Open API即開(kāi)放API,也稱(chēng)開(kāi)放平臺(tái)。 所謂的開(kāi)放API（OpenAPI）是服務(wù)型網(wǎng)站常見(jiàn)的一種應(yīng)用，網(wǎng)站的服務(wù)商將自己的網(wǎng)站服務(wù)封裝成一系列API（Application Programming Interface，應(yīng)用編程接口）開(kāi)放出去，供第三方開(kāi)發(fā)者使用，這種行為就叫做開(kāi)放網(wǎng)站的API，所開(kāi)放的API就被稱(chēng)作OpenAPI（開(kāi)放API）。

以前的軟件開(kāi)發(fā)都是針對(duì)特定的用戶或群體進(jìn)行設(shè)計(jì),但用戶的需求是千差萬(wàn)別的,眾口難調(diào)就是這個(gè)道理。隨著軟件開(kāi)發(fā)的發(fā)展,人們的關(guān)注點(diǎn)和設(shè)計(jì)模式也在悄悄發(fā)生著變化,我與其針對(duì)特定客戶進(jìn)行開(kāi)發(fā),不如站在大眾的角度進(jìn)行設(shè)計(jì),把自己從甲方乙方的魔咒中解禁出來(lái),自己成為甲方。也就是說(shuō)我以前開(kāi)發(fā)的軟件只給你用,你還不滿意,現(xiàn)在我只提供核心業(yè)務(wù),你自己來(lái)對(duì)接,你想設(shè)計(jì)成什么樣子就設(shè)計(jì)成什么樣子。于是 Opean Api 應(yīng)運(yùn)而生！！淘寶、阿里、騰訊都是這么干的,人家是大公司,規(guī)則的制定者,人家怎么規(guī)定接口,你就得怎么對(duì)接！！有一個(gè)網(wǎng)站叫 聚合數(shù)據(jù) 專(zhuān)門(mén)提供一些免費(fèi)的和收費(fèi)的優(yōu)秀 API,有興趣的可以上去注冊(cè)玩玩。

關(guān)于如何開(kāi)發(fā)這樣的一套接口,刨除實(shí)際的業(yè)務(wù)邏輯不說(shuō),我們來(lái)看看怎么設(shè)計(jì)?下面是我在設(shè)計(jì)的時(shí)候遇到問(wèn)題的思考,可能不全面僅供參考!

先來(lái)看看有那幾點(diǎn)需要考量?我也是憑經(jīng)驗(yàn)和 Google。

簽名鑒權(quán)（我需要知道請(qǐng)求我的是誰(shuí),有沒(méi)有訪問(wèn)這個(gè)接口的權(quán)限）

流量控制（我不可能讓你隨隨便便就無(wú)節(jié)制的訪問(wèn)我,我要能隨時(shí)關(guān)停你）

請(qǐng)求轉(zhuǎn)發(fā)（請(qǐng)求過(guò)來(lái)的 url,需要找到真正的業(yè)務(wù)處理邏輯,api最好只負(fù)責(zé)接口的規(guī)范,不負(fù)責(zé)業(yè)務(wù)的實(shí)現(xiàn)）

日志處理（你可以保持沉默,但你說(shuō)的每一句話都會(huì)成為呈堂供證）

異常處理（即使老子內(nèi)部出了問(wèn)題,你也不會(huì)看到我的異常堆棧信息,我會(huì)告訴你我病了,請(qǐng)稍后再試）

參數(shù)規(guī)范（順我者倡,逆我者亡）

多機(jī)部署（我有九條命）

異步回調(diào)（別想阻塞我,但我可以玩死你）

錯(cuò)誤信息（你要認(rèn)識(shí)到自己錯(cuò)誤）

做API,尤其是 Open API 最重要的就是安全、安全、安全,試想一下,你的接口我可以隨隨便便就猜對(duì)賬號(hào)密碼,隨隨便便就可以DDOS 你,你都沒(méi)有辦法保證用戶信息的安全,誰(shuí)還敢用你。其實(shí)你是在做一件反黑客的設(shè)計(jì),呵呵,是不是高大尚了很多。

Client:你怎么知道一個(gè)請(qǐng)求是我而不是別人呢?

