Rest API设计

最新推荐文章于 2023-06-05 00:03:30 发布
最新推荐文章于 2023-06-05 00:03:30 发布
阅读量256 收藏
点赞数
分类专栏: 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39536394/article/details/88697849
版权

rest api 设计

分布式应用程序

  • rest 方式 http协议, 应用更为广泛, 前台应用(app, web)通过 http协议 调用后台服务
    • RestTemplate
  • dubbo tcp 例如后台的几个应用之间进行调用

1. 如何开发 rest api

思想是把网络上的服务都看做一个个的资源,每个资源有一个唯一地址,可以对于这个资源进行增删改查

四种请求方式

把不同 http 的请求方式对应到不同的增删改查操作上
* get - 对资源的查询
* post - 对资源的新增 (不幂等)
* put - 对资源的修改 (幂等)
* delete - 对资源的删除

Restful 风格

Restful 风格即请求路径都一样, 通过请求方式加以区分

服务器端提供服务

@RestController
public class UserController {
   @GetMapping("/user/{id}")
   public User findById(@PathVariable("id") int id) {
       User user = new User();
       user.setId(id);
       user.setUsername("张三");
       user.setAge(18);
       return user;
   }

   @PostMapping("/user")
   public ResponseEntity add(@RequestBody User user) { // @RequestBody 用来将请求体内 json 格式的数据转换为 java 对象
       System.out.println(user);
       HttpHeaders headers = new HttpHeaders();
       headers.setContentType(MediaType.APPLICATION_JSON_UTF8);
       headers.set("aaaa", "bbbb");
       ResponseEntity response = new ResponseEntity(user, headers, HttpStatus.NOT_FOUND);
       return response;
   }

   @PutMapping("/user/{id}")
   public User update(@PathVariable("id") int id, @RequestBody User user) {
       System.out.println(id);
       System.out.println(user);
       return user;
   }

   @DeleteMapping("/user/{id}")
   public Integer add(@PathVariable("id") int id) {
       System.out.println("删除了用户:" + id);
       return id;
   }
}

客户端访问服务器端
通过不同的方法访问不同的请求类型

  • template.getForObject();
  • template.delete();
  • template.postForObject();
  • template.put();
    这四个方法第一个参数都为url,其中get 与post要在参数末尾传入一个返回类型的.class类型。
		RestTemplate template = new RestTemplate();
        User user = template.getForObject("http://localhost:8080/user/id=1", User.class);
        System.out.println(user);

幂等

当给一个资源发送多次请求时,请求结果不受请求次数的影响,称之为幂等的

product 商品表
修改商品的库存 store 5

update product set store = store - 1 where id = 2  -- 非幂等

update product set store = 4 where id = 2  -- 幂等
  • 新增总是不幂等的
  • 但是设计修改方法时,建议设计为幂等的

jwt

json web tokens (令牌)

依赖

 <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-impl</artifactId>
            <version>0.10.5</version>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-jackson</artifactId>
            <version>0.10.5</version>
        </dependency>

1. 创建令牌

生成一个秘钥对象

SecretKey secretKey = Keys.secretKeyFor(SignatureAlgorithm.HS256);
        Base64Encoder encoder = new Base64Encoder();
        System.out.println(encoder.encode(secretKey.getEncoded()));

要保证使用同一个秘钥对象。

// token 是最后生成的令牌(包含了 内容 claims,  签名(signature), 算法名称(alg))
String token = Jwts.builder()
	//内容部分
	.claim("sub", "1")
	//过期时间
	.claim("exp", "1552715553") // 秒
	//          签名算法
	.signWith(SignatureAlgorithm.HS256, "ZYUf0Oym0Lhi9V7f6ML6tXcv0HvGH7YnuhbGhk8Y/+U=")
	.compact();

设置内容和时间可以以使用下边方法

String token = Jwts.builder()
	//          内容部分
	.setSubject("1") // claims("sub", "1")
	.setExpiration(new Date(System.currentTimeMillis()+60*1000)) // 设置 1 分钟后过期
	//          签名算法
	.signWith(SignatureAlgorithm.HS256, "ZYUf0Oym0Lhi9V7f6ML6tXcv0HvGH7YnuhbGhk8Y/+U=")
	.compact();

2. 验证令牌

// 解析器
Jwts.parser()
		// 设置秘钥
		.setSigningKey("ZYUf0Oym0Lhi9V7f6ML6tXcv0HvGH7YnuhbGhk8Y/+U=")
		.parse(token);

好处:

