restful参数规则讨论

本贴最后更新于 2908 天前,其中的信息可能已经天翻地覆

关于 restful 参数规则 哪种比较合理?

返回值:

  1. code:200,message:"succ", id:"12", name:"course12"
  2. code:200,message:"succ", data:{id:"12", name:"course12"}

入参:

  1. token:"123456", id:"12", name:"course12"
  2. token:"123456", data:{id:"12", name:"course12"}

如果做合法性验证??

以及是否增加时间戳验证??

我之前做了时间戳 遇到的比较坑的事是 客户端(手机)的时间不准。。调了系统时间导致 app 没数据了。。。

合法性验证 之前做的 是把所有参数 进行 SHA-1 签名 然后服务端验证参数是否被串改

再补充一个问题

关于接口版本控制,你们是放在 path 里 还是 参数 params 里?

我觉得 path 里直观 @PathVariable, 但是不合法就直接被 spring 返回了

如果放到参数里,可以增加更多控制操作

  • RESTful

    一种软件架构设计风格而不是标准,提供了一组设计原则和约束条件,主要用于客户端和服务器交互类的软件。基于这个风格设计的软件可以更简洁,更有层次,更易于实现缓存等机制。

    30 引用 • 114 回帖 • 9 关注
  • 参数
    6 引用 • 45 回帖
  • 合法性
    1 引用 • 28 回帖
  • 时间戳
    1 引用 • 28 回帖

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
  • zempty

    社区巡逻队日常巡检,楼主你好!楼主再见!🚜🚜🚜

  • 88250

    ####返回值

    • HTTP Status Code 最好只是用来做特殊的场景,比如 401、403、404 等,建议统一返回 200,见下一条
    • 一般正常情况都返回 [HTTP] 200,业务是否正常通过一个 bool 型 flag 进行判断,并带上 errorcode 作为业务错误返回码,正常业务返回 0
    • 数据段使用 data 一个字段统一封装,方便客户端解析 (看不懂你上面 name="course12" 这个结构,不是 JSON 吧)

    ####合法性校验

    • 客户端请求时使用私钥 app-secret、一个随机数 rand 、时间戳 timestamp 生成哈希出(可用 SHA1)一个签名 signature,然后在 HTTP 头里带上:
      • 应用标识 app-key
      • rand
      • timestamp
      • signature
    • 服务端接收到这些信息后通过 app-key 查库找到 secret,并按照客户端的哈希算法计算签名是否正确,如果和发送过来的签名一致,就继续业务处理
    • 服务端业务处理后,返回:
      • rand
      • timestamp
      • signature
        这三个参数给客户端,客户端再次按照一开始的逻辑计算 signature,然后和服务端带过来的 signature 做对比,如果一样就说明 OK

    基本的校验思路就是这样,另外,一定要走 [HTTPS] 。

    ####版本

    我个人偏向在 path 里面带版本号,一些 [RESTFul] 、HTTP API 最佳实践的文章里也推荐这个做法,好处是:

    • 版本固化,客户端不宜出错
    • 服务端版本分明,天然的路由控制

    以上。

    PS 记得给我感谢 😆

  • crick77
    作者

    @88250

    返回值

    • 统一返回 200 是正确的 可以确认是否连接到接口处理
    • code 不建议使用 bool,不推荐 0,因为 int 默认是 0,boolean 有些语言 也会对 0 有默认,所以如果是 int 建议使用 1、2,更推荐 String,没有歧义,最近遇到的一个问题是 int 经过 json 转换之后变成了 double (1 变成了 1.0)
    • 是把返回的业务参数和 系统参数(状态 code,描述 message)等放在一个 map 中进行 json 转换,写错了 是 name:"course12"

    版本

    “服务端版本分明,天然的路由控制” 是说

    @RequestMapping(value={"/api/v1/bag/add"})

    而不是

    @RequestMapping(value={"/api/{versiokn}/bag/add"})

    ??

