您当前的位置:首页 > 电脑百科 > 程序开发 > 编程百科

谈一谈API接口开发,怎么编写一个合理严谨的接口

时间:2022-09-08 14:06:50  来源:  作者:编程侠

做过开发的程序猿,基本都写过接口,写接口不算难事,与接口交互的对象核对好接口的地址、请求参数和响应参数即可,我在作为面试官去面试开发人员的时候,有时候会问这个问题,但相当多的一部分人并没有深入的考虑过怎么写好一个接口,包括接口的可靠性、安全性和高并发等等。


 

小编在项目开发过程中,与很多的企业对接过接口,包括一些小企业定制化的软件接口,也包括一些大厂形成规范的接口,比如支付宝、银联、微信,以及各大银行等等,相对来说,很多小厂的接口编写比较随意,而大厂对接口的定义就比较严谨,接下来我们就来分析一下。


 

1、api接口签名

有过开发经验的程序猿,一般都会注意到这个问题,为了接口的安全性,需要对参数进行签名,防止参数在请求过程中被篡改。就类似于你的一个好久没联系的朋友或者同学,通过微信或者QQ,给你发了条消息,向你借钱,有一部分人的第一反应是他是不是被盗号了?他是本人吗?所以我们建议通过视频或者电话再沟通核实一遍,这就是为了安全性防止财产的损失。

(1)为什么需要 API 接口签名?

对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄露的风险。利用 API 接口签名能方便的防范这些安全问题和风险。在设计 API 接口签名时主要考虑以下几点:

 

  • 保证请求数据正确

 

当请求中的某一个字段的值变化时,原有的签名结果就会发生变化。所以,只要参数发生变化,签名就要发生变化,否则请求将会是一个无效的请求。

 

  • 保证请求来源合法

 

一般情况下,生成签名的算法都会成对出现一个 AppKey 和一个 appSecret,根据 appKey 能识别出调用者身份;根据 appSecret 能识别出签名是否合法。

这两个参数是非必须的,根据平台的商户定,比如如果平台没有商户的概念或者只有一个商户,像我们常见的自己的客户端对接自己的服务端。但是像一些提供接入能力的平台,比如微信,很多企业都可以接入,那他就需要区分不同的商户,每个商户分配一个appId,然后再通过appKey+appSecret来区分调用者的权限。

 

  • 识别接口的时效性

 

一般情况下,签名和参数中会包含时间戳,这样服务端就可以验证客户端请求是否在有效时间内,从而避免接口被长时间地重复调用。

(2)签名实现逻辑


 

各家在签名时的请求参数可能有一点差别,但整体实现逻辑是类似的。

第一步:将除sign外的所有请求参数放入集合Map中;

第二步: 将第一步得到的集合M中的参数按照参数名ASCII码从小到大排序(字典序);

第三步:将第二步中排序后的key和与之对应的value拼接起来,使用URL键值对的格式(即key1=value1&key2=value2…)得到字符串 params;

第四步:在params的最后再拼接appKey密钥,然后通过某种加密算法或通过hash算法得到 sign 值(一般为Base64(Hmac_SHA1(params, appSecret)));

第五步:sign加到params 中,将params放入请求头中发送请求目标接口;

(3)签名实现代码


 

我们会常用到几个参数:

version:版本号

charset :字符编码

sign_type:签名类型,如RSA、RSA2、SHA

timestamp:当前时间戳,格式YYYYMMDDhhmmss,在服务端会验证比对请求方的时间与系统当前时间差,若超出太多,比如超过十分钟,就认为这个是过期的请求,不允许获取数据。

nonce_str:随机字符串,随机以主要保证签名不可预测。每次请求时都不一样。

2、加密算法

对于一些比较敏感的私人信息,接口传输过程最好进行加密传输,比如用户姓名、手机号、身份证号码等。如果需要明文保存,可以使用AES双向加密解密,如果直接保存加密的数据,可以使用md5加密。

