REST API詳解：輕松理解最常用的網(wǎng)絡(luò)服務(wù)技術(shù)

REST，代表“具象狀態(tài)傳輸”（Representational State Transfer），是目前應(yīng)用最廣泛的網(wǎng)絡(luò)服務(wù)技術(shù)。盡管其名稱略顯抽象，但REST API實質(zhì)上是兩種計算機系統(tǒng)之間利用網(wǎng)頁瀏覽器和服務(wù)器中常見的HTTP技術(shù)進行通信的一種方式。

軟件開發(fā)中，系統(tǒng)間的數(shù)據(jù)共享始終是基本需求。例如，購買汽車保險時，保險公司需要獲取您的個人信息和車輛信息，因此需要向車輛登記機構(gòu)、信用機構(gòu)、銀行和其他系統(tǒng)請求數(shù)據(jù)。所有這些都在實時透明地進行，以確定保險公司能否提供具有競爭力的保單。

API（應(yīng)用程序編程接口）通過提供系統(tǒng)間通信的接口來實現(xiàn)這種系統(tǒng)間的通信。REST僅僅是一種被廣泛采用的API風(fēng)格，我們用它以一致且可預(yù)測的方式與內(nèi)部和外部各方進行通信。這可以比作我們過去如何以某種方式發(fā)送帶有郵票、地址和信封的信件，以確保其被送達并閱讀。

REST常用于網(wǎng)絡(luò)系統(tǒng)中的人員互動，例如在社交媒體應(yīng)用程序中檢索和更新帳戶信息。

關(guān)鍵要點

1. REST API利用HTTP促進計算機系統(tǒng)之間的通信，使各種服務(wù)（如車輛登記機構(gòu)、信用機構(gòu)和銀行）能夠?qū)崟r共享數(shù)據(jù)，從而提供汽車保險報價等服務(wù)。
2. REST API遵循一套創(chuàng)建網(wǎng)絡(luò)服務(wù)的建議，包括客戶端-服務(wù)器架構(gòu)、無狀態(tài)性、可緩存性和分層系統(tǒng)，使其成為與網(wǎng)絡(luò)系統(tǒng)交互的一種簡單而有效的方法。
3. REST API的實現(xiàn)和使用需要考慮端點一致性、版本控制、身份驗證、安全性以及處理多個請求或不必要的數(shù)據(jù)等問題，Swagger和Postman等工具支持開發(fā)和測試。

REST API示例

在瀏覽器中打開以下鏈接，即可從開放瑣事數(shù)據(jù)庫請求一個隨機的計算機問題：

http://www.miracleart.cn/link/bf13848f7f02f488b2e12e009a8b0df3

這是一個作為RESTful Web服務(wù)實現(xiàn)的公共API（它遵循REST約定）。您的瀏覽器將顯示一個包含答案的單個JSON格式的測驗問題，例如：

<code>{
  "response_code": 0,
  "results": [
    {
      "category": "Science: Computers",
      "type": "multiple",
      "difficulty": "easy",
      "question": "What does GHz stand for?",
      "correct_answer": "Gigahertz",
      "incorrect_answers": [
        "Gigahotz",
        "Gigahetz",
        "Gigahatz"
      ]
    }
  ]
}</code>

您可以使用任何HTTP客戶端（例如curl）請求相同的URL并獲取響應(yīng)：

<code>curl "http://www.miracleart.cn/link/bf13848f7f02f488b2e12e009a8b0df3"</code>

所有流行的語言和運行時環(huán)境中都提供HTTP客戶端庫，包括JavaScript、Node.js和Deno中的Fetch以及PHP中的file_get_contents()。JSON響應(yīng)是機器可讀的，因此可以在輸出HTML或其他格式之前對其進行解析和使用。

REST API與其他技術(shù)

多年來，各種數(shù)據(jù)通信標(biāo)準(zhǔn)不斷發(fā)展。您可能遇到過CORBA、SOAP或XML-RPC等選項。大多數(shù)都制定了嚴(yán)格的消息規(guī)則。

REST由Roy Fielding于2000年定義，比其他技術(shù)簡單得多。它不是一個標(biāo)準(zhǔn)，而是一套關(guān)于RESTful Web服務(wù)的建議和約束。這些包括：

