一个完善的 API 流程标准(草图)

最新推荐文章于 2024-08-05 16:21:37 发布
最新推荐文章于 2024-08-05 16:21:37 发布
阅读量368 收藏
点赞数
文章标签: json
原文链接:https://segmentfault.com/a/1190000008243832
版权

目的

  1. 保证 API 本身是安全的,不会受到以下(包括但不限于)手段的攻击:

    1. 重入攻击;

  2. 保证调用方是可以管理的,包括但不限于:

    1. 来源模块是可控的;

    2. 来源设备是可控的;

    3. 调用频率是可控的;

  3. 整个调用链条是可追踪的,即从接入层一直到数据层是相关的;

设计思路

概念

  1. APPID: 标明调用方的唯一标识;

  2. JWT: Json Web Token,一种标准化的对称加密机制;

  3. JWT-Signature: 使用 JWT 加密后的密文;

  4. LOGID: 由接入层生成的调用链条唯一标识;

思路说明

  1. 调用方在使用 API 时,需要先进行授权申请,获取唯一的 APPID 及 APPSECRET;

  2. 调用方需要报备调用设备的请求 ip;

  3. 调用方需要申请一定的请求频率(在使用默认值的情况下,这个步骤可以忽略);

  4. 调用方在请求 API 时,需要进行如下步骤:

    1. 将下游传给自己的 LOGID 作为调用链条的唯一标识,继续向上游进行传递,如果调用方是接入层,则按一定规则生成一个唯一串作为本次调用链条的唯一 LOGID(这个步骤是为了完成目的 3);

    2. 使用申请到的 APPSECRET 对包括当前请求时间 + 请求参数的组合的签名 进行 JWT 加密;

    3. 将 APPID 和 第 2) 步生成的签名一并传递给上游;

  5. 服务提供方在接到请求时,按以下步骤验证其合法性:

    1. APPID、JWT-Signature、LOGID 是否存在,否则不合法;

    2. APPID 是否被授权访问该 API,否则不合法;

    3. 实际请求 ip 是否和 APPID 报备的请求 ip 匹配,否则不合法;

    4. 根据 APPID 对应的 APPSECRET 解密 JWT-Signature 是否正确,否则不合法;

    5. 请求时间是否超时,否则不合法;

    6. 请求参数的组合的签名是否一致,否则不合法;

    7. 请求频率是否小于分配给该 APPID 的频率限制,否则不合法;

    8. 请求频率是否小于该 API 的全局频率限制,否则不合法;

  6. 在服务提供方记录日志及请求其上游时,将 LOGID 进行记录及传递;