    合法性这个我再看一遍 不过我说的时间戳的坑 你一般把时间戳校验多长时间,我遇到过太多次 手机时间不准的 ,如果时间校验期限是几天的话 觉得也没有什么意义了

  • zonghua

    Spring MVC 不支持组路由

    1460380783612

    你们每个 url 都要写一个版本的参数

  • crick77
    作者

    @zonghua

    @Controller
    @RequestMapping("/api/{version}/bag")
    public class BagApi extends BaseApiController {
    
    	@Autowired
    	private IBagService bagService;
    
    	@RequestMapping(value={"/add"})
    	
    

    是不是不太好?

  • crick77
    作者

    @88250

    还有一个坑 就是中文签名 iOS 和 android 两种的编码不一样

  • zonghua

    @crick77 可以这样写的咩?version 这个参数注入到哪里了?

  • 88250

    @crick77

    • 成功标识是 bool,errorcode 是 int
    • 版本那个是的,服务端路由配置写死,不要动态
    • 其实我们没校验时间戳,因为你说的问题....
  • zonghua

    @88250 写死?然后有前端的 Nginx 进行 URL 重写?

  • zonghua

    不同版本的服务在不同服务器?

  • 88250 1

    @zonghua path 写死就固化了版本啊,不同版本不同实现,清晰明了

  • crick77
    作者

    @zonghua
    public ModelAndView add(@PathVariable String version, @Valid BagDomainPo bag, BindingResult result

  • crick77
    作者

    @88250

    还是觉得 bool 不太好,不同语言标准不一样了, 还是 String 最稳妥
    版本这个写死我觉得对, 虽然现在是动态的 + enum+switch 但我觉得 动态的话和 params 一样了 没有什么优势
    时间戳去掉吧。。。再追问一个,如果前后台分离 我想在 html 里也调用 api,那么 你怎么做这个 app-secret

  • 88250

    @crick77

    • 成功标识和 msg 要分开啊
    • 那就加 token 吧,用 secret 生成一个 token,然后再校验
  • crick77
    作者

    @88250 各种疑问都问了吧
    restful 你怎么做单元?
    看一下我现在写的? 不知道为什么会报错

    public class BagApiTest extends BaseUnitTest {
    
    	@Autowired
    	private BagApi bagApi;
    
    	@Autowired
    	private RequestMappingHandlerAdapter handlerAdapter;
    	private MockHttpServletRequest request;
    	private MockHttpServletResponse response;
    
    	@Before
    	public void setUp() {
    		request = new MockHttpServletRequest();
    		response = new MockHttpServletResponse();
    	}
    
    	@Test
    	public void addTest() throws Exception{
    		request.setRequestURI("/api/1/bag/add.do");  
    		request.setMethod("POST");  
    		Map<String, Object> params = new HashMap<String, Object>();
    		request.addParameters(params);
    
    		// 执行URI对应的action    
    		ModelAndView mv = handlerAdapter.handle(request, response, new HandlerMethod(bagApi, "add"));  
    		Map<String,Object> result = mv.getModel();
    		System.out.println(result);
    	}
    }
    

    BaseUnitTest 里加载 app-context.xml 等环境信息 现在报的错误是

    java.lang.NoSuchMethodException: wang.crick.jdtc.webservices.bag.BagApi.add()

  • 88250

    @crick77 用 Spring 和测试套件整合的方式,具体我不记得了,你加油

  • crick77 1
    作者

    @88250

    • 是分开的, 成功标识是 “1”or “2” , msg 是信息
    • 我现在的想法是用 jedis 作一个模拟的 session 管理,生成 token 把用户信息存起来
  • crick77
    作者

    @88250
    等我调通了把代码放出来, spring 不同版本的差别现在已经这么大了么。。。。

    还想做接口调用次数及 ip 记录 和 可视化的 web 端接口模拟参数调试

    看看我这一个月的通宵能做出来多少吧

  • 88250

    @crick77 加油加油,注意休息哈~

  • crick77
    作者

    @88250

    报错是因为 HandlerMethod 没有指定入参类型
    指定之后 因为参数有 @PathVariable 所以报错, 解决方法正在查找

    在思考 是通过 http 请求的方式单元测试 还是通过反射机制

  • 88250

    @crick77 最好是发 HTTP 请求,这样测试路径比较真实

  • muyuballs 1

    @88250 社区的接口也应该参考一下 restful 吧 ~~

  • 88250

    @Qiao 木已成舟了,只能慢慢改了....