  • 无需将用户的认证信息,存储于服务器端的 session 中, 服务器端不会使用 session 了,称之为 stateless 无状态
  • stateless 可以让服务器的扩展性得到极大提高
  • 经常用在前后台分离的开发中
  • 令牌信息放在请求头中,不存在跨域问题
    格式
请求头名            值
Authorization      "Bearer 令牌"
  • 令牌中还可以存储其他信息
Jwts.builder().claims("名字",)

  • 注意1,名字不要和预定义的名称冲突,sub,exp

  • 注意2,不要存储敏感信息(如密码)

  • 获取令牌信息

Jwt jwt = Jwts.parser()setSigningKey(秘钥)parse(令牌);
Claims c = (Claims)jwt.getBody();
c.get("名字");

应用中的例子

获取令牌响应的格式

ResponseEntity (内部包含了响应的各个组成部分)
new ResponseEntity(响应体, 响应头, 状态码);

  • 状态码

    • 200 正常
    • 400 请求参数问题
    • 401 认证失败(登录失败)
    • 403 没有权限
    • 404 资源不存在
    • 405 请求方法不支持 (例如,只支持post,使用get访问)

  • 响应头

  • 响应体

    • 一般在rest api 都是 json 格式

  • 响应体给一个java 对象即可,最后会转为 json

  • 响应头是一个map 集合,内含多个键值,有很多预定义的键值(content-type)

  • 状态码 是一个枚举值 HttpStatus

  • 控制器方法内返回这个 ResponseEntity 对象

给用户发令牌

@RestController
@RequestMapping("/gunsApi")
public class ApiController extends BaseController {
	//固定的秘钥
    public final static String key = "Ihor9JW8e9A1hG6McNAEXkLyvS6jo3LSOAK2Fl5h0Fw=";
    @Autowired
    private UserDao userDao;
    @Autowired
    private RoleDao roleDao;
    /**
     * 获取 token
     */
    @PostMapping("/auth")
    public ResponseEntity<Map<String, String>> auth(String username, String password) {
        // 1. 获取用户
        User dbUser = userDao.selectByAccount(username);
        Map<String, String> body = new HashMap<>();
        // 2. 检查用户存在
        if( dbUser == null ){
            body.put("message", "该用户不存在");
            return new ResponseEntity<Map<String, String>>(body, HttpStatus.UNAUTHORIZED);
        }
        // 3. 检查密码是否正确
        if( ! BCrypt.checkpw(password, dbUser.getPassword())) {
            body.put("message", "密码不正确");
            return new ResponseEntity<Map<String, String>>(body, HttpStatus.UNAUTHORIZED);
        }
        //4. 获取用户的角色信息
        String roleId = dbUser.getRoleId();// 获取用户的角色, 中间用, 分隔
        String[] split = roleId.split(",");
        List<String> roleNames = new ArrayList<>();
        for (String rid : split) {
            String name = roleDao.selectName(Long.valueOf(rid));
            roleNames.add(name);
        }

        // 5. 发放 access token, 必须包含 subject 和 过期时间
        String token = Jwts.builder()
                .setSubject(String.valueOf(dbUser.getUserId())) // subject 一般唯一
                .setExpiration(new Date(System.currentTimeMillis() + 1800 * 1000))
                .claim("name", dbUser.getName())  
                .claim("roleNames", roleNames.toString())
                .signWith(SignatureAlgorithm.HS256, key)
                .compact();
        body.put("access_token", token);
        return new ResponseEntity<>(body, HttpStatus.OK);
    }
}

验证用户令牌

public class RestApiInteceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 1. 如果是获取 token 路径,放行
        // request.getRequestURI() 获取当前请求路径
        if(request.getRequestURI().equals("/gunsApi/auth")) {
            return true;
        }
       // 2.判断令牌是否合法
        String authorization = request.getHeader("Authorization");
        if(authorization == null || !authorization.startsWith("Bearer ")) {
            response.setStatus(401);
            response.setCharacterEncoding("utf-8");
            response.getWriter().write("{\"message\":\"令牌不存在或格式不对\"}");
            return false;
        }
		// 3.从请求头中拿令牌
        String token = authorization.substring(7);
        // 4. 解析 token 出异常说明被篡改,或是超时等
        try {
            Jwt jwt = Jwts.parser().setSigningKey(ApiController.key).parse(token);

