您当前的位置:首页 > 电脑百科 > 程序开发 > 编程百科

防止你的 API 被人采用的 4 个技巧

时间:2021-07-22 09:57:03  来源:  作者:InfoQ

过去几个月里,我一直在对付一个流行健身品牌的 API,最后发现自己陷入了一种卡夫卡式的噩梦。程序员都喜欢挑战,优秀的程序员一定要征服种种挑战。我一直觉得自己是一个非常优秀的程序员。因此,尽管每天晚上我都以失败告终,只能上床睡觉,但我内心深处的某些东西是不会让我就此放弃的——第二天早上,我会带着新的想法和新的动力满血复活。

这样的循环已经持续几个月,这就像一场梦,日复一日,迟迟没有苏醒的一刻。我要处理的任务很简单:获取数据,保存数据,完事。但面对这个 API,我被一堆脆弱的代码团团围住,追逐着那些我永远都抓不到的错误。

那么,怎样才能构建一个具备如此高技术障碍的 API,让你可以击败一个拥有 20 年经验,过去总有办法走出困境的老手呢?你如何让他慢慢抓狂,并让他从自己所热爱的这一职业中获得的所有快乐一扫而空呢。好吧,我会告诉你诀窍的。

我们先来布置角斗场地。

对于授权需求,我们将使用 OAuth1a。当然,这是一个非常好的标准,但用它签署请求会增加那么一点点复杂性,让你永远没法搞清楚原来是签署导致请求失败的。

服务器到服务器的通信

我们不会响应你的 API 请求,而是给你回电。你请求服务器提供一些数据,然后在从现在到宇宙终结之前(或永远不会)的某个时间点上,我们会做出回应。响应一般需要几毫秒,但有时需要几分钟,在极少数情况下需要几个小时。但最重要的是,如果我们没有任何数据,我们根本就不会做出响应。不一致是程序员的天敌。

这种设置在实践中意味着什么呢?这意味着你需要在服务器或代理后面设置一个端点。这也意味着在你的单元测试中,如果没有响应,那么你将不得不做一些工作。你得编写一些代码,对其进行测试,如果失败还要检查你的 web 服务器日志。

但是,也许在你查看请求通过的那些日志时,它终于有反应了,只不过响应来得慢一些。不过当然 JSON 没有按照你预期的方式格式化,所以请重来一遍吧。

禁止重复数据

这招可是很不错的。不管你请求任何数据,你都只能请求恰好一次。不是一分钟一次,也不是一小时或一天一次——是这辈子都只能请求那么一次。这实际上意味着任何单元测试都是不可重复的,想要重来一次?请手动注册新帐户并在里面人工填好数据。

假设当代码生效时,一位用户请求了某个时间段内的数据,他要的数据可能存在也可能不存在,你可能会,也可能不会收到这些数据,但你仍然需要跟踪这一请求,因为如果你这个请求只重叠了那么区区一天,那么在将来某个时候,你就会收到一条错误消息。当生产环境中的请求失败时会发生什么呢?当然没有缓解措施,你什么都做不了。这些数据是不可恢复的——永远别指望它能恢复了。

我可以用一整天谈论这个技巧的强大力量。不过你只要简单地想象一下,比如你编写了自己的第一行代码,然后又成功地执行了它,然后当你再次运行它时,它就没有任何反应了。想象一下项目的其他部分全变成了这个样子,那会是多么壮观的场面。

开发和 QA 速率限制

我想你可能会争辩说,将 QA 速率限制设置为远低于生产环境的速率可能是有原因的。但如果将阈值设置为每分钟 100 天的数据(不是请求)会有什么样的结果呢?这个技巧特别狡猾。

首先,它的确为你的开发测试周期设置了一个最大阈值。你可以写一些代码,运行一个测试,然后开始等待。但它的要点在于它加入了另一个因素,让代码可能会莫名其妙地失败。

最厉害的是当你正在尝试开发一个高度可扩展的应用程序的时候,你到底该怎么开始测试随便什么类型的负载呢?简单的答案是你可以在生产环境中进行测试,也可以根本不做任何测试。