  • 楼主科普下呗,不用又忘记了

  • yangyujiao

    貌似我们是第二种吧。。

  • crick77
    作者

    @yangyujiao 入参第一种 返回第二种 这样比较靠谱

  • crick77 1
    作者

    @88250
    调通了 之前是 spring3.1 利用 RequestMappingHandlerAdapter 通过反射 测试方法
    现在是 3.2.9 通过 MockMvc 模拟方法测试 MockMvc 开头的这几个类 封装的方法不错 够用了 测试用例完善一下 就可以赶赶任务了
    测试有时间的话 再写一篇 挺有意思的 4.0 之后的测试更简单

    public class BagApiTest extends BaseUnitTest {
    
    	@Autowired
    	private WebApplicationContext wac;
    
    	private MockMvc mockMvc;
    
    	@Before
    	public void setup() {
    		this.mockMvc = MockMvcBuilders.webAppContextSetup(this.wac).build();
    	}
    
    	@Test
    	public void addTest() throws Exception {
    
    		MockHttpServletRequestBuilder requestBuilder = MockMvcRequestBuilders.post("/api/1/bag/add.do");
    		requestBuilder.param("specId", GuidKeyGenerator.getUUIDKey());
    
    		ResultActions result = mockMvc.perform(requestBuilder);
    
    		MvcResult mvc = result.andExpect(MockMvcResultMatchers.status().isOk())
    //				.andDo(MockMvcResultMatchers.print())
    				.andReturn();
    
    		Map<String, Object> resultMap = mvc.getModelAndView().getModel();
    	}
    }
    
  • 88250

    @crick77 嗯多谢分享~

请输入回帖内容 ...

推荐标签 标签

  • 大数据

    大数据(big data)是指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合,是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。

    89 引用 • 113 回帖
  • OAuth

    OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是 oAuth 的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此 oAuth 是安全的。oAuth 是 Open Authorization 的简写。

    36 引用 • 103 回帖 • 3 关注
  • Flume

    Flume 是一套分布式的、可靠的,可用于有效地收集、聚合和搬运大量日志数据的服务架构。

    9 引用 • 6 回帖 • 594 关注
  • NGINX

    NGINX 是一个高性能的 HTTP 和反向代理服务器,也是一个 IMAP/POP3/SMTP 代理服务器。 NGINX 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的,第一个公开版本 0.1.0 发布于 2004 年 10 月 4 日。

    311 引用 • 546 回帖 • 58 关注
  • RESTful

    一种软件架构设计风格而不是标准,提供了一组设计原则和约束条件,主要用于客户端和服务器交互类的软件。基于这个风格设计的软件可以更简洁,更有层次,更易于实现缓存等机制。

    30 引用 • 114 回帖 • 8 关注
  • 生活

    生活是指人类生存过程中的各项活动的总和,范畴较广,一般指为幸福的意义而存在。生活实际上是对人生的一种诠释。生活包括人类在社会中与自己息息相关的日常活动和心理影射。

    228 引用 • 1450 回帖
  • TGIF

    Thank God It's Friday! 感谢老天,总算到星期五啦!

    284 引用 • 4481 回帖 • 651 关注
  • 域名

    域名(Domain Name),简称域名、网域,是由一串用点分隔的名字组成的 Internet 上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置)。

    43 引用 • 208 回帖
  • Kotlin

    Kotlin 是一种在 Java 虚拟机上运行的静态类型编程语言,由 JetBrains 设计开发并开源。Kotlin 可以编译成 Java 字节码,也可以编译成 JavaScript,方便在没有 JVM 的设备上运行。在 Google I/O 2017 中,Google 宣布 Kotlin 成为 Android 官方开发语言。

    19 引用 • 33 回帖 • 22 关注
  • BND

    BND(Baidu Netdisk Downloader)是一款图形界面的百度网盘不限速下载器,支持 Windows、Linux 和 Mac,详细介绍请看这里

    107 引用 • 1281 回帖 • 21 关注
  • 又拍云

    又拍云是国内领先的 CDN 服务提供商,国家工信部认证通过的“可信云”,乌云众测平台认证的“安全云”,为移动时代的创业者提供新一代的 CDN 加速服务。

    21 引用 • 37 回帖 • 505 关注
  • JetBrains

    JetBrains 是一家捷克的软件开发公司,该公司位于捷克的布拉格,并在俄国的圣彼得堡及美国麻州波士顿都设有办公室,该公司最为人所熟知的产品是 Java 编程语言开发撰写时所用的集成开发环境:IntelliJ IDEA

