清林云BaaS的API格式
清林云BaaS(BackendasaService)有固定的API格式,我们称为TypeAPI。
API的基本HTTP结构如下:
以浏览器的fetch请求为例:
这是清林云的API约束,我们称之为TypeAPI风格,在很多场景下描述能力优于RESTful风格,开发者更容易理解。
https://[环境地域].baasapi.com/
其中[环境地域]为你使用环境的地域代码,例如:https://cn-east-1.baasapi.com/。
地域代码可在控制台概览页面的环境上方看到。
以下为所有地域代码:
另外专有云和私有云地域代码根据客户定制。
统一为POST。
清林云API设计吸收借鉴GraphQL模式,不用每次封装请求库不同方法,使用更为人类友好的声明式API,代码更易阅读。
请求内容类型统一为application/json。
携带你的环境ID和密匙ID。
注意此处Authorization,代表用户jwttoken。当请求不需要token的API时,此处可忽略,当请求需要用户登录后才能访问的API时,则要携带,是否需要token在应用的API文档中会注明。
示例:”Authorization”:”BearereyJhbGVCJ9.eyJMzEwMjF9.mXM2b6yg”(此处为删减token,实际token要更长一些)
token来自于拥有登录步骤的应用或自定义的jwt步骤加密。加密方式为userId或你自定义的字段与环境密匙的密码加密签名。也就是说,你的环境密匙密码可以用来鉴权用户token,也就是说你同样可以用使用清林云应用颁发给用户的token去请求你自己的服务器,自行使用密码来鉴权,所以千万不要泄露,以防安全风险。
appId为你要请求的应用ID,在应用详情可以看到,如下图所示:
api为你要请求的应用API,上图的getManyPost和右侧的列表都是。
version是该API的版本号,文档中有标识,如下图的版本。你可以在文档中选择不同版本查看,不同版本要求的API参数可能不一样。
版本设计是为了避免应用开发者在更新API功能时造成老版本用户和线上用户请求错误,所以当开发者为API添加新功能时,如果原有的请求参数不能实现新功能,则要创建新版本再更新功能。
这样正在使用该API的客户依然根据版本请求旧API,收到版本更新通知后更新前端业务代码能够正常使用新版本后再进行版本切换。
args为请求该API的参数。如上图所示,如需请求createPost这个API则要求请求中携带三个参数,参数为args中的字段,用途有参数名称说明,数据类型为参数字段格式,要求必须的则要将相关数据加入args才可请求。
args中有一些特殊字段在步骤ID项的Object中:
比如,getManyPost这个API中的一个步骤ID为posts,并且该API中的查询文章步骤的返回数据列选项包含由请求控制项,那么我们希望该步骤返回的数据列只包含title,则可以如下请求:
以下是S系列引擎专属字段,同样在步骤ID的对象内:
当需要特殊参数时,应用开发者一般会在文档中说明。
返回内容都是JSON格式,分别有成功和失败两种状态:
以下为各步骤类型的返回示例:
失败返回遵循最新的通用HTTP异常返回标准草案,但是更改了状态码400为200,加入了errCode项进行判断,因为在某些请求客户端下,400状态会导致一些程序异常。
其中,detail是如下字段的Json字符串:
instance是如下字段的Json字符串:
另外,还有一个步骤类型为自定义返回数据,可以自定义返回数据的格式,用于第三方特定的服务或其他个性化需求,详情请查看步骤章节。
主要有三种方式保护你的环境信息被盗用。
第一种是:大部分应用API都是需要token的,位于请求headers中的Authorization。token来自于一些提供登录功能的应用以及jwt步骤,它们将用户字段和环境密匙的密码签名,前端在登录后将token保存在用户端本地,每次请求携带即可保障用户数据的安全,清林云BaaS将会对需要token的API收到请求时进行鉴权。
Authorization的格式为:Bearertoken
第二种是:检查headers中的origin字段,虽然这在请求工具中可以设置,但是在用户浏览器中无法被篡改。当你上线产品前,请前往环境设置中,填写URL白名单,将你的域名origin加入。这样只有来自该域名的请求才会被处理。
如果headers中没有携带origin则会检查referer
在添加URL白名单时需要注意,当白名单中有*时,来源于所有地址的请求都会被接受,包括localhost。而其他的URL必须是origin格式,例如:https://www.baasapi.com,包含协议https,没有末位的/符号。http和https不兼容,如果你的网站两种协议都有,则要分别添加两个URL。
前两种方法的结合可以拒绝大部分恶意攻击。
第三种是:利用非对称加密请求内容,在环境密匙中配置加密证书私钥和加密方式,清林云在接受到请求后会用私钥解密该证书公钥加密的内容,这样可以有效保护请求安全,适用于对安全性较高的产品。
该方法暂时还未全量开放,如您有需求可以联系客服。
另外清林云BaaS也会提供默认的安全措施如防火墙、防DDoS、请求流控、同IP限制、恶意攻击识别等。
清林云和政府相关部门也有一定合作,对于恶意网络攻击行为也会进行追踪和报警处理。如果您的环境资源被攻击,请及时联系客服,我们将会配合您和相关部门进行处理。
有一些第三方业务需要发送webhook信息到你的服务器,那么作为BaaS,我们也为你解决了这方面的问题。
在第三方设置回调地址为:https://环境地域.baasapi.com/webhook/环境ID/密匙ID/应用ID/应用API/API版本/即可将请求以转发至该应用的API。
转发给该API的参数为headerspathdata对应调用该webhook地址的headerspathbody。
具体示例可以查看电商系统中的订单部分和支付部分。
fetch:
jQuery:
xhr:
axios:
OkHttp:
Unirest:
AsyncHttp:
java.net.http:
OkHttp:
NSURLSession:
NSURLSession:
NewRequest
reqwest:
request:
cURL:
HTTPv2:
http.client:
Requests:
Libcurl:
clj-http:
HttpClient:
CoHTTP:
Invoke-WebRequest:
httr:
net::http
主题测试文章,只做测试使用。发布者:最新稳定辅助网,转转请注明出处:https://www.744broad.com/13662.html
