钥可能有特定的权限或被限制在一个特定的域。密钥在每个请求中的HTTP头或查询字符串中被传递。
  • OAuth。在发出任何请求之前,通过向OAuth服务器发送一个客户ID和可能的客户秘密,获得一个令牌。然后,OAuth令牌会随每个API请求一起发送,直到过期。
  • JSON Web Tokens (JWT)。数字签名的认证令牌在请求和响应头中安全地传输。JWT允许服务器对访问权限进行编码,因此不需要调用数据库或其他授权系统。

API身份验证将根据使用上下文而有所不同:

  • 在某些情况下,第三方应用程序被视为像任何其他具有特定权利和权限的登录用户。例如,一个地图API可以将两点之间的方向返回给调用的应用程序。它必须确认该应用程序是一个有效的客户端,但不需要检查用户凭证。
  • 在其他情况下,第三方应用程序正在请求用户的私有数据,如电子邮件内容。REST API必须识别用户和他们的权利,但它可能不关心哪个应用程序在调用API。

REST API安全性

RESTful API提供了另一种访问和操作你的应用程序的途径。即使它不是一个引人注目的黑客目标,一个行为不良的客户端也可能每秒发送数以千计的请求,并使你的服务器崩溃。

安全性超出了本文的范围,但常见的最佳实践包括:

  • 使用HTTPS。
  • 使用健壮的身份验证方法。
  • 使用CORS来限制客户端对特定域的调用。
  • 提供最少的功能,也就是不要创建不需要的DELETE选项。
  • 验证所有端点URL和body对象。
  • 避免在客户端JavaScript中暴露API令牌。
  • 阻止来自未知域名或IP地址的访问。
  • 阻止意外的大型有效负载。
  • 考虑速率限制,也就是使用同一API令牌或IP地址的请求被限制在每分钟N个以内。
  • 以适当的HTTP状态代码和缓存头进行响应。
  • 记录请求并调查失败情况。

多个请求和不必要的数据

RESTful APIs受到其实现的限制。响应可能包含比你需要的更多的数据,或者需要进一步的请求来访问所有数据。

考虑一个RESTful API,它提供对作者和书籍数据的访问。为了显示前10名畅销书的数据,客户端可以:

  • 请求按销售量数量订购的前10/book/的详细信息(最畅销的在前)。响应包含有每个作者ID的书籍列表。
  • 最多组成10个/author/{id}请求以获取每个作者的详细信息。

这被称为N+1问题;必须为父请求中的每个结果提出N个API请求。

为了避免不必要的大的响应,可以调整API使作者的细节是可选的。例如,?author_details=full。API作者需要满足的选项的数量可能会变得令人困惑。

GraphQL是否更好?

REST的难题导致Facebook创建了GraphQL--一种网络服务查询语言。把它看作是网络服务的SQL:一个单一的请求定义了你所需要的数据以及你希望它如何返回。

GraphQL解决了RESTful APIs带来的一些挑战,尽管它引入了其他挑战。例如,很难对GraphQL响应进行缓存。

你的客户不太可能有与Facebook类似的问题,所以一旦RESTful API发展到超出其实际限制时,GraphQL可能值得考虑。

REST API链接和开发工具

有许多工具可以帮助所有语言的RESTful API开发。值得注意的选项包括:

  • Swagger:帮助设计、记录、模拟、测试和监控REST APIs的各种工具。
  • Postman:一个RESTful API测试应用程序。
  • Hoppscotch:一个开源的、基于web的Postman替代品。

还有大量的公共REST API,集合了笑话、货币转换、地理编码、政府数据以及你能想到的每一个主题。许多是免费的,尽管有些需要你注册一个API密钥或使用其他认证方法。分类列表包括:

在实现你自己的网络服务之前,在你自己的项目中尝试使用一些RESTful API。或者考虑跟随Facebook、GitHub、Google和其他许多巨头的脚步,建立一个属于自己的RESTful API。

下一篇文章中,会翻译分享13个构建RESTful API的最佳实践,欢迎关注。

以上就是全部内容,如果对你有所帮助,欢迎点赞收藏转发~

分类:

前端

标签:

计算机网络

作者介绍

chuckQu
V1