API:你如果對(duì)接我,我給你起一個(gè)全世界唯一名字就吧,你請(qǐng)求的時(shí)候就告訴我你叫 xxx,賦值到請(qǐng)求中的app_key中就行,至于這個(gè)字段叫app_key還是叫 UserName還是叫 client_id,這個(gè)看你心情了。于是就有了接口的第一個(gè)功能,給客戶起一個(gè)唯一名字。

Client:如果別人也知道了這個(gè)用戶名,冒充我怎么辦?

API:我還會(huì)給你一個(gè)配套的密碼,密碼只有你我知道,你請(qǐng)求的時(shí)候,把密碼帶過(guò)來(lái),我先驗(yàn)證密碼,密碼通過(guò)了我才允許訪問(wèn)。這樣就沒(méi)人能冒充的了你了吧。你密碼丟了,那就是你自己的事情了。

Client:現(xiàn)在 HTTP 都是明文通信,我每次訪問(wèn)都帶上我的賬號(hào)密碼,那不等于廣而告之天下嗎?就像拿著一袋子錢(qián)在路上邊走邊喊“快來(lái)?yè)屛已?#xff01;快來(lái)?yè)屛已?#xff01;”，一個(gè)小小的嗅探器就能把用戶的密碼拿到手，如果用戶習(xí)慣在所有地方用一個(gè)密碼，那么你闖大禍了，黑客通過(guò)撞庫(kù)的方法能把用戶的所有信息一鍋端。

API:那就就用你的賬號(hào)密碼先到我這兒換取一個(gè)口令吧,我們叫 token,這樣攜帶口令且口令正確的我們就認(rèn),沒(méi)有攜帶口令或口令不正確的我們幾回絕,這樣你就不用帶著密碼滿世界跑了。

Client:但是那如果 Token 被截獲了呢？黑客重放怎么辦！！

API:這個(gè)口令是有一個(gè)過(guò)期時(shí)間的比如10分鐘、一個(gè)小時(shí)、一天、3個(gè)月等等,你們也可以做到單點(diǎn)登錄,我這邊也可以有效的控制外人的入侵,同時(shí)避免了重復(fù)信息的反復(fù)查詢數(shù)據(jù)庫(kù)和對(duì)比等操作,絕對(duì)可以提高響應(yīng)速度,校驗(yàn) token 的有效性花費(fèi)的時(shí)間絕對(duì)比查數(shù)據(jù)庫(kù)要來(lái)的快啊。我們?cè)诜?wù)器端接口被調(diào)用時(shí)就可以對(duì)發(fā)起請(qǐng)求的ip地址、user-agent之類(lèi)的信息作比對(duì)，以防止偽造。再然后，如果token的有效期設(shè)得小，過(guò)一會(huì)兒它就過(guò)期了，除非黑客可以持續(xù)截獲你的token，否則他只能干瞪眼。

Client:這個(gè)可以,但是我第一次輸入密碼的時(shí)候還是有可能被竊取啊?

API:那就上 HTTPS ,密碼什么的用 SSL 加密協(xié)議傳輸,我看誰(shuí)還能竊取到呢?你要還糾結(jié)呢咱就上非對(duì)稱(chēng)?

Client:…

API:還有話說(shuō)么?沒(méi)話說(shuō)就老老實(shí)實(shí)對(duì)接

網(wǎng)絡(luò)攻防

CORS

CSRF

劫持攻擊

DDOS

XSS

SQL注入

文件上傳漏洞

緩沖區(qū)溢出

總結(jié)

以上是生活随笔為你收集整理的Open API是什么？的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。