Статьи

Построение эффективной архитектуры RESTful API

3 576

В одном из недавних проектов мне пришлось делать бекенд для мобильного приложения. Обязательной частью была разработка RESTful  API, которое потенциально могло бы использоваться и разработчиками сторонних приложений. Это означало, что нужно, сделать API максимально удобным в использовании и поддержке.

Прежде чем начать проектировать и реализовывать RESTful-интерфейс, я полез в интернет, чтобы выяснить — пок каким основным принципам строятся эффективные API и каких архитектурных практик лучше придерживаться. В итоге был собран материал, которым я и хочу поделиться в данной статье.

Структура путей ресурсов

По возможности, лучше использовать существительные, а не глаголы.

Идеология REST строится вокруг ресурсов и метода доступа к ним. Поэтому, если нужно, например, предоставить доступ к списку банковских счетов, то использования такого имени ресурса будет не лучшей идеей:

/getAllAccounts

Вместо этого, лучше строить url вокруг имен сущностей предметной области (если нужно, во множественном числе):

/accounts

К такому типу ссылок очень легко привыкнуть, он не перегружен лишней информацией. Достаточно легко понять, без дополнительных пояснений (getAll**), что данный ресурс предоставляет доступ к списку неких счетов. Имена, похожие на названия методов класса, типа getAllAccounts — это скорее из мира RPC и в данном случае только усложняют восприятие и выразительность API.

Если нужен доступ к конкретному объекту, то можно использовать его бизнес-идентификатор:

GET /accounts/123 HTTP/1.1

В данном примере запрашивается счет (account) c идентификатором 123.

В реальной системе, конечно, использовать простые порядковые идентификаторы не следует, чтобы избежать атак методом перебора.

Нужно отметить, что использовать глаголов в именах ресурсов все же можно (и нужно) в некоторых специальных случаях (см. далее).

Методы HTTP

Как выразить желание, например, добавить новый счет? Наверное, использование имени ресурса  /addNewAccount было бы выходом из ситуации.

Однако, спецификация  REST  предоставляет долее элегантный способ выполнить определенное действие над ресурсом. Спецификация HTTP  содержит понятие методов, которые позволяют для одного и того-же ресурса (пути) указать желаемое действие.

В таблице ниже приводится списко имен методов и действий, которые они подразумевают. Также, приведены примеры доступа к двум видам ресурсов — коллекции и к конкретному объекту.

метод Действие /accounts /accounts/123
GET Прочитать Получить список счетов Получить счет с id=123
POST Создать Создать новый счет Ошибка — ресурс уже создан
PUT Обновить Обновить несколько счетов Обновить счет с id=123
DELETE Удалить Удалить все счета Удалить счет с id=123

Таким образом, можно организовать  управление любыми REST-ресурсами, не загрязняя имена самих ресурсов ненужной информацией.

Ассоциации и дополнительные условия

Часто появляется задача получить коллекцию сущностей, ассоциированных с некоторой заданной сущностью другого типа. Например, нужно получить все транзакции по данному счету. Лучшим, и наиболее понятным способом будет явно указать это в пути ресурса:

/accounts/123/transactions

Имя этого ресурса говорит само за себя — у счета с id=123 получить все его транзакции. Сложно представить более выразительный способ с помощью имен ресурсов описать связь между сущностями.

Иногда есть необходимость построить более сложные правила ассоциации. Например, получить все транзакции для данного счета за опредеренный период времени. Либо, транзакции только определнного типа. В этом случае может появиться желание увеличить вложенность ресурсов, например:

/accounts/123/transactions/debits

Обычно вложенность пути больше 3-х говорит об ошибке проектирования API. наилучшим способом в данном случает, все дополнительные параметры нужно выносить в строку параметров, за ‘?’:

/accounts/123/transactions?type=debit&dateFrom=2013-12-25&dateTo=2014-01-29

Параметры  type, dateFrom, dateTo необязательны, поэтому результат запроса может быть настроен очень гибко. Следует специально позаботиться о правильном именовании параметров ресурса. Сравните, например, предыдущий пример, с таким:

/accounts/123/transactions?t=debit&df=2013-12-25&dt=2014-01-29

Чтобы понять, как управлять данным запросом, придется обратиться к документации API, т.к. имена параметров мало что говорят о своих значениях.

Обработка ошибок

В случае, если параметры запроса были неверными, или произошла непредвиденная ошибка при обработке запроса, нужно оповестить об этом клиентское приложение.

Возможны два варианта как именно с ответом сервера предоставить описание ошибки — используя стандартные HTTP-коды ответа или возвращая всю информациб только в теле запроса.

В последнем случае всегда возвращается код успешного завершения операции (200), а код и описание ошибки находятся в теле ответа.

GET /baditems HTTP/1.1
200 OK
(...заголовки...)
{
  "error_code": "some_custom_code", "error_description": "Ресурс не найден"
}

Пользователю API придется дополнительно разбираться, как устроено ваше API, чтобы понять, что означаю ваши коды ошибок и откуда из брать.

