背景
    今天在移动应用普及、前后端分离的大浪潮下,当前的发展趋势,就是前端设备层出不穷(手机、平板、桌面电脑、其他专用设备等等)。因此,必须有一种统一的机制,方便不同的前端设备与后端进行通信。
    REST(Representational State Transfer)表述性状态转换,REST指的是一组架构约束条件和原则。 如果一个架构符合REST的约束条件和原则,我们就称它为RESTful架构。因为它本身就是一个比较模糊且宽泛的概念,所以每个人对它的理解都有千差万别。而且RESTful API设计目前并没有一个公认的行业最佳实践,故而开发者在设计一个API系统时,更应该根据自身的情况量身定制。
    REST本身并没有创造新的技术、组件或服务,而隐藏在RESTful背后的理念就是使用Web的现有特征和能力, 更好地使用现有Web标准中的一些准则和约束。虽然REST本身受Web技术的影响很深, 但是理论上REST架构风格并不是绑定在HTTP上,只不过目前HTTP是与REST相关实践比较多。
    概念
    URI
    URI 表示资源,资源一般对应服务器端领域模型中的实体类。
    REST(Representational State Transfer)
    定义了一套基于Web的数据交互方式的设计风格。
    RESTful
    符合REST风格的API就可以叫做RESTful API。注意,本文讲到的RESTful API设计方法将是基于HTTP和JSON实现方式,但不论HTTP还是JSON都不是REST的标准。REST只是风格,没有标准。
    常规请求方式
    GET (选择):从服务器上获取一个具体的资源或者一个资源列表。
    POST (创建): 在服务器上创建一个新的资源。
    PUT(更新):以整体的方式更新服务器上的一个资源。
    PATCH (更新):只更新服务器上一个资源的一个属性。
    DELETE(删除):删除服务器上的一个资源。
    HEAD : 获取一个资源的元数据,如数据的哈希值或最后的更新时间。
    OPTIONS:获取客户端能对资源做什么操作的信息。
    安全性和幂等性
    安全性:不会改变资源状态,可以理解为只读的;
    幂等性:执行1次和执行N次,对资源状态改变的效果是等价的。

    安全性 幂等性
    GET
    POST × ×
    PUT ×
    DELETE ×

    RESTful API设计规则
    一、URL 设计
    URL 用来定位资源,跟要进行的操作区分开,这就意味着URL不该有任何动词。Method 是用来标识当前请求对该资源进行什么操作。
    因此,REST 规范可以简单粗暴抽象成以下两个规则:
    1、请求 API 的 URL 表示用来定位资源
    2、请求的 METHOD 表示对这个资源进行的操作
    1.1 动词 + 宾语
    RESTful 的核心思想就是,客户端发出的数据操作指令都是”动词 + 宾语”的结构。比如,
    GET /articles这个命令,GET是动词,/articles是宾语
    动词通常就是五种 HTTP 方法,对应 CRUD 操作
    GET:读取(Read)
    POST:新建(Create)
    PUT:更新(Update)
    PATCH:更新(Update),通常是部分更新
    DELETE:删除(Delete)
    根据 HTTP 规范,动词一律大写
    1.2 动词的覆盖
    有些客户端只能使用GET和POST这两种方法。服务器必须接受POST模拟其他三个方法(PUT、PATCH、DELETE)
    这时,客户端发出的 HTTP 请求,要加上X-HTTP-Method-Override属性,告诉服务器应该使用哪一个动词,覆盖POST方法
    POST /api/Person/4 HTTP/1.1
    X-HTTP-Method-Override: PUT
    1.3 宾语必须是名词
    宾语就是 API 的 URL,是 HTTP 动词作用的对象。它应该是名词,不能是动词。比如,/articles
    这个 URL 就是正确的,而下面的 URL 不是名词,所以都是错误的。
    /getAllCars
    /createNewCar
    /deleteAllRedCars
    1.4 复数 URL
    既然 URL 是名词,那么应该使用复数,还是单数?这没有统一的规定,但是常见的操作是读取一个集合,比如GET /articles(读取所有文章),这里明显应该是复数。为了统一起见,建议都使用复数 URL,比如GET /articles/2要好于GET /article/2
    1.5 避免多级 URL
    常见的情况是,资源需要多级分类,因此很容易写出多级的 URL,比如获取某个作者的某一类文章
    GET /authors/12/categories/2这种 URL 不利于扩展,语义也不明确,往往要想一会,才能明白含义
    更好的做法是,除了第一级,其他级别都用查询字符串表达。GET /authors/12?categories=2
    例如,查询已发布的文章。你可能会设计成下面的 URL
    GET /articles/published
    查询字符串的写法明显更好
    GET /articles?published=true
    二、状态码
    2.1 状态码必须精确
