http://interosite.ru/articles/rest-api-design
Построение эффективной архитектуры RESTful API
В одном из недавних проектов мне пришлось делать бекенд для мобильного приложения. Обязательной частью была разработка RESTful API, которое потенциально могло бы использоваться и разработчиками сторонних приложений. Это означало, что нужно, сделать API максимально удобным в использовании и поддержке.
Прежде чем начать проектировать и реализовывать RESTful-интерфейс, я полез в интернет, чтобы выяснить — пок каким основным принципам строятся эффективные API и каких архитектурных практик лучше придерживаться. В итоге был собран материал, которым я и хочу поделиться в данной статье.
Структура путей ресурсов
По возможности, лучше использовать существительные, а не глаголы.
Идеология REST строится вокруг ресурсов и метода доступа к ним. Поэтому, если нужно, например, предоставить доступ к списку банковских счетов, то использования такого имени ресурса будет не лучшей идеей:
/getAllAccounts
Вместо этого, лучше строить url вокруг имен сущностей предметной области (если нужно, во множественном числе):
/accounts
К такому типу ссылок очень легко привыкнуть, он не перегружен лишней информацией. Достаточно легко понять, без дополнительных пояснений (getAll**), что данный ресурс предоставляет доступ к списку неких счетов. Имена, похожие на названия методов класса, типа getAllAccounts — это скорее из мира RPC и в данном случае только усложняют восприятие и выразительность API.
Если нужен доступ к конкретному объекту, то можно использовать его бизнес-идентификатор:
GET /accounts/123 HTTP/1.1
В данном примере запрашивается счет (account) c идентификатором 123.
В реальной системе, конечно, использовать простые порядковые идентификаторы не следует, чтобы избежать атак методом перебора.
Нужно отметить, что использовать глаголов в именах ресурсов все же можно (и нужно) в некоторых специальных случаях (см. далее).
Методы HTTP
Как выразить желание, например, добавить новый счет? Наверное, использование имени ресурса /addNewAccount было бы выходом из ситуации.
Однако, спецификация REST предоставляет долее элегантный способ выполнить определенное действие над ресурсом. Спецификация HTTP содержит понятие методов, которые позволяют для одного и того-же ресурса (пути) указать желаемое действие.
В таблице ниже приводится списко имен методов и действий, которые они подразумевают. Также, приведены примеры доступа к двум видам ресурсов — коллекции и к конкретному объекту.
| метод | Действие | /accounts | /accounts/123 |
|---|---|---|---|
| GET | Прочитать | Получить список счетов | Получить счет с id=123 |
| POST | Создать | Создать новый счет | Ошибка — ресурс уже создан |
| PUT | Обновить | Обновить несколько счетов | Обновить счет с id=123 |
| DELETE | Удалить | Удалить все счета | Удалить счет с id=123 |
Таким образом, можно организовать управление любыми REST-ресурсами, не загрязняя имена самих ресурсов ненужной информацией.
Ассоциации и дополнительные условия
Часто появляется задача получить коллекцию сущностей, ассоциированных с некоторой заданной сущностью другого типа. Например, нужно получить все транзакции по данному счету. Лучшим, и наиболее понятным способом будет явно указать это в пути ресурса:
/accounts/123/transactions
Имя этого ресурса говорит само за себя — у счета с id=123 получить все его транзакции. Сложно представить более выразительный способ с помощью имен ресурсов описать связь между сущностями.
Иногда есть необходимость построить более сложные правила ассоциации. Например, получить все транзакции для данного счета за опредеренный период времени. Либо, транзакции только определнного типа. В этом случае может появиться желание увеличить вложенность ресурсов, например:
/accounts/123/transactions/debits
Обычно вложенность пути больше 3-х говорит об ошибке проектирования API. наилучшим способом в данном случает, все дополнительные параметры нужно выносить в строку параметров, за ‘?':
/accounts/123/transactions?type=debit&dateFrom=2013-12-25&dateTo=2014-01-29
Параметры type, dateFrom, dateTo необязательны, поэтому результат запроса может быть настроен очень гибко. Следует специально позаботиться о правильном именовании параметров ресурса. Сравните, например, предыдущий пример, с таким:
/accounts/123/transactions?t=debit&df=2013-12-25&dt=2014-01-29
Чтобы понять, как управлять данным запросом, придется обратиться к документации API, т.к. имена параметров мало что говорят о своих значениях.
