【编者的话】为盘算REST API而烦懑?不要慌，这里有盘算REST API的超实用提议!

也曾因为一个灾祸的API而感到悔恨吗?

在这个微劳动的宇宙里，后端API的一致性盘算是必不成少的。

今天，咱们将斟酌一些可罢黜的最好实践。咱们将保捏精炼和甜密-是以系好安全带，开赴咯!

[[424906]]

率先先容一些术语

任何API盘算皆罢黜一种叫作念“面向资源盘算”的原则

资源：资源是数据的一部分，举例：用户 聚合：一组资源称为聚合，举例：用户列表 URL：符号资源或聚合的位置，举例：/用户 1. 对URL使用kebab-case(短横线小写离隔方法)

举例，如若你思要赢得订单列表。

不应该:

/systemOrders或/system_orders 

应该:

/system-orders 

2. 参数使用camelCase(驼峰方法)

举例，如若你思从一个特定的商店购买居品。

不应该:

/system-orders/{order_id}或/system-orders/{OrderId} 

应该:

/system-orders/{orderId} 

3.指向聚合的复数称呼

如若你思赢得系统的通盘用户。

不应该:

GET /user或GET /User 

应该:

GET /users 

4. URL以聚合启动，以符号符落幕

如若要保捏办法的单一性和一致性。

不应该:

GET /shops/:shopId/category/:categoryId/price 

这很灾祸，因为它指向的是一个属性而不是资源。

应该:

GET /shops/:shopId/或GET /category/:categoryId 

5. 让动词远离你的资源URL

不要在URL中使用动词来抒发你的意图。相背，使用合适的HTTP要津来描摹操作。

不应该:

POST /updateuser/{userId}或GET /getusers 

应该:

PUT /user/{userId} 

6. 对非资源URL使用动词

如若你有一个端点，它只复返一个操作。在这种情况下，你不错使用动词。举例，如若你思要向用户再行发送警报。

应该:

POST /alarm/245743/resend 

请记着，这些不是咱们的CRUD操作。相背，它们被觉得是在咱们的系统中履行特定使命的函数。

7. JSON属性使用camelCase驼峰方法

如若你正在构建一个苦求体或反应体为JSON的系统，那么属性名应该使用驼峰大小写

不应该： 

{ user_name: "Mohammad Faisal"  user_id: "1"  } 

应该： 

{ userName: "Mohammad Faisal" userId: "1" } 

8. 监控

RESTful HTTP劳动必须达成/health和/version和/metricsAPI端点。他们将提供以下信息。

/health

用200 OK景象码反应答/health的苦求。

/version

用版块号反应答/version的苦求。

/metrics

这个端点将提供多样方针，如平均反应本领。

也热烈推选使用/debug和/status端点。

9. 不要使用table_name行动资源名

不要只使用表名行动资源名。从长期来看，这种懒惰是无益的。

不应该：product_order

应该：product-orders

这是因为公开底层体绑缚构不是你的办法。

10. 使用API盘算用具

有很多好的API盘算用具用于编写好的文档，举例:

API蓝图 Swagger

领有邃密而详备的文档不错为API使用者带来邃密的用户体验。

11. 使用简便序数行动版块

恒久对API使用版块抑遏，并将其向左出动，使其具有最大的作用域。版块号应该是v1, v2等等。

应该：

http://api.domain.com/v1/shops/3/products

恒久在API中使用版块抑遏，因为如若API被外部实体使用，转换端点可能会龙套它们的功能。

12. 在你的反应体中包括总资源数

如若API复返一个对象列表，则反应中老是包含资源的总额。你不错为此使用total属性。

不应该： 

{ users: [ ... ] } 

应该： 

{ users: [ ... ], total: 34 } 

13. 接收limit和offset参数

在GET操作中恒久接收limit和offset参数。

应该：

GET /shops?offset=5&limit=5 

这是因为它关于前端的分页是必要的。

14. 获取字段查询参数

复返的数据量也应该探讨在内。添加一个fields参数，只公开API中必需的字段。

例子:

只复返商店的称呼，地址和关连神志。

GET /shops?fields=id,name,address,contact 

在某些情况下，它还有助于减少反应大小。

15. 不要在URL中通过认证令牌

这是一种异常灾祸的作念法，因为url平淡被纪录，而身份考证令牌也会被不消要塞纪录。

不应该：

GET /shops/123?token=some_kind_of_authenticaiton_token 

相背，通偏激部传递它们:

Authorization: Bearer xxxxxx, Extra yyyyy 

此外，授权令牌应该是窄小有用期的。

16. 考证内容类型

劳动器不应该假设内容类型。举例，如若你接收application/x-www-form-urlencoded，那么膺惩者不错创建一个表单并触发一个简便的POST苦求。

因此，恒久考证内容类型，如若你思使用默许的内容类型，请使用content-type: application/json

17. 对CRUD函数使用HTTP要津

HTTP要津用于解说CRUD功能。

GET：检索资源的示意方法。 POST：创建新的资源和子资源。 PUT：更新现存资源。 PATCH：更新现存资源，它只更新提供的字段，而不更新其他字段。 DELETE：删除已存在的资源。 18. 在嵌套资源的URL中使用关系

以下是一些践诺例子:

GET /shops/2/products：从shop 2获取通盘居品的列表。 GET /shops/2/products/31：获取居品31的详备信息，居品31属于shop 2。 DELETE /shops/2/products/31：应该删除居品31，它属于商店2。 PUT /shops/2/products/31：应该更新址品31的信息，只在resource-URL上使用PUT，而不是聚合。 POST /shops：应该创建一个新的商店，并复返创建的新商店的详备信息。在聚合url上使用POST。 19. CORS(跨源资源分享)

一定要为通盘面向大师的api复旧CORS(跨源资源分享)头部。

探讨复旧CORS允许的“*”起头，并通过有用的OAuth令牌强制授权。

幸免将用户左证与原始考证相勾通。

20.安全

在通盘端点、资源和劳动上实施HTTPS (tls加密)。

强制并条目通盘回调url、推送告知端点和webhooks使用HTTPS。

21. 失实

当客户端向劳动发出无效或不正确的苦求，或向劳动传递无效或不正确的数据，而劳动远离该苦求时，就会出现失实，约略更具体地说，出现劳动失实。

例子包括无效的身份考证左证、不正确的参数、未知的版块id等。

当由于一个或多个劳动失实而远离客户端苦求时，一定要复返4xx HTTP失实代码。 探讨处分通盘属性，然后在单个反应中复返多个考证问题。 22. 黄金划定

如若您对API方法的决定有疑问，这些黄金章程不错匡助咱们作念出正确的决定。

扁平比嵌套好。 简便胜于复杂。 字符串比数字好。 一致性比定制更好。

等于这么——如若你照旧走到了这一步，恭喜你!但愿你学到了一些东西。

但愿你渡过好意思好的一天!

译者：Mr.lzc，软件工程师、DevOpsDays、HDZ深圳中枢组织者，现在供职于华为，从事云计较使命，专注于K8s、微劳动领域。