    客户端的每一次请求,服务器都必须给出回应。回应包括 HTTP 状态码和数据两部分。
    HTTP 状态码就是一个三位数,分成五个类别。
    1xx:相关信息
    2xx:操作成功
    3xx:重定向
    4xx:客户端错误
    5xx:服务器错误
    这五大类总共包含100多种状态码,覆盖了绝大部分可能遇到的情况。每一种状态码都有标准的(或者约定的)解释,客户端只需查看状态码,就可以判断出发生了什么情况,所以服务器应该返回尽可能精确的状态码。
    API 不需要1xx状态码,下面介绍其他四类状态码的精确含义。
    2.2 2xx 状态码
    200状态码表示操作成功,但是不同的方法可以返回更精确的状态码。
    GET: 200 OK
    POST: 201 Created
    PUT: 200 OK
    PATCH: 200 OK
    DELETE: 204 No Content
    上面代码中,POST返回201状态码,表示生成了新的资源;DELETE返回204状态码,表示资源已经不存在。
    此外,202 Accepted状态码表示服务器已经收到请求,但还未进行处理,会在未来再处理,通常用于异步操作。下面是一个例子。
    HTTP/1.1 202 Accepted { “task”: { “href”: “/api/company/job-management/jobs/2130040”, “id”: “2130040” } }
    2.3 3xx 状态码
    API 用不到301状态码(永久重定向)和302状态码(暂时重定向,307也是这个含义),因为它们可以由应用级别返回,浏览器会直接跳转,API 级别可以不考虑这两种情况。
    API 用到的3xx状态码,主要是303 See Other,表示参考另一个 URL。它与302和307的含义一样,也是”暂时重定向”,区别在于302和307用于GET请求,而303用于POST、PUT和DELETE请求。收到303以后,浏览器不会自动跳转,而会让用户自己决定下一步怎么办。下面是一个例子。
    HTTP/1.1 303 See Other
    /api/orders/123456
    2.4 4xx 状态码
    4xx状态码表示客户端错误,主要有下面几种:
    400 Bad Request:服务器不理解客户端的请求,未做任何处理
    401 Unauthorized:用户未提供身份验证凭据,或者没有通过身份验证。
    403 Forbidden:用户通过了身份验证,但是不具有访问资源所需的权限。
    404 Not Found:所请求的资源不存在,或不可用。
    405 Method Not Allowed:用户已经通过身份验证,但是所用的 HTTP 方法不在他的权限之内。
    410 Gone:所请求的资源已从这个地址转移,不再可用。
    415 Unsupported Media Type:客户端要求的返回格式不支持。比如,API 只能返回 JSON 格式,但是客户端要求返回 XML 格式。
    422 Unprocessable Entity:客户端上传的附件无法处理,导致请求失败。
    429 Too Many Requests:客户端的请求次数超过限额。
    2.5 5xx 状态码
    5xx状态码表示服务端错误。一般来说,API 不会向用户透露服务器的详细信息,所以只要两个状态码就够了。
    500 Internal Server Error:客户端请求有效,服务器处理时发生了意外。
    503 Service Unavailable:服务器无法处理请求,一般用于网站维护状态。
    三、服务器回应
    3.1 不要返回纯本文
    API 返回的数据格式,不应该是纯文本,而应该是一个 JSON 对象,因为这样才能返回标准的结构化数据。所以,服务器回应的 HTTP 头的Content-Type属性设application/json
    客户端请求时,也要明确告诉服务器,可以接受 JSON 格式,即请求的 HTTP 头的ACCEPT属性也要设成
    application/json。下面是一个例子的;
    GET /orders/2 HTTP/1.1
    Accept: application/json
    3.2 发生错误时,不要返回 200 状态码
    有一种不恰当的做法是,即使发生错误,也返回200状态码,把错误信息放在数据体里面,就像下面这样。
    HTTP/1.1 200 OK
    Content-Type: application/json
    {
    “status”: “fail”,
    “data”: {
    “error”: “Expected message XXXXXX”
    }
    }
    上面代码中,解析数据体以后,才能得知操作失败。
    这种做法实际上取消了状态码,这是完全不可取的。正确的做法是,状态码反映发生的错误,具体的错误信息放在数据体里面返回。例如:
    事例一
    HTTP/1.1 400 Bad Request
    Content-Type: application/json
    {
    “error”: “Invalid payoad.”,
    “detail”: {
    “surname”: “This field is required.”
