Open API即開放API,也稱開放平臺。 所謂的開放API（OpenAPI）是服務型網站常見的一種應用，網站的服務商將自己的網站服務封裝成一系列API（Application Programming Interface，應用編程接口）開放出去，供第三方開發者使用，這種行為就叫做開放網站的API，所開放的API就被稱作OpenAPI（開放API）。

以前的軟件開發都是針對特定的用戶或群體進行設計,但用戶的需求是千差萬別的,眾口難調就是這個道理。隨著軟件開發的發展,人們的關注點和設計模式也在悄悄發生著變化,我與其針對特定客戶進行開發,不如站在大眾的角度進行設計,把自己從甲方乙方的魔咒中解禁出來,自己成為甲方。也就是說我以前開發的軟件只給你用,你還不滿意,現在我只提供核心業務,你自己來對接,你想設計成什么樣子就設計成什么樣子。于是 Opean Api 應運而生！！淘寶、阿里、騰訊都是這么干的,人家是大公司,規則的制定者,人家怎么規定接口,你就得怎么對接！！有一個網站叫 聚合數據 專門提供一些免費的和收費的優秀 API,有興趣的可以上去注冊玩玩。

關于如何開發這樣的一套接口,刨除實際的業務邏輯不說,我們來看看怎么設計?下面是我在設計的時候遇到問題的思考,可能不全面僅供參考!

先來看看有那幾點需要考量?我也是憑經驗和 Google。

簽名鑒權（我需要知道請求我的是誰,有沒有訪問這個接口的權限）

流量控制（我不可能讓你隨隨便便就無節制的訪問我,我要能隨時關停你）

請求轉發（請求過來的 url,需要找到真正的業務處理邏輯,api最好只負責接口的規范,不負責業務的實現）

日志處理（你可以保持沉默,但你說的每一句話都會成為呈堂供證）

異常處理（即使老子內部出了問題,你也不會看到我的異常堆棧信息,我會告訴你我病了,請稍后再試）

參數規范（順我者倡,逆我者亡）

多機部署（我有九條命）

異步回調（別想阻塞我,但我可以玩死你）

錯誤信息（你要認識到自己錯誤）

做API,尤其是 Open API 最重要的就是安全、安全、安全,試想一下,你的接口我可以隨隨便便就猜對賬號密碼,隨隨便便就可以DDOS 你,你都沒有辦法保證用戶信息的安全,誰還敢用你。其實你是在做一件反黑客的設計,呵呵,是不是高大尚了很多。

Client:你怎么知道一個請求是我而不是別人呢?

API:你如果對接我,我給你起一個全世界唯一名字就吧,你請求的時候就告訴我你叫 xxx,賦值到請求中的app_key中就行,至于這個字段叫app_key還是叫 UserName還是叫 client_id,這個看你心情了。于是就有了接口的第一個功能,給客戶起一個唯一名字。

Client:如果別人也知道了這個用戶名,冒充我怎么辦?

API:我還會給你一個配套的密碼,密碼只有你我知道,你請求的時候,把密碼帶過來,我先驗證密碼,密碼通過了我才允許訪問。這樣就沒人能冒充的了你了吧。你密碼丟了,那就是你自己的事情了。

Client:現在 HTTP 都是明文通信,我每次訪問都帶上我的賬號密碼,那不等于廣而告之天下嗎?就像拿著一袋子錢在路上邊走邊喊“快來搶我呀！快來搶我呀！”，一個小小的嗅探器就能把用戶的密碼拿到手，如果用戶習慣在所有地方用一個密碼，那么你闖大禍了，黑客通過撞庫的方法能把用戶的所有信息一鍋端。

API:那就就用你的賬號密碼先到我這兒換取一個口令吧,我們叫 token,這樣攜帶口令且口令正確的我們就認,沒有攜帶口令或口令不正確的我們幾回絕,這樣你就不用帶著密碼滿世界跑了。

Client:但是那如果 Token 被截獲了呢？黑客重放怎么辦！！

API:這個口令是有一個過期時間的比如10分鐘、一個小時、一天、3個月等等,你們也可以做到單點登錄,我這邊也可以有效的控制外人的入侵,同時避免了重復信息的反復查詢數據庫和對比等操作,絕對可以提高響應速度,校驗 token 的有效性花費的時間絕對比查數據庫要來的快啊。我們在服務器端接口被調用時就可以對發起請求的ip地址、user-agent之類的信息作比對，以防止偽造。再然后，如果token的有效期設得小，過一會兒它就過期了，除非黑客可以持續截獲你的token，否則他只能干瞪眼。

Client:這個可以,但是我第一次輸入密碼的時候還是有可能被竊取啊?

API:那就上 HTTPS ,密碼什么的用 SSL 加密協議傳輸,我看誰還能竊取到呢?你要還糾結呢咱就上非對稱?

Client:…

API:還有話說么?沒話說就老老實實對接

網絡攻防

CORS

CSRF

劫持攻擊

DDOS

XSS

SQL注入

文件上傳漏洞

緩沖區溢出

總結

以上是生活随笔為你收集整理的Open API是什么？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。