PROD 中的应用程序级别速率限制

应用程序级速率限制这个技巧的美妙之处在于,你需要一个消息队列才行。当然可能还有其他技巧,但如果它是一个 Web 应用,并且你不想让一堆长时间运行的线程在队列中运行,那么这几乎是你唯一的选择。

当然,它们也加入了其他一些东西,但这些几乎不值得一提,因为这些东西只不过是典型的数据结构挑战或糟糕的参数化选项而已。这些是你平日里经常要面对的挑战,并不是那些即便是最有经验的开发人员也会屈服的挑战。

在过去的几个月里,我花了很多时间试图想象这个 API 背后的团队究竟是什么样子的,以及他们到底有什么样的动机来开发这样一个 API。无论你是如何看待它的,他们的初衷肯定是防止别人使用这个 API。也许,他们正在与一个其基础设施拥有数十年历史的系统交互,这一系统会因最轻微的干扰而崩溃。也许他们有很多新招来的开发人员,编写了一些非常低效的代码,而当他们探讨解决方案的时候,最后想出来的办法就是尽可能给用户设置更多障碍?或者也许他们只是丝毫没有同理心。也许当他们权衡设计决策时,可用性这一条的评分被减到了零,这样其他所有问题就都能得到最大程度的重视了。

但我认为还有另一种可能。公司都喜欢把他们的花园围起来,但在健身领域,数据可移植性是一个卖点。那么,你如何才能同时实现两者呢?你如何才能一边把你的花园圈起来,与此同时给大家指出大门的位置呢?如果是因为这样的理由,这个开发噩梦就完全可以解释清楚了。在这种情况下,认真努力地尝试编写代码来使用它的用户就是唯一的傻瓜。

原文链接:

