产品经理须知API接口知识小结

产品经理须知 API 接口知识小结随着产品职能的逐步细分，中后台产品经理，反倒是负责开放平台相关的，起居工作主要是围绕API 接口进行，所以更是需要能认同API 接口，因为接口的职能是系统的输出表现。本文就关于产品经理需要了解的接口相关知识需要进行小结。应用程序接口 API（ ApplicationProgrammingInterface ），是提供特定管理业务输出能力、连接不同系统的一些则约定。这里包括外部系统与提供贷款服务产品与服务的系统（中后台系统）或后台不同系统之间的交互点。包括外部接口、内部接口，内部接口又包括：上层服务与下层服务端口、同级接口。本文站在产品经理角度由浅入深讲述接口相关机构整本知识。如果搬运工不想被视为专利技术大佬眼中什么都不懂的需求搬运工，清楚接口的相关机构知识是极很有必要的。常见web接口是http/https协议的接口，多用于描述外部系统或前端系统的调用，因为此类接口地址要暴露联系人在缓冲，所以必须对接口的安全性做较高程度的校验。还要一种基于开源rpc 构建的跨系统序列化接口调用接口方案，此类主要用于描述大公司内网各系统间的互相调用，此类接口服务治理能力更强，接口相应速度更块。以下内容以 http 接口为例展开的进行讨论。常见的 http 请求方式包括： get （查）、 post （增），除此之外还有 put （改）、 delete （删）等。接口所属类型是由业务决定的。比如你打开淘宝，展示的首页内容就需要用到 get 接口，获取页面信息，你看中了兔子要下单，添加你的收获地址时，用的则是post 接口。而这两种也是其中最常见的两种接口类型1 ） get 类型接口格式：请求数参数写在网址后面，用”?”连接，多个参数之间用”连接。场景： get 型接口用于获取信息，多用于查询数据，如菜单列表展示，搜索展示，订单查询，优惠券查询等需要其他系统返回数据时使用。一般情况下请求的数据量较小，返回速度快，不过接口是暴露在外面的，所以会有一定的风险。2 ） post 型接口说明：向指定资源横杆提交数据（如提交表单、上传文件）来进行请求， post 请求可能会使得新力劝资源的建立。场景：如注册、上传、发帖等功能，此类请求数据量大，安全性要求高。其他接口类型如 put （改）、 delete （删）、 patch 等使用评率稍 低一些，此处不再赘述。从返回上区分，分为同步接口、异步接口1 ）同步交互指发送一个请求, 需要等待返回 , 然后才能够发送下才一个请求，有个等待过程；比如登录接口，执行登录操作时，将用户名、密码、 token 等字段 加密后通过接口校验，可能需要返回验证结果后，才能登录成功。2 ）异步交互指发送一个请求, 不需要等待返回 , 随时可以再发送索性下一个请求，即不需要等待。如用户领导成员优惠券，只使用者需要将用户的领券行为请求成功，资产系统收到请求后异步操作用户发券，通过异步的方法执行发 券，调用方无须等待每个请求的调用结果。区别：一个需要等待，一个不需要等待，在不影响用户体验的情况下，我们不项目开发中一般会优先选择的需要等待的异步交互方式。哪些劝告情况建议使用同步交互呢？比如用户登录、银行的转账系统，对数据库的保存操作方式等等，都会使用同步交互操作，其余情况确实优先使用异步交互。1 ）分发接口一个系统产生新数据的时候就分将送来发给其它系统（也可以是多个）。中台系统的核心思想是高内聚、低耦合，所以分发接口的使用场景还是比较多的。行政管理比如有一个主渠道系统来管理绝大多数的渠道数据，而渠道数据是其他系统内系统如产品系统、促销广告宣传系统经常要使用到的重要信息。所以一旦出现新的渠道或者发生渠道变更，需要分发给其他所有协同工作了各个系统，实现对最新渠道的功能支撑。2 ）订阅接口一个系统在需要的时候调用其他系统的接口进行数据订阅。比如订单系统生成订单时，因为很多外部系统可能需要及时获取订单状态信息。而订单系统也不知道寄给哪些系统，这样的话预览一般会将订单推送至特定的消息队列，比如KFK其他由需要跟进订单状态的的系统订阅KFK消息后，可以即使获取订单完成信息，或进行触 发下一个动作。再既定的业务下，接口请求类型、响应机制等确定后，再以微信支付 API 为例，了解下接口的其他组成内容。1 ）应用场景顾名思义，此接口适用于的场景，明确接口的管理业务用途2 ）人参及出参Mbs心蛆R性值 JfltH 口丽d乂Strlmgi.JJ：wadg触E粘 加注7191T门力近g却*才中（企业贵iwpiWlitappfal）商占一*h.Bdaaring(粉工”gm gEAT号厢蛇.由金5rih*gill.Z!Cl09MDa4D201 附映式72fi皿掂Iq好!nwv z-eZZft口声:EIS汽丁彳恋潘ma#引ML口 c.rH?时田也Edi宇海内,An&ejr?.六订而勺，U5M6E七翻F07口离T*于久世.建QFncncr it1Mnrr镜rig田，9Ks2M(LT*H1MQ 薨春召色一:注d毒士1酊至S 牟存.OBHZMUTM47VIAJ 签生 +修考量副期忖腐唱H制舱壬安空3fc .