(1)md5加密

MD5加密是一种不可逆的加密算法,不可逆加密算法的特征是加密过程中不需要使用密钥,输入明文后由系统直接经过加密算法处理成密文,这种加密后的数据是无法被解密的,只有重新输入明文,并再次经过同样不可逆的加密算法处理,得到相同的加密密文并被系统重新识别后,才能真正解密。很多网站为了安全性,会额外再加一个盐值(一串随机字符串)一起进行加密,提高加密的安全性。MD5盐值加密作用就是为了防止MD5被暴力破解。通过盐值和密码进行组合计算得出MD5,在数据库中要同时存储该MD5码及盐值。在需要验证密码正确性时,可以将密码和数据库中对应账号密码的盐值组合计算出的MD5与数据库中的MD5进行比对。


 

另外一些网站号称可以对md5加密的密文进行解密,他们只是手机了足够多的密码信息,来进行匹配,反向推导出加密前的明文,实际上是无法真正的实现md5解密的。

(2)AES双向对称加解密


 

AES是一种分组密码 分组长度为128位(16字节),根据密钥长度可分为AES-128 AES-192和AES-256,密钥长度不同,AES的加密轮数也不同。


 

AES的工作模式分为ECB、CBC、CFB等

ECB是最简单和最早的模式,首先是密钥扩展,将加密的数据按照16字节的大小分成若干组,对每组都用同样的密钥加密。

CBC和ECB的区别就是添加了一个初始向量(16字节),在将密钥分成若干组之后,第一组与初始化向量异或之后再进行与ECB相同的加密流程,后面的每一组都与上一组的密文进行异或之后再与密钥加密。


 

3、编码解码

(1)为什么会出现乱码

在计算机中,不管是一段文字、一张图片还是一段视频,最终都是以二进制的方式来存储。也就是最终都会转化为 0001 1000 这样的格式。换句话说,计算机只认识 0 和 1 这样的数字,并不能直接存储字符。所以我们需要告诉它什么样的字符对应的是什么数字。但是如果用户A定义的编码规则,传到B使用了另外一套解码规则进行解码,由于编码和解码的规则对应不上就导致了乱码。

(2)怎么解决乱码

这就需要我们了解JAVA中的编码转换。双方定义好编码方式,我们以utf8和gbk这两种常见的编码为例。


 

4、接口token鉴权

有一部分人会把token鉴权和接口加签搞混,我们来梳理一下这两种方式。

使用Sign签名,是为了对接口参数进行验证,我们在业务开发过程中与上下游系统进行接口对接时,常采用这种方式,那为什么不是token方式呢,因为我们不需要登录上下游系统,他们在拦截器层面已经放行了这些接口,不需要登录后才给调用。而像我们管理平台上的接口,比如查询某个列表的数据,就不能直接调用接口,需要先登录系统才有调用接口的权限。

Token是用来判断用户身份的一个标识,身份验证通过了,才能调用接口,token也是一种加密方式,使用用户的信息进行加密,一般可以使用md5加密,我们来看一下token鉴权的过程。


 

第一步:用户使用账号密码登录,向服务端发起http请求

第二步:服务端校验账号密码数据

第三步:验证成功后,服务端会生成一个token,并将这个token返回给客户端

第四步:客户端收到这token后将它放在cookie或者本地存储

第五步:客户端再次向服务器发起请求时带上token

第六步:服务端收到请求,然后验证客户端请求里面带着token来判断权限,如果验证成功,就向客户端返回请求的数据。

5、接口示例

以上分析了这么多,接下来我们就来看一下各大厂定义的接口规范,有哪些值得我们学习的。

银联:


 


 

支付宝(支付宝需要引入支付宝的sdk,支付宝sdk内部进行了封装):


 

招商银行:



Tags:API接口   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
优雅实现API接口开关:让你的应用更可控
环境:SpringBoot2.7.121. 概述本文将介绍如何为API接口动态添加开关功能。通过这个功能,我们可以控制API接口的正常访问或显示提示信息。这有助于在开发和维护过程中更好地管...【详细内容】
2023-11-28  Search: API接口  点击:(108)  评论:(0)  加入收藏
OpenHarmony4.0发布:新增4000多个API接口,交互及隐私能力增强
钛媒体App 11月6日消息,以“技术筑生态,智联赢未来”为主题的第二届OpenHarmony技术大会在北京举办,活动中,OpenHarmony 4.0版本正式发布。据介绍,OpenHarmony4.0版本开发套件同...【详细内容】
2023-11-07  Search: API接口  点击:(141)  评论:(0)  加入收藏
API接口参数验证的必备神器,让你的代码更高效!
环境:Springboot2.6.121. 简介Spring Validation是一种轻量级的数据验证框架,主要用于对Java对象进行校验。它为数据验证提供了统一的接口和基本的校验功能,解决了数据校验这一...【详细内容】
2023-11-07  Search: API接口  点击:(301)  评论:(0)  加入收藏
API接口脱敏:如何安全地处理敏感数据?
环境:SpringBoot2.6.12API接口脱敏是一种保护敏感数据的重要方法。它涉及到在数据传输和存储过程中,将敏感数据替换为无意义或伪装的数据,以防止未经授权的访问和泄露。下面是...【详细内容】
2023-10-07  Search: API接口  点击:(317)  评论:(0)  加入收藏
详解API接口如何安全的传输数据
在Spring中我们通过继承RequestBodyAdviceAdapter实现对于请求的内容进行解密操作,实现ResponseBodyAdvice来对相应内容进行加密处理。接下来将详细讲解数据加解密的实现过程...【详细内容】
2023-08-28  Search: API接口  点击:(259)  评论:(0)  加入收藏
如何调用AI室内设计软件的API接口
在此篇干货教程中,我将以向大家介绍如何使用API接口调用和接入AI室内设计。让我们一起来了解吧!...【详细内容】
2023-08-17  Search: API接口  点击:(333)  评论:(0)  加入收藏
如何接入midjourney的api接口
在进行midjourney的API开发之前,首先需要了解如何接入、调用和申请midjourney的API接口。✨midjourney的API无法直接调用,需要通过触站AI来调用midjourney的API接口。...【详细内容】
2023-08-06  Search: API接口  点击:(248)  评论:(0)  加入收藏
如何搭建ai绘画软件,一个API接口即可实现
以触站AI的API接口为例,教大家如何搭建ai绘画网站!首先,我们在触站AI找到:API开放接口先来测试一下效果:调用触站AI绘画网站的API步骤操作:1. 注册账号并获取API密钥:首先,您需要在A...【详细内容】
2023-07-31  Search: API接口  点击:(295)  评论:(0)  加入收藏
OpenAI大更新,API接口升级,并降低价格
6月14日消息,OpenAI为了在生成式人工智能领域中保持竞争优势,正在升级文本生成模型,并降低价格。美国当地时间周二,OpenAI宣布发布了GPT-3.5 Turbo和GPT-4的新版本。其中,GPT-4是...【详细内容】
2023-06-14  Search: API接口  点击:(71)  评论:(0)  加入收藏
建立高效的API接口安全策略
前言伴随互联网革命快速创新发展,API 需求的日益剧增,针对 API 的攻击几乎遍布各个行业,据报道 2022 年全年平均每月遭受攻击的 API 数量超过 21 万,游戏、社交、电商、制造等行...【详细内容】
2023-05-26  Search: API接口  点击:(278)  评论:(0)  加入收藏
▌简易百科推荐