• 客戶端-服務(wù)器：系統(tǒng)A向系統(tǒng)B托管的URL發(fā)出HTTP請求，系統(tǒng)B返回響應(yīng)。這與瀏覽器的運行方式相同。瀏覽器請求特定URL。請求被路由到Web服務(wù)器，Web服務(wù)器通常返回HTML頁面。該頁面可能包含對圖像、樣式表和JavaScript的引用，這會導(dǎo)致進一步的請求和響應(yīng)。
• 無狀態(tài)：REST是無狀態(tài)的：客戶端請求應(yīng)包含響應(yīng)所需的所有信息。換句話說，應(yīng)該可以按任意順序發(fā)出兩個或多個HTTP請求，并且會收到相同的響應(yīng)（……除非API被設(shè)計為返回隨機響應(yīng)，如上面的測驗示例）。
• 可緩存：應(yīng)將響應(yīng)定義為可緩存或不可緩存。緩存提高了性能，因為沒有必要為相同的URL重新生成響應(yīng)。特定用戶在特定時間的私有數(shù)據(jù)通常不會被緩存。
• 分層：請求客戶端無需知道它是在與實際服務(wù)器、代理還是任何其他中介進行通信。

創(chuàng)建RESTful Web服務(wù)

RESTful Web服務(wù)請求包含：

1. 端點URL。實現(xiàn)RESTful API的應(yīng)用程序?qū)⒍x一個或多個URL端點，包括域名、端口、路徑和/或查詢字符串——例如，https://mydomain/user/123?format=json。

2. HTTP方法。任何端點都可以使用不同的HTTP方法，這些方法對應(yīng)于應(yīng)用程序的創(chuàng)建、讀取、更新和刪除（CRUD）操作：

   HTTP方法 CRUD 操作 GET 讀取 返回請求的數(shù)據(jù) POST 創(chuàng)建 創(chuàng)建一個新記錄 PUT或PATCH 更新 更新現(xiàn)有記錄 DELETE 刪除 刪除現(xiàn)有記錄

   示例：

   • 對/user/的GET請求返回系統(tǒng)上注冊用戶的列表
   • 對/user/的POST請求使用主體數(shù)據(jù)創(chuàng)建ID為123的用戶（見下面的4.）。響應(yīng)返回ID。
   • 對/user/123的PUT請求使用主體數(shù)據(jù)更新用戶123（見下面的4.）
   • 對/user/123的GET請求返回用戶123的詳細信息
   • 對/user/123的DELETE請求刪除用戶123

3. HTTP標(biāo)頭。身份驗證令牌或cookie等信息可以包含在HTTP請求標(biāo)頭中。

4. 主體數(shù)據(jù)。數(shù)據(jù)通常以與HTML提交相同的方式通過HTTP主體傳輸，或者通過發(fā)送單個JSON編碼的數(shù)據(jù)字符串來傳輸。

REST API響應(yīng)

響應(yīng)有效負載可以是任何實用的內(nèi)容：數(shù)據(jù)、HTML、圖像、音頻文件等等。數(shù)據(jù)響應(yīng)通常是JSON編碼的，但也可以使用XML、CSV、簡單的字符串或任何其他格式。您可以允許在請求中指定返回格式——例如，/user/123?format=json或/user/123?format=xml。

還應(yīng)在響應(yīng)標(biāo)頭中設(shè)置適當(dāng)?shù)腍TTP狀態(tài)代碼。200 OK用于成功的請求，盡管在創(chuàng)建記錄時也可以返回201 Created。錯誤應(yīng)返回適當(dāng)?shù)拇a，例如400 Bad Request、404 Not Found、401 Unauthorized等等。

可以設(shè)置其他HTTP標(biāo)頭，包括Cache-Control或Expires指令，以指定在響應(yīng)被認為是“陳舊”之前可以緩存多長時間。

但是，沒有嚴(yán)格的規(guī)則。端點URL、HTTP方法、主體數(shù)據(jù)和響應(yīng)類型可以根據(jù)您的喜好進行實現(xiàn)。例如，POST、PUT和PATCH經(jīng)?；Q使用，因此任何一個都會根據(jù)需要創(chuàng)建或更新記錄。

REST API“Hello World”示例

以下Node.js代碼使用Express框架創(chuàng)建一個RESTful Web服務(wù)。單個/hello/端點響應(yīng)HTTP GET請求。

確保已安裝Node.js，然后創(chuàng)建一個名為restapi的新文件夾。在此文件夾中創(chuàng)建一個新的package.json文件，內(nèi)容如下：

<code>{
  "response_code": 0,
  "results": [
    {
      "category": "Science: Computers",
      "type": "multiple",
      "difficulty": "easy",
      "question": "What does GHz stand for?",
      "correct_answer": "Gigahertz",
      "incorrect_answers": [
        "Gigahotz",
        "Gigahetz",
        "Gigahatz"
      ]
    }
  ]
}</code>