weixin_34236497
关注
API设计标准
软件与艺术
01-07 1010
API是两个系统之间交互的协议,在设计时需充分考虑清楚服务请求方和服务提供方的场景。 对外API是系统对API用户提供的服务,需要考虑到API用户的使用特点。本文提出了针对API用户的设计标准,作为参考。 设计要点 API设计时需要考虑以下方面:灵活性、一致性、兼容性 灵活性,API用户使用程序调用接口,因此一个接口应该尽可能满足多种场景,减少限制; 一致性,API用户学习接口有成本,因此不同的接口之间的术语和逻辑尽可能保持一致; 兼容性,API用户的程序修改起来有成本,因此每次接口的更新需要保
API流程和代码结构
xiaoliu的博客
07-11 1198
go语言里面的API流程和代码结构
API接口对接流程详解:从规划到实施的全面指南
最新发布
Anzexi58的博客
08-05 521
在当今数字化时代,API(应用程序编程接口)已成为不同软件系统和应用之间交互的桥梁。无论是企业内部系统集成,还是与外部服务提供商的数据交换,API接口对接都是不可或缺的一环。本文将深入探讨API接口对接的完整流程,从前期规划、接口设计、测试验证到最终部署与维护,为开发者提供一份全面的操作指南。
API标准资料
热门推荐
March
01-09 1万+
ict这个网站提供的也不是标准,只是更全面的设计思路,但对于一般应用来说,完全可以当作标准来参考。 API标准指南: https://www.ict.govt.nz/guidance-and-resources/standards-compliance/api-standard-and-guidelines/api-standard-and-guidelines-part-b-technical/...
API接口规范
panlee1991的专栏
05-21 2364
转载自:https://blog.zzonn.com/2020/01/03/API%E6%8E%A5%E5%8F%A3%E8%A7%84%E8%8C%83/ 一、协议 API与客户端用户的通信协议,总是使用HTTPS协议,以确保交互数据的传输安全。 二、域名 应该尽量将API部署在专用域名之下:https://api.example.com 如果确定API很简单,不会有进一步扩展,可以考虑放在主域名下:https://www.example.com/api 三、版本控制 https...
流程引擎API
IT820的博客
04-26 319
目录 一、服务API 二、查询API 一、服务API 可以从ProcessEngine中获取工作流/BPM方法的工作服务。 获取流程引擎对象 ProcessEngine processEngine = ProcessEngines.getDefaultProcessEngine(); 可以使用ProcessEngines.init()和正确创建和关闭所有流程引擎ProcessEngines.destroy() RepositoryService RepositoryService.
我的一个学习文档,关于office使用的。
04-12
BREW则是一个为无线设备提供应用程序开发和分发的平台,高通BREW API则是用于在BREW平台上编写应用程序的接口。 在实现手机视频闹钟功能时,开发者需要分阶段进行。首先,查阅相关资料,熟悉各部分的基础知识,如...
产品研发流程(20210919165502).zip
10-05
《产品研发流程》是产品研发领域的重要话题,涉及到一系列系统化、规范化的步骤,旨在高效地将创新想法转化为实际产品。在2021年的背景下,随着技术的快速发展和市场竞争的加剧,产品研发流程的重要性更加凸显。本...
数字商务平台设计制作流程图.doc
02-13
一个完善的管理制度可以提高效率,降低出错率,确保数字商务平台设计制作的质量和进度。 管理资源吧(www.glzy8.com)这样的平台提供了丰富的管理资料,如项目管理模板、流程图示例、最佳实践指南等,对于进行数字...
dugan:位于华盛顿特区的退休咨询公司的Web开发项目,需要100小时才能完成从传统草图到部署的整个过程
02-10
在这个名为"Dugan"的项目中,我们关注的是一个位于华盛顿特区的退休咨询公司——Dugan Brown联邦...通过利用Next.js的强大功能和JavaScript生态系统,开发团队能够高效地构建出一个专业且功能完善的退休咨询服务网站。
【IoT】硬件PM系列(四):硬件产品开发指南「构思、设计、工程、验证」
产品线负责人
04-13 3556
与软件封闭开发不同,硬件产品会涉及供应链和渠道管理,对成本和时间的限制性要求较高。 硬件产品很难实现类似软件产品的快速迭代,初创硬件公司也往往只有一次机会来交付产品。 Eric Ries 推广的精益开发流程已经根植于软件开发文化中,即通过 build – measure – learn 精益开发循环指导软件产品的开发设计: build:快速地构建一个能够投入市场试验的版本; measure:衡量市场的反馈; learn:通过市场反馈来调整产品的思路。 这是一个循环过程,通过小步快跑,迭代推进产品,