Netflix 是如何管理 2.38 亿会员的
作者 | Surabhi Diwan译者 | 明知山策划 | TinaNetflix 高级软件工程师 Surabhi Diwan 在 2023 年旧金山 QCon 大会上发表了题为管理 Netflix 的 2.38 亿会员 的演讲。她在...【详细内容】
2024-04-08    InfoQ  Tags:Netflix   点击:(2)  评论:(0)  加入收藏
即将过时的 5 种软件开发技能!
作者 | Eran Yahav编译 | 言征出品 | 51CTO技术栈(微信号:blog51cto) 时至今日,AI编码工具已经进化到足够强大了吗?这未必好回答,但从2023 年 Stack Overflow 上的调查数据来看,44%...【详细内容】
2024-04-03    51CTO  Tags:软件开发   点击:(7)  评论:(0)  加入收藏
跳转链接代码怎么写?
在网页开发中,跳转链接是一项常见的功能。然而,对于非技术人员来说,编写跳转链接代码可能会显得有些困难。不用担心!我们可以借助外链平台来简化操作,即使没有编程经验,也能轻松实...【详细内容】
2024-03-27  蓝色天纪    Tags:跳转链接   点击:(13)  评论:(0)  加入收藏
中台亡了,问题到底出在哪里?
曾几何时,中台一度被当做“变革灵药”,嫁接在“前台作战单元”和“后台资源部门”之间,实现企业各业务线的“打通”和全域业务能力集成,提高开发和服务效率。但在中台如火如荼之...【详细内容】
2024-03-27  dbaplus社群    Tags:中台   点击:(9)  评论:(0)  加入收藏
员工写了个比删库更可怕的Bug!
想必大家都听说过删库跑路吧,我之前一直把它当一个段子来看。可万万没想到,就在昨天,我们公司的某位员工,竟然写了一个比删库更可怕的 Bug!给大家分享一下(不是公开处刑),希望朋友们...【详细内容】
2024-03-26  dbaplus社群    Tags:Bug   点击:(5)  评论:(0)  加入收藏
我们一起聊聊什么是正向代理和反向代理
从字面意思上看,代理就是代替处理的意思,一个对象有能力代替另一个对象处理某一件事。代理,这个词在我们的日常生活中也不陌生,比如在购物、旅游等场景中,我们经常会委托别人代替...【详细内容】
2024-03-26  萤火架构  微信公众号  Tags:正向代理   点击:(11)  评论:(0)  加入收藏
看一遍就理解:IO模型详解
前言大家好,我是程序员田螺。今天我们一起来学习IO模型。在本文开始前呢,先问问大家几个问题哈~什么是IO呢?什么是阻塞非阻塞IO?什么是同步异步IO?什么是IO多路复用?select/epoll...【详细内容】
2024-03-26  捡田螺的小男孩  微信公众号  Tags:IO模型   点击:(9)  评论:(0)  加入收藏
为什么都说 HashMap 是线程不安全的?
做Java开发的人,应该都用过 HashMap 这种集合。今天就和大家来聊聊,为什么 HashMap 是线程不安全的。1.HashMap 数据结构简单来说,HashMap 基于哈希表实现。它使用键的哈希码来...【详细内容】
2024-03-22  Java技术指北  微信公众号  Tags:HashMap   点击:(11)  评论:(0)  加入收藏
如何从头开始编写LoRA代码,这有一份教程
选自 lightning.ai作者:Sebastian Raschka机器之心编译编辑:陈萍作者表示:在各种有效的 LLM 微调方法中,LoRA 仍然是他的首选。LoRA(Low-Rank Adaptation)作为一种用于微调 LLM(大...【详细内容】
2024-03-21  机器之心Pro    Tags:LoRA   点击:(12)  评论:(0)  加入收藏
这样搭建日志中心,传统的ELK就扔了吧!
最近客户有个新需求,就是想查看网站的访问情况。由于网站没有做google的统计和百度的统计,所以访问情况,只能通过日志查看,通过脚本的形式给客户导出也不太实际,给客户写个简单的...【详细内容】
2024-03-20  dbaplus社群    Tags:日志   点击:(4)  评论:(0)  加入收藏
站内最新
站内热门
站内头条