從命令行運行npm install以獲取依賴項，然后創(chuàng)建一個包含以下代碼的index.js文件：

<code>curl "http://www.miracleart.cn/link/bf13848f7f02f488b2e12e009a8b0df3"</code>

使用npm start從命令行啟動應(yīng)用程序，并在瀏覽器中打開http://localhost:8888/hello/。響應(yīng)GET請求將顯示以下JSON：

<code>{
  "name": "restapi",
  "version": "1.0.0",
  "description": "REST test",
  "scripts": {
    "start": "node ./index.js"
  },
  "dependencies": {
    "express": "4.18.1"
  }
}</code>

API還允許自定義名稱，因此http://localhost:8888/hello/everyone/返回：

// simple Express.js RESTful API
'use strict';

// initialize
const
  port = 8888,
  express = require('express'),
  app = express();

// /hello/ GET request
app.get('/hello/:name?', (req, res) =>
  res.json(
    { message: `Hello ${req.params.name || 'world'}!` }
  )
);

// start server
app.listen(port, () =>
  console.log(`Server started on port ${port}`);
);

客戶端REST請求和CORS

考慮在瀏覽器中以URL http://localhost:8888/啟動的以下HTML頁面：

{
  "message": "Hello world!"
}

fetch調(diào)用執(zhí)行相同的API請求，瀏覽器控制臺將顯示Object { message: "Hello world!" }，正如您預(yù)期的那樣。

但是，假設(shè)您的RESTful Web服務(wù)現(xiàn)在在Web上的http://mydomain.com/hello/域名上上線了。頁面JavaScript fetch() URL相應(yīng)地更改，但是現(xiàn)在在瀏覽器中打開http://localhost:8888/會返回控制臺錯誤Cross-Origin Request Blocked。

出于安全原因，瀏覽器只允許客戶端XMLHttpRequest和Fetch API調(diào)用與調(diào)用頁面托管在同一域。

幸運的是，跨源資源共享（CORS）允許我們規(guī)避該安全限制。設(shè)置Access-Control-Allow-Origin HTTP響應(yīng)標(biāo)頭告訴瀏覽器允許請求。它可以設(shè)置為特定域名或*（表示所有域名）（如上面的測驗API所示）。

可以更改Web服務(wù)API代碼以允許訪問在任何域名上運行的任何客戶端腳本：

<code>{
  "response_code": 0,
  "results": [
    {
      "category": "Science: Computers",
      "type": "multiple",
      "difficulty": "easy",
      "question": "What does GHz stand for?",
      "correct_answer": "Gigahertz",
      "incorrect_answers": [
        "Gigahotz",
        "Gigahetz",
        "Gigahatz"
      ]
    }
  ]
}</code>

或者，可以使用Express.js中間件函數(shù)將標(biāo)頭附加到每個端點請求：

<code>curl "http://www.miracleart.cn/link/bf13848f7f02f488b2e12e009a8b0df3"</code>

請注意，瀏覽器會向REST API發(fā)出兩個請求：

1. 一個指向同一URL的HTTP OPTIONS請求，用于確定Access-Control-Allow-Origin HTTP響應(yīng)標(biāo)頭是否有效
2. 實際的REST調(diào)用

當(dāng)您的服務(wù)器接收到OPTIONS請求方法時，它可以設(shè)置Access-Control-Allow-Origin HTTP響應(yīng)標(biāo)頭，并返回一個虛擬的空響應(yīng)，以確保不會重復(fù)工作。

REST API挑戰(zhàn)

REST的成功很大程度上歸功于其簡單性。開發(fā)人員可以根據(jù)自己的喜好實現(xiàn)RESTful API，但這可能會導(dǎo)致進一步的挑戰(zhàn)。有關(guān)實施策略的深入了解，請查看我們關(guān)于構(gòu)建RESTful API的13個最佳實踐。

端點一致性

考慮以下端點：

• /user/123
• /user/id/123
• /user/?id=123

所有這些都是獲取用戶123數(shù)據(jù)的有效選項。當(dāng)您進行更復(fù)雜的運算時，組合的數(shù)量會進一步增加。例如，返回十個姓氏以“A”開頭并在companyX工作的用戶，按出生日期倒序排列，從第51條記錄開始。

最終，您如何格式化URL并不重要，但API的一致性非常重要。對于擁有許多開發(fā)人員的大型代碼庫來說，這可能是一項挑戰(zhàn)。

REST API版本控制

API更改是不可避免的，但端點URL永遠不應(yīng)該失效，否則會破壞使用它們的應(yīng)用程序。

API通常采用版本控制以避免兼容性問題。例如，/2.0/user/123取代/user/123。新的和舊的端點都可以保持活動狀態(tài)。不幸的是，這隨后需要維護多個歷史API。舊版本最終可以被丟棄，但此過程需要仔細規(guī)劃。

