浅谈API接口

        API接口作为面向外部系统的门户，其背后是数据，用于隔离系统与数据，方便各异构系统整合与交互。不同系统之间的交互本质上是数据的交互，若直接访问各自的数据，必然造成高耦合、混乱和不安全，所以API也可以看作是外部系统与数据之间的中间件，用于各异构系统之间共享数据。

        设计API，首先要考虑如下几个问题：

（1）如何标识调用方；

（2）如何防止请求被撰改；

（3）如何过滤过期请求。

        对于调用方的标识，API可以为每个客户端分配一个ID和Key，ID用来指定是哪一个调用方，Key是与该调用方关联的验证码。至于防止请求被撰改，可以将关键请求参数附加上Key按一定规则排序后做MD5签名（当然可以是其它摘要生成方式，如SHA等，不论哪种方式都必须保证Key不被泄露）。判断过期/重复请求，或者说防重放攻击，可以再请求参数中加上时间戳和随机数并参与签名或加密；当客户端和服务端时间在误差之类允许调用，随机数用于调用相同接口相同参数每次生成的签名不一样，也可以做请求是否重复的判断。当然采用HTTPS保证调用方和API之间数据传输的私密性，防止被截获。

        API有多种风格，如传统的RPC、RESTFul API等；API也有基于各种协议的，如TCP、HTTP等；API的请求响应数据格式也有多种，包括XML、JSON和二进制等。