基于一些不錯的RESTful開發組件，可以快速的開發出不錯的RESTful API，但如果不了解開發規范的、健壯的RESTful API的基本面，即便優秀的RESTful開發組件擺在面前，也無法很好的理解和使用。下文Gevin結合自己的實踐經驗，整理了從零開始開發RESTful API的核心要點，完善的RESTful開發組件基本都會包含全部或大部分要點，對于支持不夠到位的要點，我們也可以自己寫代碼實現。

Outline

Request 和 Response
Serialization 和 Deserialization
Validation
Authentication 和 Permission
CORS
URL Rules

1. Request 和 Response

RESTful API的開發和使用，無非是客戶端向服務器發請求（request），以及服務器對客戶端請求的響應（response）。本真RESTful架構風格具有統一接口的特點，即，使用不同的http方法表達不同的行為：

GET（SELECT）：從服務器取出資源（一項或多項）
POST（CREATE）：在服務器新建一個資源
PUT（UPDATE）：在服務器更新資源（客戶端提供完整資源數據）
PATCH（UPDATE）：在服務器更新資源（客戶端提供需要修改的資源數據）
DELETE（DELETE）：從服務器刪除資源

客戶端會基于GET方法向服務器發送獲取數據的請求，基于PUT或PATCH方法向服務器發送更新數據的請求等，服務端在設計API時，也要按照相應規范來處理對應的請求，這點現在應該已經成為所有RESTful API的開發者的共識了，而且各web框架的request類和response類都很強大，具有合理的默認設置和靈活的定制性，Gevin在這里僅準備強調一下響應這些request時，常用的Response要包含的數據和狀態碼（status code），不完善的內容，歡迎大家補充:

當GET,?PUT和PATCH請求成功時，要返回對應的數據，及狀態碼200，即SUCCESS
當POST創建數據成功時，要返回創建的數據，及狀態碼201，即CREATED
當DELETE刪除數據成功時，不返回數據，狀態碼要返回204，即NO CONTENT
當GET?不到數據時，狀態碼要返回404，即NOT FOUND
任何時候，如果請求有問題，如校驗請求數據時發現錯誤，要返回狀態碼?400，即BAD REQUEST
當API 請求需要用戶認證時，如果request中的認證信息不正確，要返回狀態碼?401，即NOT AUTHORIZED
當API 請求需要驗證用戶權限時，如果當前用戶無相應權限，要返回狀態碼?403，即FORBIDDEN

最后，關于Request 和 Response，不要忽略了http header中的Content-Type。以json為例，如果API要求客戶端發送request時要傳入json數據，則服務器端僅做好json數據的獲取和解析即可，但如果服務端支持多種類型數據的傳入，如同時支持json和form-data，則要根據客戶端發送請求時header中的Content-Type，對不同類型是數據分別實現獲取和解析；如果API響應客戶端請求后，需要返回json數據，需要在header中添加Content-Type=application/json。

2. Serialization 和 Deserialization

Serialization 和 Deserialization即序列化和反序列化。RESTful API以規范統一的格式作為數據的載體，常用的格式為json或xml，以json格式為例，當客戶端向服務器發請求時，或者服務器相應客戶端的請求，向客戶端返回數據時，都是傳輸json格式的文本，而在服務器內部，數據處理時基本不用json格式的字符串，而是native類型的數據，最典型的如類的實例，即對象（object），json僅為服務器和客戶端通信時，在網絡上傳輸的數據的格式，服務器和客戶端內部，均存在將json轉為native類型數據和將native類型數據轉為json的需求，其中，將native類型數據轉為json即為序列化，將json轉為native類型數據即為反序列化。雖然某些開發語言，如Python，其原生數據類型list和dict能輕易實現序列化和反序列化，但對于復雜的API，內部實現時總會以對象作為數據的載體，因此，確保序列化和反序列化方法的實現，是開發RESTful API最重要的一步準備工作

題外話，序列化和反序列化的便捷，造就了RESTful API跨平臺的特點，使得REST取代RPC成為Web Service的主流

序列化和反序列化是RESTful API開發中的一項硬需求，所以幾乎每一種常用的開發語言都會有一個或多個優秀的開源庫，來實現序列化和反序列化，因此，我們在開發RESTful API時，沒必要制造重復的輪子，選一個好用的庫即可，如python中的marshmallow，如果基于Django開發，Django REST Framework中的serializer即可。