Лучшим подходом будет использование HTTP-кодов состояния запроса и максимальное их соответствие результату запроса. Поскольку большинство разработчиков уже знают значение стандартных кодов состояний, им будет проще интерпретировать ответ сервера.

Скорее всего, вам не нужно использовать все доступные коды из спецификации HTTP (их около 70-и). Для построение API будет вполне достаточно 3-5 основных кодов и несколько вспомогательных.

Например, основные:

200  — все в порядке

400 — неправильный запрос

500 — внутренняя ошибка сервера

И вспомогательные:

201 — Ресурс создан успешно
304 — Не изменен (не нужно запрашивать снова)
404 – Ресурс не найден
401 — Вы не авторизованны для доступа к данному ресурсу
403 — Доступ запрещен по какой-то причине

Конечно, просто вернуть код ошибки недостаточно. Лучше, вместе с этим, предоставить пользователю как можно более подробную информацию об источнике проблемы. Например:

401

{"devMessage" : "Сообщение для разработчика с подробным описанием проблемы", "usrMessage":"Сообщение для пользователя приложения", "code" : 666, "aditionalInfo": "http://site.com/docs/errors/666"}

Как видите, ответ сервера содержит не только код и описание ошибки, о и ссылку в базу знания о возможной причине возникновения ошибки.

Нужно отметить такую деталь. Некоторые типы клиенты, получив ответ с кодом,  отличным от 200, сразу отображают ошибку конечному пользователя, до того, как клиентский код сможет обработать ее более подходящим образом.

Поэтому, если планируется поддержка различных типов клиентов, то рекомендуется предоставить возможность клиенту отключать HTTP-коды состояний и всегда возвращать код 200. Сделать это можно, например, с помощью параметра вроде always_success_code=true. Если он задан, то сервер будет всегда возвращать успешный код 200, а код ошибки будет содержаться в теле ответа.

Версии

Если ваше API  со временем будет претерпевать значительные изменения — буду добавляться новые возможности, изменится модель данных, которую обслуживает API — то, скорее всего, потребуется явно указать новые возможности с помощью номера версии. Если единственное клиентское приложение, которое использует API, также, как и код сервера, находится в вашем ведении, то подддрежка версий может не понадобиться — вы просто выпускаете новую версию клиента вместе с обновлением API.

Наоборот, если ваше API  используется в сторонних приложениях, то поддержка версий должна быть включена в архитектуру API  как можно раньше.

О поддержке версий следует подумать с самого начала. Как правило, разумно поддерживать миним одну версию ниже предыдущей, чтобы разработчики клиентских приложения успели мигрировать на последнюю версию API. Для различных типов клиентов предпочтительный периоб обновления версий может значительно отличаться  — от пары месяцев для веб-клиентов, до полугода и более для, скажем, мобильных приложений.

Есть два варианта указать версию — параметром после ‘?’ или с помощью специального заголовка ответа. В любом случае, предпочтительнее задавать версию в качестве первого элемента пути к ресурсу:

/v3/accounts/123

Иногда, правда, это очень трудно сделать, например, если структура ссылок, при развитии проекта, стала достаточно запутанной из-за ошибок проектирования, а о поддержке версий изначально не задумывались. Тогда остаются варианты с заголовком или наименее предпочтительный вариант — указать версию параметром запроса:

/accounts?v=3

Использование заголовка для указании версии может быть вполне оправданным выбором, т.к. это не затрагивает структуру пути к ресурсу (если вас действительно беспокоит строгое соответствие стандарту REST). С этим могут быть связаны некоторые неудобства для, например, разработчика клиентского веб-приложения. Действительно, гораздо проще видеть номер версии сразу в URL-е запроса, чем каждый раз искать его среди заголовков ответа.

Постраничная навигация и частичная выборка данных

У банковского счета может быть достаточно много полей, не все из которых нужны для отображения в интерфейсе пользователя. Например, для списка счетов, может понадобиться только тип счета и его название. Поэтому хорошее API должно поддерживать частичную выборку данных.

Проще всего это сделать с помощью перечисления списка полей через запятую, например:

/accounts?fields=id,type,name

Такой подход снижает издержки в клиентском коде, а также уменьшает интернет-трафик.

Для просмотра больших массивов данных, помимо частичной выборки полей, нужно организовать возможность разбиения на страницы. Устоявшейся и хорошо знакомой многим разработчикам парадигмой являются использование параметров offset (кол-во записей от начала) и limit (максимальное количество возвращаемых записей):

/accounts?offset=40&limit=10

Данный запрос начнет выборку данных, начиная с 40-й записи и вернет не более 10-и записей.

Предоставление сервисов

Иногда API, помимо доступа к неким сущностям предметной области, должно предоставлять некоторые вычислительные сервисы или составные операции, которые не могут быть представлены как действия над отдельными объектами.