https://chrislukic.com/2021/06/16/techniques-to-prevent-adoption-of-your-api/



Tags:API   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
近日只是为了想尽办法为 Flask 实现 Swagger UI 文档功能,基本上要让 Flask 配合 Flasgger, 所以写了篇 Flask 应用集成 Swagger UI 。然而不断的 Google 过程中偶然间发现了...【详细内容】
2021-12-23  Tags: API  点击:(6)  评论:(0)  加入收藏
一个项目的大部分API,测试用例在参数和参数值等信息会有很多相似的地方。我们可以复制API,复制用例来快速生成,然后做细微调整既可以满足我们的测试需求1.复制API:在菜单发布单...【详细内容】
2021-12-14  Tags: API  点击:(20)  评论:(0)  加入收藏
10月18号, W3C中网络平台孵化器小组(Web Platform Incubator Community Group)公布了HTML Sanitizer API的规范草案。这份草案用来解决浏览器如何解决XSS攻击问题。 网络安全中...【详细内容】
2021-12-07  Tags: API  点击:(18)  评论:(0)  加入收藏
当我们通过kubectl来查看、修改Kubernetes资源时,有没有想过后面的接口到底是怎样的?有没有办法探查这些交互数据呢?Kuberenetes客户端和服务端交互的接口,是基于http协议的。所...【详细内容】
2021-11-23  Tags: API  点击:(29)  评论:(0)  加入收藏
前言客户端请求API,通常需要通过返回码来判断API返回的结果是否符合预期,以及该如何处理返回的内容等。相信很多同学都吃过返回码定义混乱的亏,有的API用返回码是int类型,有的是...【详细内容】
2021-10-28  Tags: API  点击:(51)  评论:(0)  加入收藏
凭借着平缓的学习曲线和简单直接的语法,Python在全球范围内的受欢迎程度,正在呈指数级增长。该编码语言往往可以被用于Web开发、软件开发、数学计算、系统脚本、以及几乎所有...【详细内容】
2021-09-22  Tags: API  点击:(47)  评论:(0)  加入收藏
Guava提供的RateLimiter可以限制物理或逻辑资源的被访问速率,咋一听有点像java并发包下的Samephore,但是又不相同,RateLimiter控制的是速率,Samephore控制的是并发量。RateLimit...【详细内容】
2021-09-17  Tags: API  点击:(72)  评论:(0)  加入收藏
前言前后端分离开发模式中,api文档是最好的沟通方式。今天就来说一说如何整合Swagger生成一套漂亮、美观、实用的接口文档。 源码传送门: https://gitee.com/huoqstudy/xiliu-...【详细内容】
2021-09-08  Tags: API  点击:(65)  评论:(0)  加入收藏
注:商业级功能效果演示,非开源,无源码。研发基础在之前AJAX请求数据加密效果之上,更进一步,对返回数据加密。之前是单纯用于登录场景。更广泛的场景是所有此类AJAX WEB API接口。...【详细内容】
2021-09-03  Tags: API  点击:(73)  评论:(0)  加入收藏
最近一连串的 API 安全事件(Peloton、Experian、Clubhouse 等)无疑迫使许多安全和开发团队仔细检查他们的 API 安全状况,以确保它们不会成为下一个被攻击对象。创建面向外部受...【详细内容】
2021-09-01  Tags: API  点击:(59)  评论:(0)  加入收藏
▌简易百科推荐
摘 要 (OF作品展示)OF之前介绍了用python实现数据可视化、数据分析及一些小项目,但基本都是后端的知识。想要做一个好看的可视化大屏,我们还要学一些前端的知识(vue),网上有很多比...【详细内容】
2021-12-27  项目与数据管理    Tags:Vue   点击:(1)  评论:(0)  加入收藏
程序是如何被执行的  程序是如何被执行的?许多开发者可能也没法回答这个问题,大多数人更注重的是如何编写程序,却不会太注意编写好的程序是如何被运行,这并不是一个好...【详细内容】
2021-12-23  IT学习日记    Tags:程序   点击:(9)  评论:(0)  加入收藏
阅读收获✔️1. 了解单点登录实现原理✔️2. 掌握快速使用xxl-sso接入单点登录功能一、早期的多系统登录解决方案 单系统登录解决方案的核心是cookie,cookie携带会话id在浏览器...【详细内容】
2021-12-23  程序yuan    Tags:单点登录(   点击:(8)  评论:(0)  加入收藏
下载Eclipse RCP IDE如果你电脑上还没有安装Eclipse,那么请到这里下载对应版本的软件进行安装。具体的安装步骤就不在这赘述了。创建第一个标准Eclipse RCP应用(总共分为六步)1...【详细内容】
2021-12-22  阿福ChrisYuan    Tags:RCP应用   点击:(7)  评论:(0)  加入收藏
今天想简单聊一聊 Token 的 Value Capture,就是币的价值问题。首先说明啊,这个话题包含的内容非常之光,Token 的经济学设计也可以包含诸多问题,所以几乎不可能把这个问题说的清...【详细内容】
2021-12-21  唐少华TSH    Tags:Token   点击:(9)  评论:(0)  加入收藏
实现效果:假如有10条数据,分组展示,默认在当前页面展示4个,点击换一批,从第5个开始继续展示,到最后一组,再重新返回到第一组 data() { return { qList: [], //处理后...【详细内容】
2021-12-17  Mason程    Tags:VUE   点击:(14)  评论:(0)  加入收藏
什么是性能调优?(what) 为什么需要性能调优?(why) 什么时候需要性能调优?(when) 什么地方需要性能调优?(where) 什么时候来进行性能调优?(who) 怎么样进行性能调优?(How) 硬件配...【详细内容】
2021-12-16  软件测试小p    Tags:性能调优   点击:(19)  评论:(0)  加入收藏
Tasker 是一款适用于 Android 设备的高级自动化应用,它可以通过脚本让重复性的操作自动运行,提高效率。 不知道从哪里听说的抖音 app 会导致 OLED 屏幕烧屏。于是就现学现卖,自...【详细内容】
2021-12-15  ITBang    Tags:抖音防烧屏   点击:(23)  评论:(0)  加入收藏
11 月 23 日,Rust Moderation Team(审核团队)在 GitHub 上发布了辞职公告,即刻生效。根据公告,审核团队集体辞职是为了抗议 Rust 核心团队(Core team)在执行社区行为准则和标准上...【详细内容】
2021-12-15  InfoQ    Tags:Rust   点击:(24)  评论:(0)  加入收藏
一个项目的大部分API,测试用例在参数和参数值等信息会有很多相似的地方。我们可以复制API,复制用例来快速生成,然后做细微调整既可以满足我们的测试需求1.复制API:在菜单发布单...【详细内容】
2021-12-14  AutoMeter    Tags:AutoMeter   点击:(20)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条