精华内容
下载资源
问答
  • 项目对外API接口鉴权流程
    2021-09-23 16:02:25

    https://www.cnblogs.com/liaowenhui/p/13861572.html

    更多相关内容
  • 对外API接口设计

    千次阅读 2020-10-27 12:13:22
    对外API接口设计 安全性 1、创建appid,appkeyappsecret ps:appid:应用的唯一标识 appkey:公钥=账号 appsecret:私钥=密码 1、设计一个认证系统,专用于创建第三方接入应用的账号信息,用于生成appid,appkey...

    安全性

    1、创建appid,appkey和appsecret

    ps:appid:应用的唯一标识
    appkey:公钥=账号
    appsecret:私钥=密码
    1、设计一个认证系统,专用于创建第三方接入应用的账号信息,用于生成appid,appkey和appsecret,然后发appkey和appsecret给第三方接入应用,用于做认证
    ps:appkey和appsecret成对出现的机制,目的在于首次验证(类似登录场景),用来申请一个token,之后请求数据请求,就直接带token请求服务端认证即可。
    2、第三方接入应用自行注册,需要校验企业信息合法性(暂不考虑)
    在这里插入图片描述

    2、Token:令牌(过期失效)

    1、第三方接入应用获取第一步中的appkey和appsecret
    2、请求认证系统获取nonce随机数,服务端在缓存中存放下nonce
    3、客户端拿到这个随机数后将其与appsecret拼接生appsecretStr,然后调用生成签名方法,传入appsecretStr,appkey,nonce,url(备注:可转大写,转小写,追加特殊字符,然后加密)进行非可逆加密(MD5/SHA1等),生成签名A。接着构造请求把签名放到请求头signature,post请求体中放入参数:appkey,nonce,timestamp,url根据request.getRequestURI()获取,调用认证接口
    4、认证系统获取请求后,
    查询根据appkey查询缓存中的nonce,判断是否存在,不存在则提示不合法请求;判断是否相等,不等则为恶意请求。
    判断timestamp的时效性,防止恶意请求:数据包中的客户端时间戳字段,然后用服务器当前时间去减客户端时间,看结果是否在一个区间内
    先根据appkey查询数据库,判断是否存在,如不存在则提示不合法用户;反之,查出appsecret,按照客户端的签名加密方式,进行加密,生成签名B,比较A和B,如果一样则生成token,失效缓存中的nonce,返回token。
    借鉴:https://blog.csdn.net/weixin_38335432/article/details/105843532?utm_medium=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromMachineLearnPai2-1.edu_weight&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromMachineLearnPai2-1.edu_weight
    https://www.cnblogs.com/jayinnn/p/9560888.html

    3、Post请求

    4、客户端IP白名单 (可选)

    5、单个接口针对IP限流(令牌桶限流,漏桶限流,计数器限流)

    限流是为了更好的维护系统稳定性。使用redis进行接口调用次数统计,ip+接口地址作为key,访问次数作为value,每次请求value+1,设置过期时长来限制接口的调用频率

    6、记录接口请求日志

    使用aop全局记录请求日志,快速定位异常请求位置,排查问题原因。

    7、采用Https

    1、服务端配置SSL证书
    2、客户端调用https工具类忽略服务端证书校验

    8、数据合法性校验

    9、密码查询(加缓存,key使用客户号)

    1、密码更新时,更新redis;2、缓存查不到,查数据库,同时更新缓存;3、密码在缓存和数据库都需要加密,返回时才解密(或者是返回客户端时,客户端自行解密)

    10、接口调用失败告警

    11、高可用:服务器集群部署(2-3)

    客户端重试机制

    12、变更轨迹,保存上次密码?

    13、查询密码和交易密码是否分两条?