Тогда не остается ничего, кроме как забыть про первый совет (существительные, а не глаголы), и использовать названия действий в путях.

Например, API может предоставлять сервис конвертера валют:

GET /convert?from=EUR&to=CNY&amount=100 HTTP/1.1

Тут используется имя операции (convert), которая принимает несколько именованных параметров (from, to и amount).

Другой типичный пример — синхронизация данных на мобильном устройстве с данными в облачном сервисе. Эта операция должны быть атомарной, и, следовательно, иметь одну точку входа, которую лучше всего описать опять именем действия:

POST /synchronize HTTP/1.1
Content-Type: application/xml

<transactions>
  <transaction>
   <accountId>123</accountId>
   <date>2013-12-12 17:15</date>
   <sum>4500</sum> 
  <transaction>
(...)
</transactions>

Формат данных

Желательно, чтобы запрос к одному и тому-же ресурсу поддерживал ответ в различных форматах (json, xml, csv и т.д.)

Классическим способом для клиента указать желаемый формат ответа является HTTP-заголовок Accept:

GET /accounts HTTP/1.1
Accept: application/xml

В качестве значение заголовка указывается один из определенных стандартом mime-типов.

Однако, более выразительным способом может быть применение расширений, аналогичных расширениям файлов в операционных системах:

/accounts.json

или

/accounts.xml

Практически для любого mime-типа существует расширение файла, хорошо знакомое не только программистам, но и рядовым пользователям. Это может в несколько раз увеличить читаемость и выразительность API.

Аутентификация

Ограничение доступа к ресурсам является достаточно большой темой, которая заслуживает отдельной статьи, которая, я думаю скоро появится в этом блоге.

В качестве общей рекомендации можно посоветовать не использовать доморощенной схемы аутентификации. Вместо этого применять известные и хорошо протестированные схемы, такие как:

  • Дайджест-аутентификация
  • OAuth1.0a
  • OAuth2

Для практически всех языков программирования существуют встроенные или сторонние реализации этих протоколов, поэтому практически всегда имеет смысл использовать именно их, а не свое, потенциально ненадежное решение.

Заключение

В заключение стоит отметить, что для любого публичного API может быть очень хороше опцией наличие SDK для популярных языков программирования (Java, Python, Ruby, PHP). Это может значительно увеличить лояльность сторонних разработчиков, тем самым увеличивая потенциальную аудиторию вашего сервиса.

About the author / 

admin

  • А в Java есть какие либо готовые средства\библиотеки\фреймворки, чтобы не заморачиваться со спецификацией REST, а просто скормить ей что то типа контекста данных (или имплементить какой интерфейс) и на выходе получить сразу все плюшки API? Ну, и дополнительно, по полученному АПИ сгенерить классы для клиента, чтобы работу с АПИ можно было бы скрыть за кулисами?
    Как утрированный пример, если клиенту нужен доступ к какой то конкретной сущности, то
    1. На сервере скармливаем черному ящику подобие репозитория для этой сущности. Настраиваем сервер и этот черный ящик на работу АПИ
    2. Генерим прокси классы для клиента, кидаем их в библиотеку. У клиента эту библиотеку подключаем и настраиваем на сервер (как минимум УРЛ сервера прописываем).
    3. Можем из кода на клиенте вызывать методы репозитория на сервере (которые внутри работают через опубликованный АПИ)
    4. ПРОФИТ

    Пример, конечно, утрированный и надуманный, но было бы интересно, как это в Java настраивается и есть ли такие средства? И как решаются проблемы с безопасностью, разделению по ролям, кешированием и тд и тп.

    • admin

      Да, наверно, самый продвинутый это Spring Framework. У этого проекта есть подпроекты, в частности и для организации ws, и REST-архитектуры.

      Вместо «репозитория», по моему, удобнее юзать аннотации для прописывания URL и проч. Выглядит это примерно так (Spring MVC):
      @Controller
      public class HelloWorldController {

      @RequestMapping(«/helloWorld»)
      public String helloWorld(Model model) {
      model.addAttribute(«message», «Hello World!»);
      return «helloWorld»;
      }
      }
      Дотнет MVC по такому же принципу, наверно, устроен? В смысле, прямо в коде задаем всю мета-информацию куда какие запросы мапить. Ну, либо, Spring позволяет это в xml все сконфигурировать, тогда можно отдельно смотреть код и конфиг.

      Насчет клиентский прокси — вот гугл выдает ссылку — https://blogs.oracle.com/adf/entry/client_proxy_generation_for_rest, но JDeveloper.. Я подобный инструмент не использовал и, наверно, не стал бы. Если REST API достаточно сложный и планируется поддержка разных клиентов, то, возможно, лучшим решением будет разработка нормального SDK для популярных языков.
      Для клиентского кода есть либы типа RESTTemplate (в том же Spring-е), для не сильно сложных API вполне достаточно.

  • Спасибо! О документировании API, очень важный момент, я считаю — http://plutov.by/post/api_how_to