前言

在實際工作中，我們需要經常跟第三方平臺打交道，可能會對接第三方平臺Controller接口，或者提供Controller接口給第三方平臺調用。

那么問題來了，如果設計一個優(yōu)雅的Controller接口，能夠滿足：安全性、可重復調用、穩(wěn)定性、好定位問題等多方面需求？

今天跟大家一起聊聊設計Controller接口時，需要注意的一些地方，希望對你會有所幫助。

1. 簽名

為了防止Controller接口中的數(shù)據被篡改，很多時候我們需要對Controller接口做簽名。

接口請求方將請求參數(shù) + 時間戳 + 密鑰拼接成一個字符串，然后通過md5等hash算法，生成一個前面sign。

然后在請求參數(shù)或者請求頭中，增加sign參數(shù)，傳遞給API接口。

API接口的網關服務，獲取到該sign值，然后用相同的請求參數(shù) + 時間戳 + 密鑰拼接成一個字符串，用相同的m5算法生成另外一個sign，對比兩個sign值是否相等。

如果兩個sign相等，則認為是有效請求，API接口的網關服務會將給請求轉發(fā)給相應的業(yè)務系統(tǒng)。

如果兩個sign不相等，則API接口的網關服務會直接返回簽名錯誤。

問題來了：簽名中為什么要加時間戳？

答：為了安全性考慮，防止同一次請求被反復利用，增加了密鑰沒破解的可能性，我們必須要對每次請求都設置一個合理的過期時間，比如：15分鐘。

這樣一次請求，在15分鐘之內是有效的，超過15分鐘，API接口的網關服務會返回超過有效期的異常提示。

目前生成簽名中的密鑰有兩種形式：

一種是雙方約定一個固定值privateKey。

另一種是API接口提供方給出AK/SK兩個值，雙方約定用SK作為簽名中的密鑰。AK接口調用方作為header中的accessKey傳遞給API接口提供方，這樣API接口提供方可以根據AK獲取到SK，而生成新的sgin。

2. 加密

有些時候，我們的Controller接口直接傳遞的非常重要的數(shù)據，比如：用戶的登錄密碼、銀行卡號、轉賬金額、用戶身份證等，如果將這些參數(shù)，直接明文，暴露到公網上是非常危險的事情。

由此，我們需要對數(shù)據進行非對稱加密。

目前使用比較多的是用RSA。

RSA包含了一對：公鑰和私鑰。

我們以用戶登錄密碼為例。

在用戶輸入密碼之后，在前端需要對密碼使用公鑰做加密處理。

公鑰是保留在前端代碼中的，即使泄露給別人了，也沒關系。

因為使用公鑰加密后的密碼，只能使用后端服務中對應的私鑰才能解密。

而我們私鑰保存在后端服務的配置中，別人無法獲取到。

因此，使用RSA加密和解密是安全的。

我們可以使用在線工具生成密鑰對：https://tools.ytdevops.com/rsa-key-pair-generator

3. ip白名單

為了進一步加強API接口的安全性，防止接口的簽名或者加密被破解了，攻擊者可以在自己的服務器上請求該接口。

需求限制請求ip，增加ip白名單。

只有在白名單中的ip地址，才能成功請求API接口，否則直接返回無訪問權限。

ip白名單也可以加在API網關服務上。

但也要防止公司的內部應用服務器被攻破，這種情況也可以從內部服務器上發(fā)起API接口的請求。

這時候就需要增加web防火墻了，比如：ModSecurity等。

4. 限流

如果你的API接口被第三方平臺調用了，這就意味著著，調用頻率是沒法控制的。

第三方平臺調用你的API接口時，如果并發(fā)量一下子太高，可能會導致你的API服務不可用，接口直接掛掉。

由此，必須要對API接口做限流。

限流方法有三種：

1. 對請求ip做限流：比如同一個ip，在一分鐘內，對API接口總的請求次數(shù)，不能超過10000次。
2. 對請求接口做限流：比如同一個ip，在一分鐘內，對指定的API接口，請求次數(shù)不能超過2000次。
3. 對請求用戶做限流：比如同一個AK/SK用戶，在一分鐘內，對API接口總的請求次數(shù)，不能超過10000次。