    18 引用 • 54 回帖 • 1 关注
  • GitLab

    GitLab 是利用 Ruby 一个开源的版本管理系统,实现一个自托管的 Git 项目仓库,可通过 Web 界面操作公开或私有项目。

    46 引用 • 72 回帖 • 1 关注
  • Solidity

    Solidity 是一种智能合约高级语言,运行在 [以太坊] 虚拟机(EVM)之上。它的语法接近于 JavaScript,是一种面向对象的语言。

    3 引用 • 18 回帖 • 347 关注
  • 职场

    找到自己的位置,萌新烦恼少。

    126 引用 • 1699 回帖
  • IBM

    IBM(国际商业机器公司)或万国商业机器公司,简称 IBM(International Business Machines Corporation),总公司在纽约州阿蒙克市。1911 年托马斯·沃森创立于美国,是全球最大的信息技术和业务解决方案公司,拥有全球雇员 30 多万人,业务遍及 160 多个国家和地区。

    16 引用 • 53 回帖 • 104 关注
  • 运维

    互联网运维工作,以服务为中心,以稳定、安全、高效为三个基本点,确保公司的互联网业务能够 7×24 小时为用户提供高质量的服务。

    148 引用 • 257 回帖 • 1 关注
  • GAE

    Google App Engine(GAE)是 Google 管理的数据中心中用于 WEB 应用程序的开发和托管的平台。2008 年 4 月 发布第一个测试版本。目前支持 Python、Java 和 Go 开发部署。全球已有数十万的开发者在其上开发了众多的应用。

    14 引用 • 42 回帖 • 677 关注
  • IDEA

    IDEA 全称 IntelliJ IDEA,是一款 Java 语言开发的集成环境,在业界被公认为最好的 Java 开发工具之一。IDEA 是 JetBrains 公司的产品,这家公司总部位于捷克共和国的首都布拉格,开发人员以严谨著称的东欧程序员为主。

    180 引用 • 400 回帖
  • 钉钉

    钉钉,专为中国企业打造的免费沟通协同多端平台, 阿里巴巴出品。

    15 引用 • 67 回帖 • 381 关注
  • Openfire

    Openfire 是开源的、基于可拓展通讯和表示协议 (XMPP)、采用 Java 编程语言开发的实时协作服务器。Openfire 的效率很高,单台服务器可支持上万并发用户。

    6 引用 • 7 回帖 • 87 关注
  • 深度学习

    深度学习(Deep Learning)是机器学习的分支,是一种试图使用包含复杂结构或由多重非线性变换构成的多个处理层对数据进行高层抽象的算法。

    40 引用 • 40 回帖
  • 爬虫

    网络爬虫(Spider、Crawler),是一种按照一定的规则,自动地抓取万维网信息的程序。

    106 引用 • 275 回帖
  • OpenStack

    OpenStack 是一个云操作系统,通过数据中心可控制大型的计算、存储、网络等资源池。所有的管理通过前端界面管理员就可以完成,同样也可以通过 Web 接口让最终用户部署资源。

    10 引用 • 9 关注
  • Vditor

    Vditor 是一款浏览器端的 Markdown 编辑器,支持所见即所得、即时渲染(类似 Typora)和分屏预览模式。它使用 TypeScript 实现,支持原生 JavaScript、Vue、React 和 Angular。

    308 引用 • 1658 回帖 • 1 关注
  • Redis

    Redis 是一个开源的使用 ANSI C 语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value 数据库,并提供多种语言的 API。从 2010 年 3 月 15 日起,Redis 的开发工作由 VMware 主持。从 2013 年 5 月开始,Redis 的开发由 Pivotal 赞助。

    284 引用 • 247 回帖 • 211 关注
  • 电影

    这是一个不能说的秘密。

    120 引用 • 597 回帖