如何打造快速安全的 API，以及 REST API 的相关技巧

今天阅读的文章的TL;DR风格笔记。

构建快速 API：从 40 年 SQL 经验中汲取的教训

• 让消费者完全自主选择获取哪些内容，不要将他们与预先确定的数据字段绑定。
• 模拟 SQL 的 EXPLAIN 方法，让用户清楚地了解数据库将如何执行他们的查询。这样，他们就能发现可能导致性能下降的原因，并自行进行修复。
• 如果无法提供完全访问权限，请针对常见的访问模式优化您的 API。
• 让用户能够一次性轻松获取所需的所有数据，而不是循环发送多个请求。
• 设计 API 以实现本地数据缓存。
• 设计 API 以研究访问日志并相应地预取相关数据，因为这会影响感知到的获取速度，而不会改变吞吐量。
• 从 NoSQL 运动中汲取的经验教训：根据数据访问模式对数据结构进行建模；以及用户更看重一致性，而不是尽可能快（或最慢）的速度。

全文请点击此处阅读，阅读时间约10分钟。

你无法保护你看不见的东西。

以下是一些保护 API 的方法：

• 建立可视性，使企业能够了解通过 API 向哪些对象以及以何种方式暴露了哪些内容。API 管理层应具备监控和分析功能，以便实时检测威胁。
• 对终端用户和客户端应用程序进行身份验证。OAuth2 是事实上的标准。
• 验证所有输入，确保其与预期参数匹配——这可以保护您的 API 免受 SQL 注入、跨站脚本攻击和其他常见威胁的侵害。此外，当安全人员探索 API 漏洞时，它还能起到预警作用。
• 除了确保您的基础设施可以横向扩展以避免 DDoS 攻击之外，API 中的速率限制还可以检查攻击并避免轻微的流量高峰。
• 为了防范恶意机器人，应要求客户端证明其身份——例如使用 reCAPTCHA。

全文请点击此处阅读，阅读时间约10分钟。

5 个技巧，助您将数据库封装成 REST API

• 不要让实现细节泄露到 API 中。使用清晰的资源概念名称。不要在 URL 中使用缩写或命名约定。
• 对搜索结果进行分页，限制返回的页数，并限制每次请求的最大记录数。在首页、末页、下一页和上一页添加超媒体链接，方便用户浏览。
• 请坚持使用标准响应代码，不要创建新的响应代码。请使用常见的HTTP响应代码200、201、204、400和404。
• 当客户端发送数据时，务必验证必填字段、字段类型和格式。切勿在 URL 中传递 SQL 语句。
• 为 API 添加基于工作流的功能，使其不仅限于数据访问。

全文请点击此处阅读，阅读时间约6分钟。

订阅我的新闻简报 in.snippets()，即可在每个工作日直接在您的收件箱中收到这些笔记，点击此处注册。