    幂等性

    幂等性是指任意多次请求的执行结果和一次请求的执行结果所产生的影响相同。说的直白一点就是查询操作无论查询多少次都不会影响数据本身,因此查询操作本身就是幂等的。但是新增操作,每执行一次数据库就会发生变化,所以它是非幂等的。

    幂等问题的解决有很多思路,这里讲一种比较严谨的。提供一个生成随机数的接口,随机数全局唯一。调用接口的时候带入随机数。第一次调用,业务处理成功后,将随机数作为key,操作结果作为value,存入redis,同时设置过期时长。第二次调用,查询redis,如果key存在,则证明是重复提交,直接返回错误。

    数据规范

    版本控制

    一套成熟的API文档,一旦发布是不允许随意修改接口的。这时候如果想新增或者修改接口,就需要加入版本控制,版本号可以是整数类型,也可以是浮点数类型。一般接口地址都会带上版本号,http://ip:port//v1/list。

    响应状态码规范

    在这里插入图片描述
    在这里插入图片描述

    统一响应数据格式

    为了方便给客户端响应,响应数据会包含三个属性,状态码(code),信息描述(message),响应数据(data)。客户端根据状态码及信息描述可快速知道接口,如果状态码返回成功,再开始处理数据。
    响应结果定义及常用方法:
    在这里插入图片描述
    在这里插入图片描述

    借鉴:https://blog.csdn.net/qq_46388795/article/details/108867405?utm_medium=distribute.pc_relevant.none-task-blog-title-8&spm=1001.2101.3001.4242

    https://blog.csdn.net/qq877507054/article/details/107707177?utm_medium=distribute.pc_relevant.none-task-blog-title-3&spm=1001.2101.3001.4242

    https://blog.csdn.net/liuweilong07/article/details/80409994?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.edu_weight&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.edu_weight

    展开全文
  • 一个公司需要拓展业务时,内部的业务系统往往需要跟外部系统交互,比如现在用户希望在支付宝或微信上交电费,话费,转账…那么电力公司、运营商、银行就需要跟...对外API接口的安全性设计及鉴权方式 API鉴权方式 ...

    一个公司需要拓展业务时,内部的业务系统往往需要跟外部系统交互,比如现在用户希望在支付宝或微信上交电费,话费,转账…那么电力公司、运营商、银行就需要跟支付宝和微信打通内部系统与支付宝微信系统之间的网络,提供相关api接口。

    像这种对外的api接口往往对安全性有严格要求,本文整理了一下常用的api鉴权方式以及安全措施(如有不当之处,请路过的大佬指正)。

    API鉴权方式

    直接把API暴露到互联网上给外部系统是存在安全风险的,因此我们要先对接口调用方做一个用户鉴权,对API权限划分,如果鉴权通过则允许用户调用API。根据不同的场景,鉴权方案也有很多种。

    API Key + API Secret实现API鉴权

    这种方式是指当请求的资源、API Key 和 API Secret匹配时,用户才可以访问对应的资源,一般还会以时间戳等方式来进行请求的时效控制。

    其原理为:

    1. 服务器给每个客户端生成一对Key/Secret保存,并告知客户端,Key和Secret之间没有任何关系,相互之间不能推算;
    2. 发起请求时,会把包括API Key在内的所有的请求参数排序,然后跟API Secret一起做hash生成一个sign参数,服务器只需要按照约定的规则做一次签名计算,然后和请求的签名作比较,如果一致,则验证通过。

    为了避免重放攻击,可以加上时间戳参数,服务端验证时,如果时间超过允许范围则验证失败。

    需要注意的是,这种模式并不是RBAC,而是ACL访问权限控制。这种方式实现简单,占用的计算资源和网络资源都较少,安全性也可以。但是一般来说每一个api用户都需要分配一对Key和Secret,因此当Key和Secret比较多的时候,服务器会有一定的存储成本 ,而服务端只能通过API Key来区别调用者,API Secret一旦泄密,将造成很大的安全风险。

    这种模式适用于大多是的Web API,除非需要在token中承载更多信息或者用户多到影响服务器部署。

    Cookie + Session实现API鉴权

    Cookie + Session是最传统的API鉴权方式,比如很多网站的登录模块就是靠这种方式实现会话管理。

    在服务端会生成一个session来保存会话状态,各个session是通过唯一的session_id来标识的,一次判断请求是哪个客户端发起,session_id存储在客户端的cookie中。

    后续的所有请求都会把cookie传到服务器端,服务器端解析cookie后找到对应的session进行判断。
    在这里插入图片描述
    因此这种鉴权方式具有以下特点:

    1. 为了使后台应用能识别是哪个用户发出的请求,需要在后台服务器存储一份用户登录信息(即session),这份信息也会在响应前端请求时返回给前端,前端将其保存在cookie;
    2. 下次请求时前端发送给后端应用,后端应用就可以识别这个请求是来自哪个用户;
    3. cookie内仅包含一个session标识符而诸如用户信息、授权列表等都保存在服务端的session中。