我們在實際工作中，可以通過nginx，redis或者gateway實現(xiàn)限流的功能。

5. 參數(shù)校驗

我們需要對API接口做參數(shù)校驗，比如：校驗必填字段是否為空，校驗字段類型，校驗字段長度，校驗枚舉值等等。

這樣做可以攔截一些無效的請求。

比如在新增數(shù)據時，字段長度超過了數(shù)據字段的最大長度，數(shù)據庫會直接報錯。

但這種異常的請求，我們完全可以在API接口的前期進行識別，沒有必要走到數(shù)據庫保存數(shù)據那一步，浪費系統(tǒng)資源。

有些金額字段，本來是正數(shù)，但如果用戶傳入了負數(shù)，萬一接口沒做校驗，可能會導致一些沒必要的損失。

還有些狀態(tài)字段，如果不做校驗，用戶如果傳入了系統(tǒng)中不存在的枚舉值，就會導致保存的數(shù)據異常。

由此可見，做參數(shù)校驗是非常有必要的。

在Java中校驗數(shù)據使用最多的是hiberate的Validator框架，它里面包含了@Null、@NotEmpty、@Size、@Max、@Min等注解。

用它們校驗數(shù)據非常方便。

當然有些日期字段和枚舉字段，可能需要通過自定義注解的方式實現(xiàn)參數(shù)校驗。

6. 統(tǒng)一返回值

我之前調用過別人的API接口，正常返回數(shù)據是一種json格式，比如：

{
    "code":0,
    "message":null,
    "data":[{"id":123,"name":"abc"}]
},

簽名錯誤返回的json格式：

{
    "code":1001,
    "message":"簽名錯誤",
    "data":null
}

沒有數(shù)據權限返回的json格式：

{
    "rt":10,
    "errorMgt":"沒有權限",
    "result":null
}

這種是比較坑的做法，返回值中有多種不同格式的返回數(shù)據，這樣會導致對接方很難理解。

出現(xiàn)這種情況，可能是API網關定義了一直返回值結構，業(yè)務系統(tǒng)定義了另外一種返回值結構。如果是網關異常，則返回網關定義的返回值結構，如果是業(yè)務系統(tǒng)異常，則返回業(yè)務系統(tǒng)的返回值結構。

但這樣會導致API接口出現(xiàn)不同的異常時，返回不同的返回值結構，非常不利于接口的維護。

其實這個問題我們可以在設計API網關時解決。

業(yè)務系統(tǒng)在出現(xiàn)異常時，拋出業(yè)務異常的RuntimeException，其中有個message字段定義異常信息。

所有的API接口都必須經過API網關，API網關捕獲該業(yè)務異常，然后轉換成統(tǒng)一的異常結構返回，這樣能統(tǒng)一返回值結構。

7. 統(tǒng)一封裝異常

我們的API接口需要對異常進行統(tǒng)一處理。

不知道你有沒有遇到過這種場景：有時候在API接口中，需要訪問數(shù)據庫，但表不存在，或者sql語句異常，就會直接把sql信息在API接口中直接返回。

返回值中包含了異常堆棧信息、數(shù)據庫信息、錯誤代碼和行數(shù)等信息。

如果直接把這些內容暴露給第三方平臺，是很危險的事情。

有些不法分子，利用接口返回值中的這些信息，有可能會進行sql注入或者直接脫庫，而對我們系統(tǒng)造成一定的損失。

因此非常有必要對API接口中的異常做統(tǒng)一處理，把異常轉換成這樣：

{
    "code":500,
    "message":"服務器內部錯誤",
    "data":null
}

返回碼code是500，返回信息message是服務器內部異常。

這樣第三方平臺就知道是API接口出現(xiàn)了內部問題，但不知道具體原因，他們可以找我們排查問題。

我們可以在內部的日志文件中，把堆棧信息、數(shù)據庫信息、錯誤代碼行數(shù)等信息，打印出來。

我們可以在gateway中對異常進行攔截，做統(tǒng)一封裝，然后給第三方平臺的是處理后沒有敏感信息的錯誤信息。

8. 請求日志

在第三方平臺請求你的API接口時，接口的請求日志非常重要，通過它可以快速的分析和定位問題。

我們需要把API接口的請求url、請求參數(shù)、請求頭、請求方式、響應數(shù)據和響應時間等，記錄到日志文件中。

最好有traceId，可以通過它串聯(lián)整個請求的日志，過濾多余的日志。

當然有些時候，請求日志不光是你們公司開發(fā)人員需要查看，第三方平臺的用戶也需要能查看接口的請求日志。

這時就需要把日志落地到數(shù)據庫，比如：mongodb或者elastic search，然后做一個UI頁面，給第三方平臺的用戶開通查看權限。這樣他們就能在外網查看請求日志了，他們自己也能定位一部分問題。