            // 获取令牌的内容部分
            Claims body = (Claims) jwt.getBody();
            System.out.println("用户的姓名:" + body.get("name"));
            System.out.println("用户的角色:" + body.get("roleNames"));
        } catch (ExpiredJwtException | MalformedJwtException | SignatureException | IllegalArgumentException e) {
            response.setStatus(401);
            response.setCharacterEncoding("utf-8");
            response.getWriter().write("{\"message\":\"令牌无效\"}");
            return false;
        }

        return true;
    }
}
bryant_yang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
REST API 最佳实践 – REST 端点设计示例
m0_57290114的博客
04-11 3512
在 Web 开发中,REST API 在确保客户端和服务器之间的顺畅通信方面发挥着重要作用。 您可以将客户端视为前端,将服务器视为后端。 客户端(前端)和服务器(后端)之间的通信通常不是超级直接的。因此,我们使用一个称为应用程序编程接口(或API)的接口来充当客户端和服务器之间的中介。 由于 API 在这种客户端-服务器通信中起着至关重要的作用,因此在设计 API 时应始终牢记最佳实践。这有助于维护它们的开发人员以及使用它们的开发人员在执行这些职责时不会遇到问题。 在本文中,我将带您了解在制作 RE
Rest API设计规范指南
06-07
Rest API设计规范指南
REST API设计
Tom098的博客
04-15 596
关于REST API设计是一个很大的话题,虽然网上有很多文章介绍如何设计符合REST风格的API,但是大多只是简单介绍REST API设计的一些基本原则,例举了一些非常简单的例子。但是在真实开发场景中,业务场景可能会千变万化,非常复杂,一些基本的REST设计原则很难简单到应用的我们的API设计中。 这篇博客会介绍一些基本的REST API设计的知识点和注意事项,以后也会不断更新增加自己新的理解和业界的一些最佳实践。 1. 在URL中,如果要包含多个单词组成的资源名称,单词之间使用中划线,不要使用驼峰和下
REST API 设计
围炉夜话
10-22 574
REST API 设计
REST api 设计风格
xiayto的博客
11-25 311
REST api 设计风格 1、什么是 REST设计风格 REST是一种面向资源URL设计风格,URL地址表示资源(也就是一个名词),而请求的方法对应对资源的操作,URL中不会出现动词,例如: 请求含义 错误 正确 获取所有小狗狗 GET /rest/api/getDogs GET /rest/api/dogs 添加一个小狗狗 GET /rest/api/addDogs POST /rest/api/dogs 修改一个小狗狗 GET /rest/api/editDogs/:dog
如何设计REST API
allway2的博客
11-06 250
分段学习REST是一回事,而将所有学到的概念应用到实际应用程序设计中则完全是另一挑战。在本教程中,我们将学习为基于网络的应用程序设计REST API。请注意,整个练习的主要内容是学习如何在设计过程中应用REST原理。 设计REST服务的步骤 识别对象模型 创建模型URI 确定表示形式 分配HTTP方法 更多操作 识别对象模型 设计基于REST API的应用程序的第一步是–确定将作为资源呈现的对象。 对于基于网络的应用程序,对象建模要简单得多。可以有很多东西,例如设备,管理实体,路由器,
rest-api-design-guidelines:REST API设计准则
05-19
REST API设计准则 介绍 本文档为应用程序编程接口(API)定义了一组设计准则。 本文档介绍了用于指导REST API规范的约定和设计模式,以及指导原则。 作为设计准则,此处的内容未描述特定的实现或特定的API规范。 ...
BeautifulRestApi:具有ASP.NET Core和Ion的精美REST API设计
02-01
带有ASP.NET Core和Ion的精美REST API设计 你好! :waving_hand: 此存储库包含用C#和ASP.NET Core 1.1编写的示例API。 它以为起点,对包含HATEOAS的一致,干净的REST API进行建模。 我在我的演讲“ 使用了此示例...
springboot-rest-api-design:使用SpringBoot的REST API设计
05-02
使用SpringBoot的REST API设计 该应用程序是一个示例项目,演示了如何使用SpringBoot,SpringSecurity,Spring Data JPA构建REST API。 怎么跑? 将BlogApplication.java作为Java应用程序运行。 要探索和调用REST...
AspNetCore-WebApi-Course:使用ASP.NET Core 3.1 WebAPI的专业REST API设计
05-12