    其优点是:

    1. 比较传统,对开发来说资料较多,语言支持完善;
    2. 较易于扩展,外部session存储方案已经非常成熟了(比如Redis)。

    但也有如下缺点:

    1. 性能相于较低:每一个用户经过后端应用认证之后,后端应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大;
    2. 在一个无状态协议里注入了状态,与REST风格不匹配
    3. 因为基于cookie来进行用户识别, cookie如果被截获,用户就会很容易受到CSRF攻击
    4. 很难跨平台:在移动应用上 session 和 cookie 很难行通,你无法与移动终端共享服务器创建的 session 和 cookie。

    总的来说,如果是传统的web网站,且同时认证的人数不是足够大(比如只是内部使用)的都可以用这种方式,很多网站依旧采用该方式。

    token机制实现API鉴权

    token令牌的机制是用来代替session的鉴权方式,现在很多api的鉴权都是通过token。

    在这里插入图片描述
    token机制是服务器端生成的一串加密串发放给客户端,客户端请求服务器端所有资源时会带上这个Token,由服务器端来校验这个token的合法性。其具有无状态、适合分布式、扩展性好、性能高和安全性好等优点。
    在这里插入图片描述
    常见的token实现有以下几种:

    • 自定义实现token:应用开发者根据token机制原理自行实现;
    • JWT:即Json Web Token,是一种主流的Token规范;
    • Oauth:Oauth虽然是授权规范,但其中也用到了Token;
    • HTTP Basic Authentication认证机制;
    • Web API是基于HTTP协议的,而HTTP协议本身就带有认证机制。

    API接口的安全措施

    以上是博主总结的一些API鉴权方式。但是在调用API的过程中还需要保证数据在传输过程中的安全性、判断数据是否到达服务器以及服务器如何识别传到服务器的数据是否正确,如何不被攻击。

    数据加密

    数据在传输过程中是很容易被抓包的,如果直接传输,比如通过http协议,那么用户传输的数据可以被任何人获取,所以必须对数据加密。

    常见的做法对关键字段加密比如用户密码直接通过md5加密;现在主流的做法是使用https协议,在http和tcp之间添加一层加密层(SSL层),这一层负责数据的加密和解密。

    现在主流的加密方式有对称加密和非对称加密。

    • 对称加密:对称密钥在加密和解密的过程中使用的密钥是相同的,常见的对称加密算法有DES,AES,计算速度快,但是在数据传送前,发送方和接收方必须商定好秘钥,然后使双方都能保存好秘钥,如果一方的秘钥被泄露,那么也容易泄密;
    • 非对称加密:服务端会生成一对密钥,私钥存放在服务器端,公钥可以发布给任何人使用,优点就是比起对称加密更加安全,但是加解密的速度比对称加密慢太多了,广泛使用的是RSA算法。

    以上两种方式各有优缺点,而https的实现方式正好是结合了两种加密方式,整合了双方的优点,在安全和性能方面都比较好。

    数据签名

    数据在传输过程中经过加密,理论上就算被抓包,就无法对数据进行篡改;但是我们一般加密的部分其实只是在外网,现在很多服务在内网中都需要经过很多服务跳转,如果被攻入内网,则可以在任意节点篡改数据,所以这里的加数据签名可以防止内网中数据被篡改。

    数据签名就是由发送者产生一段无法伪造的一段数字串,来保证数据在传输过程中不被篡改。

    md5算法是常用的数据签名算法,其原理是将需要提交的数据通过某种方式组合成一个字符串,然后通过md5算法生成一段加密字符串,这段加密字符串就是数据包的签名。为保证安全性,最后的密钥会在客户端和服务端各备一份。

    添加时间戳

    经过如上的加密,加签处理,就算拿到数据也不能看到真实的数据;但是有些攻击者不关心真实的数据,而是直接拿到抓取的数据包做恶意请求,以达到攻击的目的。

    我们可以使用时间戳机制,在每次请求的时候加入当前的时间,服务器端会拿到当前时间和消息中的时间相减,看看是否在一个固定的时间范围内,超过时间差的请求就视为非法请求。