9. 冪等設計

第三方平臺極有可能在極短的時間內，請求我們接口多次，比如：在1秒內請求兩次。有可能是他們業(yè)務系統(tǒng)有bug，或者在做接口調用失敗重試，因此我們的API接口需要做冪等設計。

也就是說要支持在極短的時間內，第三方平臺用相同的參數(shù)請求API接口多次，第一次請求數(shù)據庫會新增數(shù)據，但第二次請求以后就不會新增數(shù)據，但也會返回成功。

這樣做的目的是不會產生錯誤數(shù)據。

我們在日常工作中，可以通過在數(shù)據庫中增加唯一索引，或者在redis保存requestId和請求參來保證接口冪等性。

10. 限制記錄條數(shù)

對于對我提供的批量接口，一定要限制請求的記錄條數(shù)。

如果請求的數(shù)據太多，很容易造成API接口超時等問題，讓API接口變得不穩(wěn)定。

通常情況下，建議一次請求中的參數(shù)，最多支持傳入500條記錄。

如果用戶傳入多余500條記錄，則接口直接給出提示。

建議這個參數(shù)做成可配置的，并且要事先跟第三方平臺協(xié)商好，避免上線后產生不必要的問題。

11. 壓測

上線前我們務必要對API接口做一下壓力測試，知道各個接口的qps情況。

以便于我們能夠更好的預估，需要部署多少服務器節(jié)點，對于API接口的穩(wěn)定性至關重要。

之前雖說對API接口做了限流，但是實際上API接口是否能夠達到限制的閥值，這是一個問號，如果不做壓力測試，是有很大風險的。

比如：你API接口限流1秒只允許50次請求，但實際API接口只能處理30次請求，這樣你的API接口也會處理不過來。

我們在工作中可以用jmeter或者apache benc對API接口做壓力測試。

12. 異步處理

一般的API接口的邏輯都是同步處理的，請求完之后立刻返回結果。

但有時候，我們的API接口里面的業(yè)務邏輯非常復雜，特別是有些批量接口，如果同步處理業(yè)務，耗時會非常長。

這種情況下，為了提升API接口的性能，我們可以改成異步處理。

在API接口中可以發(fā)送一條mq消息，然后直接返回成功。之后，有個專門的mq消費者去異步消費該消息，做業(yè)務邏輯處理。

直接異步處理的接口，第三方平臺有兩種方式獲取到。

第一種方式是：我們回調第三方平臺的接口，告知他們API接口的處理結果，很多支付接口就是這么玩的。

第二種方式是：第三方平臺通過輪詢調用我們另外一個查詢狀態(tài)的API接口，每隔一段時間查詢一次狀態(tài)，傳入的參數(shù)是之前的那個API接口中的id集合。

13. 數(shù)據脫敏

有時候第三方平臺調用我們API接口時，獲取的數(shù)據中有一部分是敏感數(shù)據，比如：用戶手機號、銀行卡號等等。

這樣信息如果通過API接口直接保留到外網，是非常不安全的，很容易造成用戶隱私數(shù)據泄露的問題。

這就需要對部分數(shù)據做數(shù)據脫敏了。

我們可以在返回的數(shù)據中，部分內容用星號代替。

已用戶手機號為例：182****887。

這樣即使數(shù)據被泄露了，也只泄露了一部分，不法分子拿到這份數(shù)據也沒啥用。

14. 完整的接口文檔

說實話，一份完整的API接口文檔，在雙方做接口對接時，可以減少很多溝通成本，讓對方少走很多彎路。

接口文檔中需要包含如下信息：

1. 接口地址
2. 請求方式，比如：post或get
3. 請求參數(shù)和字段介紹
4. 返回值和字段介紹
5. 返回碼和錯誤信息
6. 加密或簽名示例
7. 完整的請求demo
8. 額外的說明，比如：開通ip白名單。

接口文檔中最好能夠統(tǒng)一接口和字段名稱的命名風格，比如都用駝峰標識命名。

接口地址中可以加一個版本號v1，比如：v1/query/getCategory，這樣以后接口有很大的變動，可以非常方便升級版本。

統(tǒng)一字段的類型和長度，比如：id字段用Long類型，長度規(guī)定20。status字段用int類型，長度固定2等。

統(tǒng)一時間格式字段，比如：time用String類型，格式為：yyyy-MM-dd HH:mm:ss。

接口文檔中寫明AK/SK和域名，找某某單獨提供等。