Обработка ошибок
В случае, если параметры запроса были неверными, или произошла непредвиденная ошибка при обработке запроса, нужно оповестить об этом клиентское приложение.
Возможны два варианта как именно с ответом сервера предоставить описание ошибки — используя стандартные HTTP-коды ответа или возвращая всю информациб только в теле запроса.
В последнем случае всегда возвращается код успешного завершения операции (200), а код и описание ошибки находятся в теле ответа.
GET /baditems HTTP/1.1
200 OK
(...заголовки...)
{
"error_code": "some_custom_code", "error_description": "Ресурс не найден"
}
Пользователю API придется дополнительно разбираться, как устроено ваше API, чтобы понять, что означаю ваши коды ошибок и откуда из брать.
Лучшим подходом будет использование HTTP-кодов состояния запроса и максимальное их соответствие результату запроса. Поскольку большинство разработчиков уже знают значение стандартных кодов состояний, им будет проще интерпретировать ответ сервера.
Скорее всего, вам не нужно использовать все доступные коды из спецификации HTTP (их около 70-и). Для построение API будет вполне достаточно 3-5 основных кодов и несколько вспомогательных.
Например, основные:
200 — все в порядке
400 — неправильный запрос
500 — внутренняя ошибка сервера
И вспомогательные:
201 — Ресурс создан успешно
304 — Не изменен (не нужно запрашивать снова)
404 – Ресурс не найден
401 — Вы не авторизованны для доступа к данному ресурсу
403 — Доступ запрещен по какой-то причине
304 — Не изменен (не нужно запрашивать снова)
404 – Ресурс не найден
401 — Вы не авторизованны для доступа к данному ресурсу
403 — Доступ запрещен по какой-то причине
Конечно, просто вернуть код ошибки недостаточно. Лучше, вместе с этим, предоставить пользователю как можно более подробную информацию об источнике проблемы. Например:
401
{"devMessage" : "Сообщение для разработчика с подробным описанием проблемы", "usrMessage":"Сообщение для пользователя приложения", "code" : 666, "aditionalInfo": "http://site.com/docs/errors/666"}
Как видите, ответ сервера содержит не только код и описание ошибки, о и ссылку в базу знания о возможной причине возникновения ошибки.
Нужно отметить такую деталь. Некоторые типы клиенты, получив ответ с кодом, отличным от 200, сразу отображают ошибку конечному пользователя, до того, как клиентский код сможет обработать ее более подходящим образом.
Поэтому, если планируется поддержка различных типов клиентов, то рекомендуется предоставить возможность клиенту отключать HTTP-коды состояний и всегда возвращать код 200. Сделать это можно, например, с помощью параметра вродеalways_success_code=true. Если он задан, то сервер будет всегда возвращать успешный код 200, а код ошибки будет содержаться в теле ответа.
Версии
Если ваше API со временем будет претерпевать значительные изменения — буду добавляться новые возможности, изменится модель данных, которую обслуживает API — то, скорее всего, потребуется явно указать новые возможности с помощью номера версии. Если единственное клиентское приложение, которое использует API, также, как и код сервера, находится в вашем ведении, то подддрежка версий может не понадобиться — вы просто выпускаете новую версию клиента вместе с обновлением API.
Наоборот, если ваше API используется в сторонних приложениях, то поддержка версий должна быть включена в архитектуру API как можно раньше.
О поддержке версий следует подумать с самого начала. Как правило, разумно поддерживать миним одну версию ниже предыдущей, чтобы разработчики клиентских приложения успели мигрировать на последнюю версию API. Для различных типов клиентов предпочтительный периоб обновления версий может значительно отличаться — от пары месяцев для веб-клиентов, до полугода и более для, скажем, мобильных приложений.
