10. OAuth 2.0 vs 1.0
wsparcie dla autoryzacji poza przeglądarką
nie wymaga szyfrowania kluczy tylko połączenia https
czas życia tokena mógł być wieczny
pojęcie odnawiania tokena (bez akcji użytkownika)
22. REST, zasoby
Czym jest zasób?
/posts, /news - rzeczownik w liczbie mnogiej
zasób powinien mieć maksymalnie 2 bazowe adresy url
/posts
/posts/:id
konkretne nazwy dla zasobów (unikaj abstrakcji)
23. REST, zasoby
Akcje na zasobach
GET - pobierz, szukaj (http status 200 OK)
POST - utwórz (http status 201 CREATED z location)
PUT - aktualizuj (http status 200 OK)
PATCH - częściowa aktualizacja (http status 200 OK)
DELETE - usuń (http status 204 NO CONTENT)
24. REST, zasoby
Niestandardowe akcje na zasobach
Nie mieszaj akcji na zasobach w adresie do zasobu
POST /posts/:id/rate ?? Czy ocena jest akcją?
POST /rates?post=:id ?? Czy ocena jest zasobem?
.. chyba, że ma to sens
25. REST, zasoby
A jeśli zasoby są zależne od siebie?
Pokaż mi posty użytkownika o id..
GET /users/:id/posts
oraz takie, które dodał wczoraj
GET /users/:id/posts?createdTime=08.11.2013
27. REST, zasoby
Potrzebuję ten zasób w wersji..
Należy bezwzględnie wymagać określenia wersji
wersja jako kolejne liczby całkowite
nagłówek: Accept: application/vnd.github.beta+json
parametr w url: /v1/posts
parametr w query string: /posts?v=1.0
28. REST, zasoby
Partial response, czyli potrzebuję tylko..
Definicja podzbioru pól w odpowiedzi z API
parametr fields=field1,field2
:(field1,field2,field3...)
29. REST, cache
Często pytam o to samo..
Przechowujemy tylko odpowiedź z metod GET
varnish po stronie serwera
przez nagłówki expires, cache-control, etag po stronie
klienta
30. REST, obsługa błędów
Jakie informacje powinno zwrócić API ?
opis błędu dla dewelopera aplikacji
opis błędu dla użytkownika aplikacji
wewnętrzny kod błędu API
informacja o statusie http
31. REST, obsługa błędów
Czy status 200 dla błędów może się przydać ?
Tak, aplikacje flash i javascript
suppress_response_codes=true
zwracało status 200 dla błędów
32. REST, obsługa błędów
Statusy http błędów wywołania API
4xx - błędy po stronie klienta API
5xx - błędy po stronie serwera API
33. REST, obsługa błędów
400 Bad Request
401 Unauthorized (np. problem z autoryzacją OAuth)
403 Forbidden (uprawnienia lub przekroczony limit)
404 Not Found
406 Not Acceptable
34. REST, obsługa błędów
410 Gone (podana wersja api nie jest wspierana)
420 Method Failure (limit wywołań dla wyszukiwania)
429 Too Many Requests (j.w)
502 Bad Gateway (przerwa techniczna lub awaria)
503 Service Unavailable (usługa jest przeciążona)
504 Gateway timeout (problemy z obsługą żądania)
35. REST, obsługa błędów
400 Bad Request
401 Unauthorized (np. problem z autoryzacją OAuth)
403 Forbidden (uprawnienia lub przekroczony limit)
404 Not Found
405 Method Not Allowed (GET zamiast POST,..)
42. HATEOAS
HYPERMEDIA AS THE ENGINE OF
APPLICATION STATE
relacje między zasobami w postaci odnośników
lista dostępnych metod API
nagłówki content-type i accept
45. Dokumentacja
Jak dobrze że mogę przetestować API
https://dev.twitter.com/console
https://developers.facebook.com/tools/explorer
46. Access-Control-Allow
Dostęp do API z innej „domeny”
Access-Control-Allow-Origin: * (github pozwala ustawić domenę)
Access-Control-Allow-Methods: GET, POST, DELETE, PUT
Access-Control-Allow-Headers: Content-Type, Authorization, access_token
47. SDK
Jak mogę Ci pomóc w integracji?
Pozwala ukryć błędy projektowe API
Dostarcza obiekty zapytań i odpowiedzi
Dostarcza interfejs API
Wsparcie dla obsługi błędów
52. Uwagi
Proste rzeczy w przedstawiaj w prosty sposób
Światowy standard formatowanie daty i czasu
Unikaj magicznych wartości (price = -1)
Pola id zwracaj jako typu znakowego (string)
53. Uwagi
Definiowanie akcji na zasobach (czasowniki)
Przyjęta notacja dla nazwa parametrów (cammel case)
Znikające pola w odpowiedzi
Stronicowanie wyników (limit i offset zamiast page)