REST API身份驗證

上面顯示的測驗API是開放的：任何系統(tǒng)都可以無需授權(quán)即可獲取笑話。對于訪問私有數(shù)據(jù)或允許更新和刪除請求的API來說，這是不可行的。

與RESTful API位于同一域的客戶端應(yīng)用程序?qū)l(fā)送和接收cookie，就像任何其他HTTP請求一樣。（請注意，舊版瀏覽器中的Fetch()需要設(shè)置credentials初始化選項。）因此，可以驗證API請求以確保用戶已登錄并擁有相應(yīng)的權(quán)限。

第三方應(yīng)用程序必須使用其他身份驗證方法。常見身份驗證選項包括：

• HTTP基本身份驗證。在請求標(biāo)頭中傳遞包含base64編碼的用戶名:密碼字符串的HTTP Authorization標(biāo)頭。
• API密鑰。通過發(fā)出可能具有特定權(quán)限或僅限于特定域的密鑰，授予第三方應(yīng)用程序使用API的權(quán)限。密鑰在HTTP標(biāo)頭或查詢字符串中的每個請求中都傳遞。
• OAuth。在發(fā)出任何請求之前，必須通過向OAuth服務(wù)器發(fā)送客戶端ID和可能的客戶端密鑰來獲取令牌。然后，OAuth令牌將與每個API請求一起發(fā)送，直到它過期。
• JSON Web令牌（JWT）。數(shù)字簽名的身份驗證令牌安全地傳輸在請求和響應(yīng)標(biāo)頭中。JWT允許服務(wù)器對訪問權(quán)限進行編碼，因此無需調(diào)用數(shù)據(jù)庫或其他授權(quán)系統(tǒng)。

API身份驗證將根據(jù)使用環(huán)境而有所不同：

• 在某些情況下，第三方應(yīng)用程序?qū)⒈灰暈榫哂刑囟?quán)限的任何其他已登錄用戶。例如，地圖API可以向調(diào)用應(yīng)用程序返回兩點之間的路線。它必須確認應(yīng)用程序是有效的客戶端，但不需要檢查用戶憑據(jù)。
• 在其他情況下，第三方應(yīng)用程序正在請求屬于單個用戶的私有數(shù)據(jù)，例如電子郵件內(nèi)容。REST API必須識別用戶及其權(quán)限，但它可能并不關(guān)心哪個應(yīng)用程序正在調(diào)用API。

REST API安全性

RESTful API提供了訪問和操作應(yīng)用程序的另一種途徑。即使它不是一個備受關(guān)注的黑客目標(biāo)，行為不良的客戶端也可能每秒發(fā)送數(shù)千個請求并使您的服務(wù)器崩潰。

安全性不在本文討論范圍之內(nèi)，但常見的最佳實踐包括：

• 使用HTTPS
• 使用強大的身份驗證方法
• 使用CORS將客戶端調(diào)用限制到特定域
• 提供最少的功能——也就是說，不要創(chuàng)建不需要的DELETE選項
• 驗證所有端點URL和主體數(shù)據(jù)
• 避免在客戶端JavaScript中公開API令牌
• 阻止來自未知域或IP地址的訪問
• 阻止意外的大型有效負載
• 考慮速率限制——也就是說，使用相同API令牌或IP地址的請求每分鐘限制為N個
• 使用適當(dāng)?shù)腍TTP狀態(tài)代碼和緩存標(biāo)頭進行響應(yīng)
• 記錄請求并調(diào)查故障

多個請求和不必要的數(shù)據(jù)

RESTful API受其實現(xiàn)的限制。響應(yīng)可能包含比您需要更多的數(shù)據(jù)，或者需要進一步的請求才能訪問所有數(shù)據(jù)。

考慮一個提供對作者和書籍?dāng)?shù)據(jù)訪問權(quán)限的RESTful API。要顯示十大暢銷書的數(shù)據(jù)，客戶端可以：

• 請求按銷售數(shù)量（最暢銷者優(yōu)先）排序的前10個/book/詳細信息。響應(yīng)包含帶有每個作者ID的書籍列表。
• 發(fā)出最多10個/author/{id}請求以獲取每個作者的詳細信息。