Есть два варианта указать версию — параметром после ‘?’ или с помощью специального заголовка ответа. В любом случае, предпочтительнее задавать версию в качестве первого элемента пути к ресурсу:
/v3/accounts/123
Иногда, правда, это очень трудно сделать, например, если структура ссылок, при развитии проекта, стала достаточно запутанной из-за ошибок проектирования, а о поддержке версий изначально не задумывались. Тогда остаются варианты с заголовком или наименее предпочтительный вариант — указать версию параметром запроса:
/accounts?v=3
Использование заголовка для указании версии может быть вполне оправданным выбором, т.к. это не затрагивает структуру пути к ресурсу (если вас действительно беспокоит строгое соответствие стандарту REST). С этим могут быть связаны некоторые неудобства для, например, разработчика клиентского веб-приложения. Действительно, гораздо проще видеть номер версии сразу в URL-е запроса, чем каждый раз искать его среди заголовков ответа.
Постраничная навигация и частичная выборка данных
У банковского счета может быть достаточно много полей, не все из которых нужны для отображения в интерфейсе пользователя. Например, для списка счетов, может понадобиться только тип счета и его название. Поэтому хорошее API должно поддерживать частичную выборку данных.
Проще всего это сделать с помощью перечисления списка полей через запятую, например:
/accounts?fields=id,type,name
Такой подход снижает издержки в клиентском коде, а также уменьшает интернет-трафик.
Для просмотра больших массивов данных, помимо частичной выборки полей, нужно организовать возможность разбиения на страницы. Устоявшейся и хорошо знакомой многим разработчикам парадигмой являются использование параметров offset (кол-во записей от начала) и limit (максимальное количество возвращаемых записей):
/accounts?offset=40&limit=10
Данный запрос начнет выборку данных, начиная с 40-й записи и вернет не более 10-и записей.
Предоставление сервисов
Иногда API, помимо доступа к неким сущностям предметной области, должно предоставлять некоторые вычислительные сервисы или составные операции, которые не могут быть представлены как действия над отдельными объектами.
Тогда не остается ничего, кроме как забыть про первый совет (существительные, а не глаголы), и использовать названия действий в путях.
Например, API может предоставлять сервис конвертера валют:
GET /convert?from=EUR&to=CNY&amount=100 HTTP/1.1
Тут используется имя операции (convert), которая принимает несколько именованных параметров (from, to и amount).
Другой типичный пример — синхронизация данных на мобильном устройстве с данными в облачном сервисе. Эта операция должны быть атомарной, и, следовательно, иметь одну точку входа, которую лучше всего описать опять именем действия:
POST /synchronize HTTP/1.1 Content-Type: application/xml <transactions> <transaction> <accountId>123</accountId> <date>2013-12-12 17:15</date> <sum>4500</sum> <transaction> (...) </transactions>
Формат данных
Желательно, чтобы запрос к одному и тому-же ресурсу поддерживал ответ в различных форматах (json, xml, csv и т.д.)
Классическим способом для клиента указать желаемый формат ответа является HTTP-заголовок Accept:
GET /accounts HTTP/1.1 Accept: application/xml
В качестве значение заголовка указывается один из определенных стандартом mime-типов.
Однако, более выразительным способом может быть применение расширений, аналогичных расширениям файлов в операционных системах:
/accounts.json
или
/accounts.xml
Практически для любого mime-типа существует расширение файла, хорошо знакомое не только программистам, но и рядовым пользователям. Это может в несколько раз увеличить читаемость и выразительность API.
Аутентификация
Ограничение доступа к ресурсам является достаточно большой темой, которая заслуживает отдельной статьи, которая, я думаю скоро появится в этом блоге.
В качестве общей рекомендации можно посоветовать не использовать доморощенной схемы аутентификации. Вместо этого применять известные и хорошо протестированные схемы, такие как:
- Дайджест-аутентификация
- OAuth1.0a
- OAuth2
Для практически всех языков программирования существуют встроенные или сторонние реализации этих протоколов, поэтому практически всегда имеет смысл использовать именно их, а не свое, потенциально ненадежное решение.
Заключение
В заключение стоит отметить, что для любого публичного API может быть очень хороше опцией наличие SDK для популярных языков программирования (Java, Python, Ruby, PHP). Это может значительно увеличить лояльность сторонних разработчиков, тем самым увеличивая потенциальную аудиторию вашего сервиса.