    }
    }
    事例二
    HTTP/1.1 400 Bad Request
    Content-Type: application/json
    {
    “code”:400001,
    “message”:”This name is required “
    }
    3.3 提供链接
    API 的使用者未必知道,URL 是怎么设计的。一个解决方法就是,在回应中,给出相关链接,便于下一步操作。这样的话,用户只要记住一个 URL,就可以发现其他的 URL。这种方法叫做 HATEOAS。
    例如,GitHub 的 API 都在 api.github.com这个域名。访问它,就可以得到其他 URL。
    {
    “feeds_url”: “https://api.github.com/feeds“,
    “followers_url”: “https://api.github.com/user/followers“,
    “following_url”: “https://api.github.com/user/following{/target}”,
    “gists_url”: “https://api.github.com/gists{/gist_id}”,
    “hub_url”: “https://api.github.com/hub“,

    }
    上面URL中,挑一个 URL 访问,又可以得到别的 URL。对于用户来说,不需要记住 URL 设计,只要从 api.github.com 一步步查找就可以了。
    HATEOAS 的格式没有统一规定,GitHub 将它们与其他属性放在一起。更好的做法应该是,将相关链接与其他属性分开。
    HTTP/1.1 200 OK
    Content-Type: application/json
    {
    “status”: “In progress”,
    “links”: {[
    { “rel”:”cancel”, “method”: “delete”, “href”:”/api/status/12345” } ,
    { “rel”:”edit”, “method”: “put”, “href”:”/api/status/12345” }
    ]}
    }
    目前大部分通过Swagger-UI
    四、API接口多版本维护设计与实现
    4.1 api版本号放在url路径中
    https://api.example.com/v1/user/ID
    https://api.example.com/user/v1/ID
    例一
    @RequestMapping(“/v1/users”)
    public class UserController {
    @GetMapping(value = “/{id}”)
    public String get(@PathParam(“id”) String id) {
    return null;
    }
    }
    例二
    @RequestMapping(“/users”)
    public class UserController {
    @GetMapping(value = “/v1/{id}”)
    public String get(@PathParam(“id”) String id) {
    return null;
    }
    }
    4.2 api版本号放在url参数中
    https://api.example.com/user/ID?version=v1
    https://api.example.com/user/ID?version=v2
    这种做起来比较简单也容易理解,但是在你的每个接口逻辑里面都需要写判断版本的代码
    @RestController
    @RequestMapping(“/users”)
    public class UserController {
    @GetMapping(value = “/{id}”)
    public String get(@PathParam(“id”) String id, String version) {
    if (“v1”.equals(version)) {
    return “v1”;
    } else if (“v2”.equals(version)) {
    return “v2”;
    }
    return null;
    }
    }
    这样的代码看起来感觉很不舒服。而且会维护一大堆的if-else,以后会越来越长
    4.3 api版本号放在请求的header中
    客户端在做请求的时候,在HTTP HEAD里面中添加API-VERSION字段,标识出请求的是哪个接口:
    -H “API-VERSION: v1”
    -H “API-VERSION: v2”
    这个需要统一做的事情稍微有点多,但之后的接口逻辑会比较好些。在入口的地方获取接口版本,然后把请求分发到对应版本的接口处理器上
    4.4 api版本号放在二级域名中
    不同版本使用不同的域名,例如:
    v1.api.xxx.com
    v2.api.xxx.com
    域名的方式可以采用下面的两种方式:
    不同版本的api部署成不同的应用(甚至可以部署到不同的服务器上),彼此间独立,其好处是部署的过程不会影响其他版本api的使用,并且可以减轻单台服务器的负担。
    部署在一个应用上面,但是和第三种一样,在接口入口处分发到不同版本的接口处理器上进行处理。好处是不同版本间能够直接复用相同的功能
    4.5 api版本方案选择
    主要有2种方案:
    同一套代码,兼容不同版本的api。根据请求中的版本信息区分,返回不同的数据。 (倾向于选方案4.1)