:1st_place_medal: 使用ASP.NET Core WebAPI的专业REST API设计该项目是使用ASP.NET Core构建RESTful Web API的轻量级和可扩展基础结构的示例。 此示例包含许多技巧和技术,这些技巧和技术是我多年在ASP.NET Core中...
项目设计-RESTful API设计
m0_37609394的博客
01-10 959
1.背景: 只要 HTTP 协议存在,Web 服务就已经存在。但尤其是自云计算出现以来,它们已成为让客户与我们的数据交互的一种非常常见的方式。 我一直在从事涉及构建或使用 API 的项目。 我见过的大多数 API 都声称是“RESTful”——即符合 REST 架构的原则和约束。 但是,他们中的一些人一直在给 REST 一个非常非常糟糕的名字。 或者是一些非常糟糕的设计。 还有 状态代码的错误使用、纯文本响应、不一致的模式……等。 所以我决定写下我认为在设计 REST API ...
REST设计风格之REST Api
weixin_44183759的博客
05-21 1027
一、概念 1.1 REST概念 REST(Representation State Transfer):资源表述性状态转移,是一种结构风格。 ​ Resource:“资源”,网络上的一个实体,或者说网络上一个具体信息。它可以是一段文字、一张图片、一首歌曲、一种服务,总之就是一个具体的实在。你可以用一个URL(统一资源定位符)指向它,每种资源对应一个特定的URL。要获取这个资源,访问它的URL就可以,因此URL就成了每一个资源地址或独一无二的识别符。(一切皆资源,URL用于资源的唯一标识)。 ​ Re
REST API设计的最佳做法
蔚蓝海域的博客
08-20 355
REST API,看这一篇足矣
RestAPI】优秀Rest API设计规范
最新发布
qq_32907491的博客
06-05 1567
标准方法提供了对资源的基础操作功能,它们的职责都较为单一,基本上对应了基础的 CRUD 操作。不过,并不是所有对资源的操作都能或者适合抽象为 CRUD 操作,这也是对于 RESTful 风格的服务经常争论的地方。因此,自定义方法就应运而生。不过,对于 API设计者而言应当尽可能的首选使用标准方法,因为标准方法有着更为统一的语义,对开发者而言更为简单易懂。自定义方法可以应用于资源,资源集合或者服务。它可能会接收任意类型的输入和返回任意类型的输出,并且支持流式的请求和响应。
REST API权限集成设计
weixin_34357267的博客
11-26 80
REST API权限集成设计 应用分为两大部分,前端html+后端Rest服务,前端html和后端Rest服务部署完全分离。 目标:可访问资源都处于权限控制之下(意味着通过浏览器地址栏的任意url都会被拦截),并提供跨域访问支持。 *** 项目模块 前端模块:应用界面,通过rest接口与后台交互。 后端模块:UPM(用户权限管理)模块+数据服务(包含多种数据来源,比如本地DB、第三方服务等)统一作...
REST API 最佳实践
Dablelv 的博客专栏。
05-04 1124
REST 是 Representational State Transfer 的缩写。它是由博士在 2000 年他的博士论文中提出一种软件架构风格,用于指导网络应用的设计和开发,使得 Web API(网络应用编程接口)更加简单、灵活、可扩展和易于理解。任何遵循 REST 设计原则的 API 都被称为 RESTful。简单地说,REST API 是两台计算机通过 HTTP(超文本传输协议)进行通信的媒介,与客户端和服务器的通信方式相同。
RestTemplate 的API
u010925982的博客
06-23 950
转载于大佬博客: https://www.jianshu.com/p/19e851a3edba public class RedisTemplateUtil { private final String LOCK_PREFIX = "redislock"; private final Integer LOCK_EXPIRE = 3000; @Autowired RedisTemplate redisTemplate; /** * 最终加强分布式锁
rest api的编写
jmhIcoding
10-21 1150
0.What is restREST(英文:Representational State Transfer,又称具象状态传输)是Roy Thomas Fielding博士于2000年在他的博士论文[1] 中提出来的一种万维网软件架构风格,目的是便于不同软件/程序在网络(例如互联网)中互相传递信息。 目前在三种主流的Web服务实现方案中,因为REST模式与复杂的SOAP和XML-R
02 rest接口新版写法
FireinDarKK的博客
11-07 1138
REST框架简介 简单的接口写法 REST框架简介 身份验证策略OAuth1a和OAuth2的包 支持ORM和非ORM数据源的序列化 可以自定义,基于功能的常规视图 简单的接口写法 设置settings INSTALLED_APPS = ( ... 'rest_framework', ) # 配置我们框架 REST_FRAMEWOR
SOA 05 REST API设计:幂等性与安全性探讨
面向服务架构(SOA)Web系统架构设计,特别是关于REST API设计的这一部分,深入讲解了现代软件开发中的核心概念。SOA强调服务的独立性和互操作性,通过网络提供可复用的服务。本课程包括五个章节,从SOA的基本原理和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值