3. Validation

Validation即數據校驗，是開發健壯RESTful API中另一個重要的一環。仍以json為例，當客戶端向服務器發出post,?put或patch請求時，通常會同時給服務器發送json格式的相關數據，服務器在做數據處理之前，先做數據校驗，是最合理和安全的前后端交互。如果客戶端發送的數據不正確或不合理，服務器端經過校驗后直接向客戶端返回400錯誤及相應的數據錯誤信息即可。常見的數據校驗包括：

數據類型校驗，如字段類型如果是int，那么給字段賦字符串的值則報錯
數據格式校驗，如郵箱或密碼，其賦值必須滿足相應的正則表達式，才是正確的輸入數據
數據邏輯校驗，如數據包含出生日期和年齡兩個字段，如果這兩個字段的數據不一致，則數據校驗失敗

以上三種類型的校驗，數據邏輯校驗最為復雜，通常涉及到多個字段的配合，或者要結合用戶和權限做相應的校驗。Validation雖然是RESTful API 編寫中的一個可選項，但它對API的安全、服務器的開銷和交互的友好性而言，都具有重要意義，因此，Gevin建議，開發一套完善的RESTful API時，Validation的實現必不可少。

4. Authentication 和 Permission

Authentication指用戶認證，Permission指權限機制，這兩點是使RESTful API 強大、靈活和安全的基本保障。

常用的認證機制是Basic Auth和OAuth，RESTful API 開發中，除非API非常簡單，且沒有潛在的安全性問題，否則，認證機制是必須實現的，并應用到API中去。Basic Auth非常簡單，很多框架都集成了Basic Auth的實現，自己寫一個也能很快搞定，OAuth目前已經成為企業級服務的標配，其相關的開源實現方案非常豐富（更多）。

我在《RESTful 架構風格概述》中，對認證機制做了更加詳細的描述，有興趣的同學不妨閱讀相關章節。

權限機制是對API請求更近一步的限制，只有通過認證的用戶符合權限要求，才能訪問API。權限機制的具體實現通常依賴于系統的業務邏輯和應用場景，generally speaking，常用的權限機制主要包含全局型的和對象型的，全局型的權限機制，主要指通過為用戶賦予權限，或者為用戶賦予角色或劃分到用戶組，然后為角色或用戶組賦予權限的方式來實現權限控制，對象型的權限機制，主要指權限控制的顆粒度在object上，用戶對某個具體對象的訪問、修改、刪除或其行為，要單獨在該對象上為用戶賦予相關權限來實現權限控制。

全局型的權限機制容易理解，實現也簡單，有很多開源庫可做備選方案，不少完善的web開發框架，也會集成相關的權限邏輯，object permission 相對難復雜一點，但也有很多典型的應用場景，如多人博客系統中，作者對自己文章的編輯權限即為object permission，其對應的開源庫也有很多。

注：我寫過一篇《Django權限機制的實現》，Django 開發者可做延伸閱讀。

開發一套完整的RESTful API，權限機制必須納入考慮范圍，雖然權限機制的具體實現依賴于業務，權限機制本身，是有典型的模式存在的，需要開發者掌握基本的權限機制實現方案，以便隨時應用到API中去。

5. CORS

CORS即Cross-origin resource sharing，在RESTful API開發中，主要是為js服務的，解決javascript 調用 RESTful API時的跨域問題。

由于固有的安全機制，js的跨域請求時是無法被服務器成功響應的。現在前后端分離日益成為web開發主流方式的大趨勢下，后臺逐漸趨向指提供API服務，為各客戶端提供數據及相關操作，而網站的開發全部交給前端搞定，網站和API服務很少部署在同一臺服務器上并使用相同的端口，js的跨域請求時普遍存在的，開發RESTful API時，通常都要考慮到CORS功能的實現，以便js能正常使用API。

目前各主流web開發語言都有很多優秀的實現CORS的開源庫，我們在開發RESTful API時，要注意CORS功能的實現，直接拿現有的輪子來用即可。

更多關于CORS的介紹，有興趣的同學可以查看阮一峰老師的跨域資源共享 CORS 詳解

6. URL Rules

RESTful API 是寫給開發者來消費的，其命名和結構需要有意義。因此，在設計和編寫URL時，要符合一些規范。Url rules 可以單獨寫一篇博客來詳細闡述，本文只列出一些關鍵點。

