Open API即開放API,也稱開放平臺。 所謂的開放API（OpenAPI）是服務(wù)型網(wǎng)站常見的一種應(yīng)用，網(wǎng)站的服務(wù)商將自己的網(wǎng)站服務(wù)封裝成一系列API（Application Programming Interface，應(yīng)用編程接口）開放出去，供第三方開發(fā)者使用，這種行為就叫做開放網(wǎng)站的API，所開放的API就被稱作OpenAPI（開放API）。

以前的軟件開發(fā)都是針對特定的用戶或群體進(jìn)行設(shè)計(jì),但用戶的需求是千差萬別的,眾口難調(diào)就是這個道理。隨著軟件開發(fā)的發(fā)展,人們的關(guān)注點(diǎn)和設(shè)計(jì)模式也在悄悄發(fā)生著變化,我與其針對特定客戶進(jìn)行開發(fā),不如站在大眾的角度進(jìn)行設(shè)計(jì),把自己從甲方乙方的魔咒中解禁出來,自己成為甲方。也就是說我以前開發(fā)的軟件只給你用,你還不滿意,現(xiàn)在我只提供核心業(yè)務(wù),你自己來對接,你想設(shè)計(jì)成什么樣子就設(shè)計(jì)成什么樣子。于是 Opean Api 應(yīng)運(yùn)而生！！淘寶、阿里、騰訊都是這么干的,人家是大公司,規(guī)則的制定者,人家怎么規(guī)定接口,你就得怎么對接！！有一個網(wǎng)站叫 聚合數(shù)據(jù) 專門提供一些免費(fèi)的和收費(fèi)的優(yōu)秀 API,有興趣的可以上去注冊玩玩。

關(guān)于如何開發(fā)這樣的一套接口,刨除實(shí)際的業(yè)務(wù)邏輯不說,我們來看看怎么設(shè)計(jì)?下面是我在設(shè)計(jì)的時候遇到問題的思考,可能不全面僅供參考!

先來看看有那幾點(diǎn)需要考量?我也是憑經(jīng)驗(yàn)和 Google。

簽名鑒權(quán)（我需要知道請求我的是誰,有沒有訪問這個接口的權(quán)限）

流量控制（我不可能讓你隨隨便便就無節(jié)制的訪問我,我要能隨時關(guān)停你）

請求轉(zhuǎn)發(fā)（請求過來的 url,需要找到真正的業(yè)務(wù)處理邏輯,api最好只負(fù)責(zé)接口的規(guī)范,不負(fù)責(zé)業(yè)務(wù)的實(shí)現(xiàn)）

日志處理（你可以保持沉默,但你說的每一句話都會成為呈堂供證）

異常處理（即使老子內(nèi)部出了問題,你也不會看到我的異常堆棧信息,我會告訴你我病了,請稍后再試）

參數(shù)規(guī)范（順我者倡,逆我者亡）

多機(jī)部署（我有九條命）

異步回調(diào)（別想阻塞我,但我可以玩死你）

錯誤信息（你要認(rèn)識到自己錯誤）

做API,尤其是 Open API 最重要的就是安全、安全、安全,試想一下,你的接口我可以隨隨便便就猜對賬號密碼,隨隨便便就可以DDOS 你,你都沒有辦法保證用戶信息的安全,誰還敢用你。其實(shí)你是在做一件反黑客的設(shè)計(jì),呵呵,是不是高大尚了很多。

Client:你怎么知道一個請求是我而不是別人呢?

API:你如果對接我,我給你起一個全世界唯一名字就吧,你請求的時候就告訴我你叫 xxx,賦值到請求中的app_key中就行,至于這個字段叫app_key還是叫 UserName還是叫 client_id,這個看你心情了。于是就有了接口的第一個功能,給客戶起一個唯一名字。

Client:如果別人也知道了這個用戶名,冒充我怎么辦?

API:我還會給你一個配套的密碼,密碼只有你我知道,你請求的時候,把密碼帶過來,我先驗(yàn)證密碼,密碼通過了我才允許訪問。這樣就沒人能冒充的了你了吧。你密碼丟了,那就是你自己的事情了。

Client:現(xiàn)在 HTTP 都是明文通信,我每次訪問都帶上我的賬號密碼,那不等于廣而告之天下嗎?就像拿著一袋子錢在路上邊走邊喊“快來搶我呀！快來搶我呀！”，一個小小的嗅探器就能把用戶的密碼拿到手，如果用戶習(xí)慣在所有地方用一個密碼，那么你闖大禍了，黑客通過撞庫的方法能把用戶的所有信息一鍋端。

API:那就就用你的賬號密碼先到我這兒換取一個口令吧,我們叫 token,這樣攜帶口令且口令正確的我們就認(rèn),沒有攜帶口令或口令不正確的我們幾回絕,這樣你就不用帶著密碼滿世界跑了。

Client:但是那如果 Token 被截獲了呢？黑客重放怎么辦！！

API:這個口令是有一個過期時間的比如10分鐘、一個小時、一天、3個月等等,你們也可以做到單點(diǎn)登錄,我這邊也可以有效的控制外人的入侵,同時避免了重復(fù)信息的反復(fù)查詢數(shù)據(jù)庫和對比等操作,絕對可以提高響應(yīng)速度,校驗(yàn) token 的有效性花費(fèi)的時間絕對比查數(shù)據(jù)庫要來的快啊。我們在服務(wù)器端接口被調(diào)用時就可以對發(fā)起請求的ip地址、user-agent之類的信息作比對，以防止偽造。再然后，如果token的有效期設(shè)得小，過一會兒它就過期了，除非黑客可以持續(xù)截獲你的token，否則他只能干瞪眼。

Client:這個可以,但是我第一次輸入密碼的時候還是有可能被竊取啊?

API:那就上 HTTPS ,密碼什么的用 SSL 加密協(xié)議傳輸,我看誰還能竊取到呢?你要還糾結(jié)呢咱就上非對稱?

Client:…

API:還有話說么?沒話說就老老實(shí)實(shí)對接

網(wǎng)絡(luò)攻防

CORS

CSRF

劫持攻擊

DDOS

XSS

SQL注入

文件上傳漏洞

緩沖區(qū)溢出

總結(jié)

以上是生活随笔為你收集整理的Open API是什么？的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。