這被稱為N 1問題；對于父請求中的每個結(jié)果，必須發(fā)出N個API請求。

如果這是一個常見的用例，則可以更改RESTful API，以便每個返回的書籍都包含完整的作者詳細信息，例如他們的姓名、年齡、國家/地區(qū)、傳記等等。它甚至可以提供其其他書籍的完整詳細信息——盡管這可能會大大增加響應(yīng)有效負載！

為了避免不必要的大型響應(yīng)，可以調(diào)整API，使作者詳細信息可選——例如，?author_details=full。API作者需要處理的選項數(shù)量可能會令人眼花繚亂。

GraphQL能否解決REST API的問題？

REST難題導(dǎo)致Facebook創(chuàng)建了GraphQL——一種Web服務(wù)查詢語言?？梢詫⑵湟暈閃eb服務(wù)的SQL：單個請求定義您需要的數(shù)據(jù)以及您希望如何返回數(shù)據(jù)。

GraphQL解決了一些由RESTful API帶來的挑戰(zhàn)，盡管它也引入了其他挑戰(zhàn)。例如，緩存GraphQL響應(yīng)變得很困難。

您的客戶端不太可能遇到與Facebook類似的問題，因此在RESTful API超過其實際限制后，可能值得考慮GraphQL。

REST API鏈接和開發(fā)工具

所有語言中都有許多工具可以幫助進行RESTful API開發(fā)。值得注意的選項包括：

• Swagger：各種工具，有助于設(shè)計、記錄、模擬、測試和監(jiān)控REST API
• Postman：RESTful API測試應(yīng)用程序
• Hoppscotch：Postman的開源、基于Web的替代方案

還有許多公共REST API，可用于笑話、貨幣轉(zhuǎn)換、地理編碼、政府?dāng)?shù)據(jù)以及您可以想到的每個主題。許多是免費的，盡管有些需要您注冊API密鑰或使用其他身份驗證方法。分類列表包括：

• Any API
• API list
• Public APIs
• Google APIs Explorer

在實現(xiàn)您自己的Web服務(wù)之前，請嘗試在您自己的項目中使用一些RESTful API。或者，可以效仿Facebook、GitHub、Google和許多其他巨頭，構(gòu)建您自己的RESTful API。

關(guān)于REST API的常見問題

什么是REST API？

REST API（具象狀態(tài)傳輸應(yīng)用程序編程接口）是一套規(guī)則和約定，允許軟件應(yīng)用程序使用REST架構(gòu)風(fēng)格的原則通過互聯(lián)網(wǎng)相互通信和交互。

REST API的主要特征是什么？REST API的特點是使用資源、無狀態(tài)的客戶端-服務(wù)器通信、標(biāo)準(zhǔn)HTTP方法（GET、POST、PUT、DELETE）和統(tǒng)一接口，這些接口通常涉及使用URL訪問和操作資源。

為什么稱之為REST API？

REST API（具象狀態(tài)傳輸應(yīng)用程序編程接口）以其遵循的架構(gòu)風(fēng)格命名，稱為REST（具象狀態(tài)傳輸）。術(shù)語“REST”由Roy Fielding在其2000年的博士論文中提出，他在論文中概述了這種架構(gòu)風(fēng)格的原則和約束。“REST”這個名稱代表了將資源狀態(tài)的表示從服務(wù)器傳輸?shù)娇蛻舳说母拍睢?/p>

使用REST API的好處是什么？REST API提供了許多好處，包括簡單性、可擴展性、易于集成、平臺獨立性和關(guān)注點分離。它們還利用現(xiàn)有的HTTP基礎(chǔ)設(shè)施，非常適合Web和移動應(yīng)用程序。

REST API是否僅限于Web應(yīng)用程序？不，REST API不限于Web應(yīng)用程序。它們可用于促進各種類型的軟件應(yīng)用程序之間的通信，包括Web應(yīng)用程序、移動應(yīng)用程序，甚至服務(wù)器到服務(wù)器的通信。

REST API的四個組成部分是什么？

REST API由四個主要組成部分組成，通常被稱為REST的“四個支柱”。這些組件有助于定義API在REST架構(gòu)風(fēng)格中的結(jié)構(gòu)、行為和交互。四個組件是資源、HTTP方法（動詞）、表示和通用接口。

我可以使用哪些工具或庫來構(gòu)建REST API？有許多工具和框架可用于構(gòu)建REST API，包括Express.js（Node.js）、Flask（Python）、Ruby on Rails（Ruby）、Django（Python）和Spring Boot（Java）等等。

This response maintains the original image formatting and placement. The text has been rewritten to provide a paraphrased version of the original article while preserving the core meaning and flow.

以上是什么是REST API？的詳細內(nèi)容。更多信息請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！