6.1 Version your API

規范的API應該包含版本信息，在RESTful API中，最簡單的包含版本的方法是將版本信息放到url中，如：

/api/v1/posts/
/api/v1/drafts//api/v2/posts/
/api/v2/drafts/

另一種優雅的做法是，使用HTTP header中的accept來傳遞版本信息，這也是GitHub API 采取的策略。

6.2 Use nouns, not verbs

RESTful API 中的url是指向資源的，而不是描述行為的，因此設計API時，應使用名詞而非動詞來描述語義，否則會引起混淆和語義不清。即：

# Bad APIs
/api/getArticle/1/
/api/updateArticle/1/
/api/deleteArticle/1/

上面四個url都是指向同一個資源的，雖然一個資源允許多個url指向它，但不同的url應該表達不同的語義，上面的API可以優化為：

# Good APIs
/api/Article/1/

article 資源的獲取、更新和刪除分別通過?GET,?PUT?和?DELETE方法請求API即可。試想，如果url以動詞來描述，用PUT方法請求?/api/deleteArticle/1/?會感覺多么不舒服。

6.3?`GET`?and?`HEAD`?should always be safe

RFC2616已經明確指出，GET和HEAD方法必須始終是安全的。例如，有這樣一個不規范的API:


# The following api is used to delete articles
# [GET]
/api/deleteArticle?id=1

試想，如果搜索引擎訪問了上面url會如何？

6.4 Nested resources routing

如果要獲取一個資源子集，采用?nested routing?是一個優雅的方式，如，列出所有文章中屬于Gevin編寫的文章：

# List Gevin's articles
/api/authors/gevin/articles/

獲取資源子集的另一種方式是基于filter（見下面章節），這兩種方式都符合規范，但語義不同：如果語義上將資源子集看作一個獨立的資源集合，則使用?nested routing?感覺更恰當，如果資源子集的獲取是出于過濾的目的，則使用filter更恰當。

至于編寫RESTful API時到底應采用哪種方式，則仁者見仁，智者見智，語義上說的通即可。

6.5 Filter

對于資源集合，可以通過url參數對資源進行過濾，如：

# List Gevin's articles
/api/articles?author=gevin

分頁就是一種最典型的資源過濾。

6.6 Pagination

對于資源集合，分頁獲取是一種比較合理的方式。如果基于開發框架（如Django REST Framework），直接使用開發框架中的分頁機制即可，如果是自己實現分頁機制，Gevin的策略是：

返回資源集合是，包含與分頁有關的數據如下：

{"page": 1,            # 當前是第幾頁"pages": 3,           # 總共多少頁"per_page": 10,       # 每頁多少數據"has_next": true,     # 是否有下一頁數據"has_prev": false,    # 是否有前一頁數據"total": 27           # 總共多少數據
}

當想API請求資源集合時，可選的分頁參數為：

參數	含義
page	當前是第幾頁，默認為1
per_page	每頁多少條記錄，默認為系統默認值

另外，系統內還設置一個per_page_max字段，用于標記系統允許的每頁最大記錄數，當per_page值大于?per_page_max?值時，每頁記錄條數為?per_page_max。

6.7 Url design tricks

（1）Url是區分大小寫的，這點經常被忽略，即：

/Posts
/posts

上面這兩個url是不同的兩個url，可以指向不同的資源

（2）Back forward Slash (/)

目前比較流行的API設計方案，通常建議url以/作為結尾，如果API?GET請求中，url不以/結尾，則重定向到以/結尾的API上去（這點現在的web框架基本都支持），因為有沒有?/，也是兩個url，即：

/posts/
/posts

這也是兩個不同的url，可以對應不同的行為和資源

（3）連接符?-?和下劃線?_

RESTful API 應具備良好的可讀性，當url中某一個片段（segment）由多個單詞組成時，建議使用?-?來隔斷單詞，而不是使用?_，即：

# Good
/api/featured-post/# Bad
/api/featured_post/

這主要是因為，瀏覽器中超鏈接顯示的默認效果是，文字并附帶下劃線，如果API以_隔斷單詞，二者會重疊，影響可讀性。

總結

編寫本文的初衷，是為了整理一套從零開始編寫規范、安全的RESTful API的基本思路。本文介紹了開發RESTful API時，要考慮的基本內容，對于類似Flask這種天生支持RESTful風格的web框架，不依賴其他RESTful第三方庫開發RESTful 服務時，可以從本文內容入手；不少強大的RESTful 庫，雖然其相關接口基本涵蓋了本文的全部或大部分內容，但本文的總結，相信對這些庫的理解和使用也是有幫助的。