    严格区分个版本api的代码,使用不同的分支或是tags,分布部署不同版本api对应的服务(分开部署,倾向于选方案。4.4)
    五、API/REST API/RESTFUL API 对比
    5.1 API 与 REST API
    什么是API?这里引述维基百科给出的定义:应用程序接口(英语:Application Programming Interface,缩写:API;又称为应用编程接口)是软件系统不同组成部分衔接的约定。这个对API的定义太过于广泛和抽象,而通俗的讲,API是一段应用程序与另一段应用程序相互“交流”的方式(协议)。在Web应用程开发中,API是我们通过网络进行数据检索的一种主要方式,API文档将告知你检索数据的URL列表、查询参数、请求方式以及响应状态,其目的是降低Web应用程序开发难度,共享两个应用程序之间的数据(文本、音频、视频、图片等),而屏蔽其内部复杂的实现细节。
    REST是Representational State Transfer的缩写,直译过来就是:表述状态的转移。REST API是一组关于如何构建Web应用程序API的架构规则、标准或指导,或者说REST API是遵循API原则的一种架构风格。REST是专门针对Web应用程序而设计的,其目的在于降低开发的复杂度,提高系统的可伸缩性。下面是设计REST风格的系统架构时需要满足或者遵循的一些基本条件和原则:
    1、在REST架构中,Web中所有的事物(文本、音频、视频、图片、链接)都可以被统一的抽象为资源(resource)
    2、在REST架构中,每一个资源都有与之对应的唯一资源标识符(resource identifier),当资源的状态发生改变时,资源标识符不会发生改变
    3、在REST架构中,所有的操作都是无状态的。REST架构遵循CRUD原则,所有的资源都可以通过GET、POST、PUT和DELETE这四种行为完成对应的操作。
    4、可缓存(可选项),在REST架构中需要缓存来有效的处理大批量的请求
    5、接口一致
    API和REST API的基本概念,那这两者之间有什么异同?如果按照数学上集合的概念来解释API与REST API之间的联系与区别,API是REST API的超集,REST API 是API的子集;所有的REST API都是API,但不是所有的API都是REST API。更通俗的解释是:所有的男人都是人,但不是所有的人都是男人。
    5.2 REST API 与RESTful API
    了解了什么是REST API,接下来聊聊REST API与RESTful API之间的异同。很多时候很容易将这两者等同起来,认为RESTful API就是REST API,这可能是单纯的从字面上去理解了,当你深入的去了解两者的本质后,你会发现其实不然。REST API是Web API设计的一种规范或者指导原则,而RESTful API则是这中架构设计原则或者规范的一种具体实现方式。也就是说,RESTful API是REST API的非正式实现方式,因为实现REST API的方式有很多,RESTful API只是其中一种,且没有完全满足REST API的所有设计原则,每个开发者在实现REST 架构时的则重点都会有差别。
    很容易将REST API与RESTful API两者的概念搞混淆,我想可能只是看字面意思,而没有关注它们本身的含义(就像认识中文字一样,有边读边,无边读中间,断章取义了)。这就好比很多人会把变性人等同于女人,变性人可能五官的表象看起来和女人一样,但变性人不能生育,它只是满足了定义一个女性的大多数条件(实现),但本质上不是女人。
    通过一个简单的例子以加深对REST API和RESTful API的理解,执行CURD操作的RESTful API设计案:
    以学生管理为例,设计学生管理的API。学生资源包括ID,姓名和所学课程信息,学生资源信息如下:
    {
    “id”:1001,
    “username”:”kafka”,
    “course”:[
    {“id”:1,”name”:”语文”},
    {“id”:2,”name”:”数学”},
    {“id”:3,”name”:”英语”}
    ]
    }
    现在,我们需要将学生数据保存到数据库,然后执行查询、修改和删除学生数据的操作。学生管理API的使用者调用的API如下:
    1、 创建学生资源:
    [POST] http://www.example.com/student
    2、 获取所有学生资源:
    [GET] http://www.example.com/students
    3、 获取ID=1001的学生资源:
    [GET] http://www.example.com/student/1001
    4、 修改ID=1001的学生资源:
    [PUT] http://www.example.com/student/1001
    5、 删除ID=1001的学生资源:
    [DELETE] http://www.example.com/student/1001
    六、统一返回数据结构
    由于根据公司已由项目,目前所返回数据结构需定义返回格式、错误编码,方便统一管理、便于错误查看
    事例一
    HTTP/1.1 400 Bad Request
    Content-Type: application/json
    {
    “error”: “Invalid payoad.”,
    “detail”: {
    “surname”: “This field is required.”
    }
    }
    事例二
    HTTP/1.1 400 Bad Request
    Content-Type: application/json
    {
    “code”:400001,
    “message”:”This name is required “
    }