    限流机制

    如果有用户出现频繁调用接口的情况;这种情况需要给相关用户做限流处理,常用的限流算法包括:令牌桶限流,漏桶限流,计数器限流。

    • 令牌桶限流:系统以一定速率向桶中放入令牌,填满了就丢弃令牌;请求来时会先从桶中取出令牌,如果能取到令牌,则可以继续完成请求,否则等待或者拒绝服务。令牌桶允许一定程度突发流量,只要有令牌就可以处理,支持一次拿多个令牌;
    • 漏桶限流:按照固定常量速率流出请求,流入请求速率任意,当请求数超过桶的容量时,新的请求等待或者拒绝服务,因此漏桶算法可以强制限制数据的传输速度;
    • 计数器限流:这是一种比较简单粗暴的算法,主要用来限制总并发数,比如数据库连接池、线程池、秒杀的并发数;计数器限流只要一定时间内的总请求数超过设定的阀值则进行限流。

    黑名单机制

    如果此用户进行过很多非法操作,或者说专门有一个中黑系统,经过分析之后直接将此用户列入黑名单,所有请求直接返回错误码。

    我们可以给每个用户设置一个状态比如包括:初始化状态,正常状态,中黑状态,关闭状态等等;或者我们直接通过分布式配置中心,直接保存黑名单列表,每次检查是否在列表中即可。

    数据合法性校验

    这应该是每个系统都会有的处理机制,只有在数据是合法的情况下才会进行数据处理;每个系统都有自己的验证规则,当然也可能有一些常规性的规则,比如身份证长度和组成,电话号码长度和组成等等。合法性校验包括:常规性校验以及业务校验。

    • 常规性校验:包括签名校验,必填校验,长度校验,类型校验,格式校验等;
    • 业务校验:根据实际业务而定,比如账户余额不能小于0等.

    总结

    本文大致列举了几种常见的API鉴权机制和安全措施,当然还有其他方式。但是我们除非为了学习,不然不建议为了用某种鉴权方式和安全措施或者用什么新技术新框架而强行使用,应该根据实际需要在这些机制的原理上做修改和组合,毕竟技术是为业务服务的。


    如果觉得本文对你有帮助,可以对博主关注,如果平时不怎么看CSDN的关注人动态,可关注下面公众号,不定期分享一些小demo、小项目以及学习心得
    秀宇笔记

    往期文章:

    展开全文
  • 智慧小区的分析API模块的架构设计文档,主要包括: 制定分析模块API协议,封装智能分析功能,对外提供统一访问接口协议。 分析模块API可推送相关分析事件到MQ中。 外部模块可对此分析模块API做常规配置。
  • 开放平台的Open API设计 开发者的抱怨 • 加密算法从没有听过! • 从其他平台迁移过来好难啊! • 说明文档看不懂
  • RESTFul API 接口说明

    2018-11-05 02:10:50
    restful api 接口说明. 总结 restful api 语法知识常用的状态码含义.
  • 开发安全的API接口(参数加密+超时处理+私钥验证+Https)- 续(附demo)4种加密方式的Dome
  • API服务是通用接口平台的主体部分,对外暴露Restful风格的数据接口,其他应用系统通过调用API服务,一方面,可以查询权限范围内的物流数据,另一方面,可以将自身系统产生的数据推送至物流系统。 API服务的技术实现...

    API服务是通用接口平台的主体部分,对外暴露Restful风格的数据接口,其他应用系统通过调用API服务,一方面,可以查询权限范围内的物流数据,另一方面,可以将自身系统产生的数据推送至物流系统。

    API服务的技术实现相对消息服务而言,难度较低,注意事项也比较少,这里先放一个整体设计,细节后面在消息服务后面再展开介绍。

    总体设计

    API服务分为服务技术框架和具体业务功能接口两部分,技术框架部分负责统一调度、数据验证、身份认证、安全控制、日志记录等职责,具体业务功能接口负责实际的业务接口功能处理,总体处理流程如下图所示:

    交互技术

    接口传输协议:HTTP
    接口请求方式:POST
    数据编码格式:UTF-8
    数据传输格式:JSON

    输入参数

    API服务接口输入参数有且只有5个参数,如下表:

    参数编码参数类型说明
    serviceCodestring服务编码
    appKeystring应用(调用系统)标识,由物流系统分配
    requestTimestring请求时间,格式yyyy-MM-dd HH:mi:ss
    signstring签名
    datastring请求业务数据,json字符串

    前面4个为系统参数,不能为空。
    最后1个参数为业务参数,所有跟业务相关的数据都封装在该参数中。

    输出参数

    API服务接口返回参数有4个参数,如下表:

    参数编码参数类型说明
    executeResultstring执行结果,Success:成功,Error:失败
    errorCodestring错误编码
    errorMessagestring错误信息
    datastring响应业务数据,json字符串

    执行结果如为Success,则代表成功,可进一步从业务数据字段data获取返回的业务数据,如为Error,则代表接口执行出错, errorCode和errorMessage字段中存放错误编码和错误信息。

    安全控制

    身份认证

    物流系统会为调用系统分配一个应用标识和密钥,调用系统在调用API服务时,传入应用标识,使用密钥对参数进行签名,将签名作为请求参数传入,通过签名来完成身份认证。

    防篡改

    物流接口平台会为调用系统分配一个密钥,调用系统使用该密钥,通过特定的加密算法,对请求参数进行加密,生成签名,将签名作为请求的一部分,传给物流接口平台。物流接口平台收到请求后,以同样的算法进行签名,对比二者是否相同,如不相同,则说明传递过程中发生了数据篡改,拒绝进行服务。

    时效性控制

    为了控制API服务调用的时效性,避免一个请求被截取后,此请求会不断的有效,物流接口平台设置了请求的有效时间为600秒,以调用系统传入的请求时间参数与服务器当前时间进行比对,10分钟范围内的请求视为合法请求,超出该范围视为非法请求,拒绝服务。

    签名算法

    签名生成过程如下:
    1.对所有请求参数(除去sign签名参数自身),根据参数编码的ASCII码表的顺序排序。
    2.依序拼装参数编码和参数值,形成一个字符串,每组参数编码与参数值中间使用=连接
    3.把拼装好的字符串前后拼接应用密钥
    4.使用MD5签名算法对编码后的字节流进行运算。
    5.将运算得到的字节流结果使用十六进制表示,转换为全部大写
    最后产生的是一个32位长度的16进制数
    注意:密钥仅参与签名的生成的运算过程,不能放到参数列表中。

    错误定义

    系统级错误定义如下:

    错误编码错误信息
    S001服务编码不能为空
    S002应用标识不能为空
    S003请求时间不能为空
    S004请求时间格式不正确
    S005签名不能为空
    S101服务不存在
    S102服务不可用
    S201应用标识无效
    S202应用被停用
    S203无权限
    S301请求时间超出合理范围
    S401签名验证失败
    S999未定义错误+具体异常信息

    业务级错误定义参见各具体的API服务接口。

    展开全文
  • 优秀的API接口设计原则及方法

    万次阅读 2019-05-28 15:30:37
    一旦API发生变化,就可能对相关的调用者带来巨大的代价,用户需要排查所有调用的代码,需要调整所有与之相关的部分,这些工作对他们来说都是额外的。如果辛辛苦苦完成这些以后,还发现了相关的bug,那对用户的打击就...
  • 我直截了当地说用驼峰式。为什么? 我认为,像java语言或.net语言...接着,如我所期,云龙问“那你支付中心对外api接口参数为什么用小写+下划线的方式呢?” 我答道,对外提供的接口, 如果用驼峰式。 首先,我...
  • API接口错误码设计最佳实践

    千次阅读 2020-03-12 16:13:28
    服务器接口设计中最重要的环节之一便是接口错误码的定义了,通常情况下服务端会定义一些列错误码用以指示接口调用者或者用户进行正确的操作。例如接口参数确实、参数非法、无权限访问、用户身份认证信息过期等等类似...
  • 开放API接口安全设计

    千次阅读 2019-09-04 14:19:26
    随着项目前后端分离的火热,后台开发的重点主要是对外提供接口,那么API接口的安全就是要考虑的问题。前后端分离传统的开发模式有很大的差异,本文将针对以下问题进行探讨: 前后分离传统项目的区别 为什么...
  • web项目API接口设计与开发总结

    千次阅读 2019-08-31 18:48:47
    当前公司自主开发的一个AI图片识别项目,需要对外开放提供接口,领导二话没说把这个任务交给我来做,算是对我的一次考验。虽然以前自己没有设计接口,但是调用过别人写的接口,如百度提供的接口,还有以前在项目中...
  • 这两年做了一款支付产品,重新定义了产品的对外开放平台 API 的形态,优化了产品体验,重构了支付平台,把接口设计的各种经验分享出来,免得大家设计不合理的接口,影响开发者使用,或者被开发者吐槽不专业、不好用...
  • 微服务 API接口鉴权设计