日方克痔HMftiQSH= 1CMD1. fcVJSMDi1幅五R二 IifUCCl9A!L.StriegflL 劫UKCtSt此事直。曲标新罪交第5E*屉4立百事12事,7匕.京0=rmrn/M川川gr涓叵工力 旧后,Wl0*：生任失火犯ti普健法电入参是接口请求所需要的变量参数，其中包括必填参数和非必填 参数，非必填并非是可以忽略的，比如上面的可入参中，签名类型为 非必填，如果未传此参数，则默认此签名类型为 MD5如果使用的并非 此类签名类型，则此项为必填项。如果是一般订单查询，入参时间非 必填，则返回用户结果是使用者全部订单，或者用户特定时间订单的 区别。3 ）错误码接口提议有次并非每次都能成功，所以在接口开发时会对可能失 败的情况进行错误码区分，在接口联调时可以根据返回的错误码快递定位问题。如果错误码不够全面，那在接口调用失败的时候，需要反 复定位，降低开发效率。I U摩蚂3靠日明同方OflDERhCIE 依勒灯串号 上网城中不#在 该APIRe苜3交茗t交需话的而二J&XTW . m尸#青11T拜词六TV科占班T和在此文图K3?TEMERR 漏标措出,案呢道司酎 案丽.鼻阳布JUS，用u?接口已经完成业务逻辑开发后，接下来要考虑的就是安全性症结 了，接口的安全性问题主要来源于几方面考虑：1 )请求来源是否合法？即接口的欺敌攻击，因为接口是对外的，在公网环境中，接口地 址是暴露的，收到的请求有可能是恶意非法请求；如果实在是合法请 求，也需要知道这个劝告的来源，怒斥同时这个请求来源不能否认。 这里引入“签名”的概念，以及签名的防伪装及抗否认性特性。近些年各大企业强制性使用https替换掉原有的http接口，正是 因为https所使用的的证书安全性学历证书更高。2 )请求是否会被篡改，返回数据可能会被截取因为接口是对外的，所以接收请求和返回信息的时候，是不可能 使用明文手段方式传输的，否则一旦被恶意截取，会造成极大风险。 所以请求数据及数据都是需要加密的，这样即使数据被截取，也不用 泄露数据的内容。这里介绍几种现在常见的加密方法。DES (DataEncryptionStandard ):数据加密标准，速度较快，适 用于加密大量加密数据的场合；3DES (TripleDES):是基于DES对一块数据用三个不同的密钥 进行三次加密，强度更高；RSA :非对称加密，由RS心司发明，是一个支持变长密钥的公共 密钥算法，需要加密需的文件块的长度也是可变的；既可以实现加密，又可以实现签名。如果是用户账号相关人员，现在会使用 token 加密用户信息，用户请求身份信息时，服务端会分配token 存在缓存中，后续请求会将token 与路程戳一起打包加密，这样即使请求数据被截获，因为不知道token 的值，数据也绝不会被解析出来。3 )如何防范接口的重放攻击，防重放攻击是什么呢？就是把你的请求原封不动地多次缴交发放，请求都会通过验证进入到正常逻辑中，会造成服务端接口拥堵并且会造成实际伤亡。防重放一般需在请求参数加上时间戳+随机数，通过时间戳确保接口是最新的请求，而随机数相同则可以认定为是计算机程序重放攻击。如果是访问量比较大的接口，再上线前肯定进行需要展开压力测试。因为普通的开发自测和生产模拟是不能推算出高并发时候接口是否可正常运行。1 ) TPSTransactionPerSecond 每秒系统处理的交易双方或事物的数量，衡量系统处理评断能力的重要指标。2 ) RT响应时间，从客户端发送一个恳请开始，到客户端接收到从服务器返回的响应结果结束所经历的时间，包括请求发送时间，网络传输时间和服务器处理时间三部分。3 )吞吐量指的是在一次性能测试过程中网络上传输的数据量的总和。用户的响应时间自不必说，时间太久伤普通用户体验，及时处于高并发期，用户的响应时间依旧需要控制到最低，一般不超过5s；tps 则是高并发的评价指标，一般提供贷款服务的接口，需要考虑到最极端情况下的并发数，这些数量一般来自策划于运营的活动策划和往期的统计数据趋势预估，以此为依据，保证自己的接口可以支持最高的并发数，而验证舆论压力这些使用的一般是压力测验。如正常情况下压测时tps 可以达到 2000时接口正常，就可以保证2000 的实际并发。接口测试其实是白盒测试，首页要明确系统内的能力输出，但若明确服务覆盖是否满足需求。以业务发展逻辑推接口参数。1 ）入参不符合要求需要有明确错误码，报错信息和日志，方便风险问题复现与定位。2 ）如果另有参数处理逻辑的链路，也需要一并验证，如购买网易云音乐会员，订单生成后会去个人财产系统加权，加权成功后会有短信通知一举用户，但加权接口和订单信息中都没有用户手机号，所以虽然入参中没有用户手机号，但可能需要根据用户的 username去查询手机号，并执行电子邮件发放的操作。其他验证目标如：代码绿化率是否达到要求、性能指标是否满足要求、安全指标指标是否满足要求则是更为专业性的实验指标了。