「Web APIの設計」読書メモ
Yaona
Yaona第1章APIデザインとは何か
Yaona第2章ユーザーを意識したAPIを設計する
Yaona第3章プログラミングインターフェイスを設計する
Yaonaパスの構造はファイルシステムのディレクトリ構造のようなものと考えるとよい。
Yaona/catalog/{producId}でもいいし、
products/{productId}でもいい。
YaonaRESTの一般的なフォーマット
/{コレクションのアイテムの種類を表す複数形の名前}/{アイテムなどのID}
複数形の名前を利用することはデファクトスタンダード。
Yaonaresources/{resourceId}/sub-resources/{subResourceId}のように複数のレベルに拡張も可能。
Yaona/products/{productId}というパスの場合、
GET /products/{productId}ならば、取得
POST /products/{productId}ならば、作成
DELETE /products/{productId}ならば、削除
PATCH /products/{productId}ならば、更新
PUT /products/{productId}ならば、置き換え(ない場合は作成)
YaonaゴールのパスとHTTPメソッドのペアに置き換える方法がすぐに思い浮かばない場合、アクションリソースを作成する。
Yaonaアクションリソースは名詞ではなく動詞で表されるリソース。
単なる関数、クラスのメソッド。
ショッピングカートリソースを/cartで表すとき、
cart.XXX()メソッドは/cart/XXXと表せる。
スタンドアロン関数xxxCart()とみなして、/xxx-cartでも問題ない。
上記の場合は、POSTを用いること。
YaonaアクションリソースはRESTモデルに全く従っていない。
が、コンシューマにとっては完全に理解可能。
Yaona- クライアントとサーバーの分離
- 関心を明確に分離
- ステートレス性
- クライアントのコンテキストをサーバーは保持しない
- キャッシュ可能性
- レスポンスを再利用できるか
- 階層化システム
- サーバーの背後にあるインフラストラクチャは認識しない
- コードオンデマンド
- 実行可能コードをクライアントに転送可能
- 統一インターフェイス
- すべてのやり取りを識別されたリソースに従って行う必要がある
Yaona第4章API記述フォーマットを使ってAPIを記述する
Yaona第5章単純明快なAPIを設計する
Yaona第6章予測可能なAPIを設計する
Yaona第8章セキュアなAPIを設計する
YaonaモバイルアプリケーションのプライベートAPIはハックの対象にされやすい。
Yaonaクレデンシャルをコンシューマに送信させることで登録済みのコンシューマと判別できる。
Yaona最小権限の原則。
必要最低限に制限することで攻撃可能性を低下できる。
YaonaAPIのゴールをスコープに分割すべき。
Yaonaセンシティブな内容は本当に返すべきか吟味が必要。
例えば、クレジットカードのカード番号、CVV等。
Yaonaシーケンシャルなデータベースキーは返してはいけない。
顧客数などの情報を推測できるため。
Yaonaパーミッションエラーなどは明言しない方が良い。
情報漏洩とみなされる可能性がある。
例えば、悪意ある第三者の攻撃だった場合、暗にそのリソースが存在することを言及しているようなものであるため、
Yaona技術スタックに関する詳細情報が露呈してはならない。
NULLPointerExceptionなど。
Yaona第9章APIの設計を進化させる
Yaona第10章ネットワーク効率のよいAPIを設計する
Yaona第11章コンテキストに基づいてAPIを設計する
Yaona第12章APIを文書化する