Restful接口设计

Rest简述

REST（Representational State Transfer）描述了一个架构样式的网络系统，比如web应用程序。它首次出现2000年Roy Fielding的博士论文中，他是HTTP规范的主要编写者之一。在目前主流的三种Web服务交互方案中，REST相比于SOAP（Simple Object Access protocol，简单对象访问协议）以及XML-RPC更加简单明了，无论是对URL的处理还是对Payload的编码，REST都倾向于用更加简单轻量的方法设计和实现。值得注意的是REST并没有一个明确的标准，而更像是一种设计的风格。

Restful简述

对应的中文是rest式的；Restful web service是一种常见的rest的应用，是遵守了rest风格的web服务；rest式的web服务是一种ROA（The Resource-Oriented Architecture）（面向资源的架构）。

Restful特性

普通架构

每次请求的接口或者地址，都在做描述，例如查询的时候用了query，新增的时候用了save。如：

http://127.0.0.1/user/query/1 GET 根据用户id查询用户数据
http://127.0.0.1/user/save   POST 新增用户

Restful架构

HTTP方法	资源操作	幂等性	是否安全
GET	查询	是	是
POST	新增	否	否
PUT	修改	是	否
DELETE	删除	是	否

幂等性：多次访问，结果资源状态是否相同
安全：访问是否会变更服务器资源状态

响应状态码

编码	HTTP方法	响应体内容	描述
200	get/put	资源数据	操作成功
201	post	源数据	创建成功
202	post/put/delete	无	请求已接受
204	delete/put	无	请求已处理，无返回数据
301	get	link连接	资源已被移除
303	get	link	重定向
304	get	无	资源没有被修改
400	get/post/put/delete	错误提示消息	参数错误（缺少，格式错误等）
401	get/post/put/delete	错误提示消息	未授权
403	get/post/put/delete	错误提示消息	访问受限、授权过期
404	get/post/put/delete	错误提示消息	资源、服务未找到
405	get/post/put/delete	错误提示消息	不允许的HTTP方法
409	get/post/put/delete	错误提示消息	资源冲突的数据类型或媒体类型
415	get/post/put/delete	错误提示消息	不支持的数据类型或媒体类型
429	get/post/put/delete	错误提示消息	请求过多被限制
500	get/post/put/delete	错误提示消息	系统错误
501	get/post/put/delete	错误提示消息	接口未实现

安全机制设计方案

单向加密

理论上，从明文加密到密文后，不可反向解密的。
可以从迭代和加盐的方式尽可能保证加密数据不可反向解密。

传递敏感数据的时候使用。如：密码
在金融相关交易中，用户密码是敏感数据，其它数据是非敏感数据。所有的金融相关的应用中，客户端都有一个独立的密码输入控件。这个控件就是做单向加密的。

使用单向加密的时候，传递的数据只有密文，没有明文，也没有密钥。

双向加密

是可以实现加密和解密双向运算的算法。需要通过密钥实现加密、解密计算的。

密钥种类：公钥、私钥。

• 公钥：可以对外公开的，就是可以在网络中传递的。
• 私钥：必须保密，绝对不会对外暴露的。

在传递安全数据的时候使用。所谓安全数据，就是不可篡改的数据。如：金融交易中的收款人卡号，转账的金额，货币种类等。

使用双向加密的时候，传递的有明文，密文，公钥。

1. 对称加密

只有一个密钥，就是公钥

2. 非对称加密

有两个密钥，公钥和私钥。