    千次阅读 2020-10-23 15:58:11
    开放 API 接口签名验证
  • 对外开放的通用接口设计

    千次阅读 2019-04-20 21:18:34
    需求:以自己当前的系统作为一个平台,提供一下接口对外开放。其他接入我们对外开放的平台或系统则统称为第三方平台。 如果想要提供一套统一的接口,即可对接各种各样的第三方平台的话,就需要将对外接口做成通用...
  • 安全架构-api接口安全设计

    千次阅读 2020-12-22 16:37:28
    安全架构系列文章是从api接口的安全性设计引入的,讨论了api的业务安全-幂等性设计,传输安全,加签名加解密,介绍了对称加密,非对称加密的常用算法的实现。继续回到api接口安全性设计方案,除了上述处理外,我们...
  • 传统接口写法与Restful API接口写法区别,带着这些问题我们来具体了解下Restful API: 目录 什么是Restful API? 为什么用Restful API? Restful API是怎么定义的?定义规则方法: 传统接口写法与Restful API ...
  • 这里想大家讨论的是在后台接口设计过程中,还有哪些方面需要考虑,以及还有哪些优秀的技术实践方案可以借鉴。 【规范最佳实践】1.合理的接口命名; 接口的命名必须规范优雅,在未看到接口文档时,就可以根据接口...
  • 1.对外API设计时可能的问题 可能有四种使用服务端API的客户端: web应用,比如给客户使用的基于浏览器的页面,给商家使用的页面,以及给管理员使用的页面 运行在浏览器的JS应用 移动端应用,给用户配送员使用 第...
  • 设计接口是一件容易的事,也是件困难的事。设计接口每个人都会,每个人都能设计,也由此产生了各种各样的理念的接口。工作这么多年,我也很有感悟。很多人会说,设计接口多么简单,只要命名好,然后联调通了,上线...
  • Zabbix的API接口

    千次阅读 2019-07-07 00:42:09
    Zabbix API允许你以编程方式检索修改Zabbix的配置,并提供对历史数据的访问。它广泛用于: 创建新的应用程序以使用Zabbix; 将Zabbix与第三方软件集成; 自动执行常规任务。 Zabbix API是基于Web的API,...
  • java对外接口开发实例

    千次阅读 2021-03-17 10:32:45
    使用令牌,对服务请求者身份标识(_orgid)、服务标识(_servicecode)请求时间(_rtime)进行令牌密钥计算,得到令牌密钥信息_token。 将服务请求者身份标识(_orgid)、服务标识(_servicecode)、请求时间(_...
  • api接口设计

    千次阅读 2020-09-09 16:51:10
    api接口设计 健壮性 对外提供的接口,最好支持幂等性,即相同的请求重复调用,服务端的操作应该只有一次,并且每次返回的结果应该是一样的。 一般的做法是要求客户端在每次调用的时候带上唯一键,服务端第一次正常...
  • 基于Token实现开放API接口签名验证

    千次阅读 2021-12-13 22:42:01
    基于Token实现开放API接口签名验证
  • API接口安全性设计思路

    千次阅读 2015-03-19 08:53:45
    API接口安全性设计思路
  • 暴露在外部的接口(提供给第三方使用的接口),测试人员必须对外部接口接口测试,覆盖各种正常、异常情况。 例如京东调用微信支付接口。微信在提供这个接口给京东的时候,是需要进行测试通过的。 内部接口 内部...
  • 微服务接口定义规范

    2018-11-09 10:41:20
    微服务接口设计采用Restful风格的接口规范,下面是基于Restful风格要求制订的接口设计规范
  • Java程序API数据接口

    千次阅读 2021-02-12 09:16:11
    API:应用程序接口(API:Application Program Interface)一、使用数据接口的作用1、封装逻辑数据接口从数据库查询出数据,并组织成json格式,这个逻辑如果在每个终端都写一遍,那样将编写大量重复代码2、便于分布...
  • 接口(API)测试

    2020-08-01 13:19:16
    第二种是对象级别的,开发在使用API接口时,先引入包名,在使用之前声明一个对象,之后可以使用对象提供的方法,而测试时,需要测试的是API的功能及对数据输入的正确性。 第二种第一种的差别是,我们只需关注提供...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 59,062
精华内容 23,624
关键字:

对外接口和api怎么设计