mvc api 流程图
萌萌的It人 www.itmmd.com
06-09 1153
点击 新窗口打开 <!-- google_ad_client = "ca-pub-1944176156128447"; /* cnblogs 首页横幅 */ google_ad_slot = "5419468456"; google_ad_width = 728; google_ad_height = 90; //-->
业务流程层的API
啊啊啊啊2
12-22 276
Netflix API的工程主管Daniel Jacobson最近在The Next Web上发表了一篇文章,他表示:我们需要理解谁是API的使用对象,以及他们的使用的方式,并在此基础上进行API设计。这看起来是显而易见、理所应当的事情,然而Daniel接下来写道:过去那种传统的“万应灵药”般的面向资源的API,或许并不能满足使用我们API的用户中最重要的那些人。良好的API设计不只是关于“资源建...
API设计的基本工作流程及需求分析
烟花易冷
07-08 2911
1.API设计的基本工作流程: 从问题的分析开始,设计解决方案,然后实现设计方案。 这是一个持续迭代的过程,增加新需求时需要重新评估设计方案,还有一些其他原因,如修复了重要的编程错误也会导致设计方案的修改。   API开发过程中从分析到设计再到实现的不同阶段   2.收集功能性需求 软件开发的需求一般有业务需求、功能性需求、非功能性需求。 功能性需求,简单的来说,要理解需要
API接口设计规范,看这篇就足以了
WBKJ_Noah的博客
08-01 6513
应用程序编程接口(Application Programming Interface,API接口),是应用程序重要的组成部分,就是应用程序对外提供了一个操作数据的入口,这个入口可以是一个函数或类方法,也可以是一个url地址或者一个网络地址。当客户端调用这个入口,应用程序则会执行对应代码操作,给客户端完成相对应的功能。关于限流设计、熔断设计、降级设计,目前主流网关都有相关功能(比如shenyu网关),可以不在API实现中开发这些功能。
APIAPI管理
API
11-25 1601
什么是API API全称为应用程序编程接口,通俗来讲就是不需要访问程序的源代码,也不需要理解程序实现的方式,只需要通过访问相应接口的URL并填写需要获得的数据的参数名,来获取需要的参数信息。 一个接口可以是一个简单的应用程序,例如天气预报、快递查询、手机归属地查询等等,这些都可以是接口,并且可以直接填写参数取值。 API包含什么 每个API必须包含的参数: 1、API名称 2、API地址 3、API的请求方法:POST、GET、HEAD、OPTIONS等。 4、请求参数:请求头部、请求体(FROM-DAT
ApiKit 干货纯享|20分钟搞定接口管理、开发、测试全流程
qq_42107247的博客
05-25 741
ApiKit 主要用于接口管理、开发、测试全流程集成工具,使用受众为整个研发技术团队,主要使用者为前端开发、后端开发和测试人员。从个人开发者到跨国企业用户,Apikit 帮助全球超过50万开发者和10万家企业更快、更好且更安全地开发和使用 API.
会用这些的api,轻松绘制流程图(antv/g6流程图入门)
qq_35094120的博客
01-30 5769
g6的api使用常用graph属性和方法graph属性graph方法getPointByClient(clientX, clientY)getZoom()zoomTo(toRatio, center)get(key)find(type, fn)removeItem(item, stack)update(node/edge,nodeModel/edgeModel)updateItem(item, model, stack)destroy()setAutoPaint(auto)paint()setItemSta
Activiti——流程任务TaskService API详解
吴声子夜歌的博客
09-05 5313
目录Activiti流程任务1、任务的创建与删除1.1、Task接口1.2、创建与保存Task实例1.3、删除任务2、任务权限2.1、设置候选用户组2.2、设置候选用户2.3、权限数据查询2.4、设置任务持有人2.5、设置任务代理人2.6、添加任务权限数据2.7、删除用户组权限2.8、删除用户权限3、任务参数3.1、基本类型参数设置3.2、序列化参数3.3、获取参数3.4、参数作用域3.5、设置多个参数3.6、数据对象4、任务附件管理4.1、Attachment对象4.2、创建任务附件4.3、附件查询4.4
画个如何实现的流程草图
07-13
抱歉,我无法画图,但我可以为您描述一个如何实现的流程草图。以下是一个示例: 1. 首先,建立一个用户界面,以接收用户的输入和显示输出。可以使用 HTML、CSS 和 JavaScript 来创建一个简单的网页界面。 2. 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值