上一篇
http协议api接口
HTTP协议为API接口提供请求响应机制,通过URI和方法实现跨
HTTP协议API接口详解
HTTP协议基础
HTTP(HyperText Transfer Protocol)是用于分布式超媒体信息系统的应用层协议,基于TCP/IP协议,API(Application Programming Interface)接口通过HTTP协议实现不同系统间的数据交互。
| 特性 | 说明 |
|---|---|
| 无状态性 | 每次请求独立,服务器不保存客户端上下文 |
| 请求-响应模式 | 客户端发送请求,服务器返回响应 |
| 文本协议 | 请求和响应均为纯文本格式(可携带JSON/XML等数据) |
| 端口默认值 | 80(HTTP)/443(HTTPS) |
HTTP请求方法
| 方法 | 作用 | 特点 |
|---|---|---|
| GET | 获取资源 | 参数在URL中,安全但有长度限制(约2048字符) |
| POST | 创建资源 | 参数在请求体,无长度限制,非幂等 |
| PUT | 更新资源(覆盖) | 幂等,通常用于完整替换资源 |
| DELETE | 删除资源 | 幂等,需谨慎处理副作用 |
| PATCH | 部分更新资源 | 携带差异数据,减少传输量 |
| HEAD | 获取资源元信息 | 与GET相同,但无响应体 |
| OPTIONS | 查询支持的HTTP方法 | 用于跨域预检请求 |
HTTP状态码
| 类别 | 状态码范围 | 含义 | 示例场景 |
|---|---|---|---|
| 1xx | 100-199 | 信息响应 | 101 Switching Protocols(协议升级) |
| 2xx | 200-299 | 成功 | 200 OK(GET/POST成功) 201 Created(POST创建成功) |
| 3xx | 300-399 | 重定向 | 301 Moved Permanently(永久跳转) 302 Found(临时跳转) |
| 4xx | 400-499 | 客户端错误 | 400 Bad Request(参数错误) 401 Unauthorized(未授权) 403 Forbidden(禁止访问) 404 Not Found(资源不存在) |
| 5xx | 500-599 | 服务器错误 | 500 Internal Server Error(通用错误) 502 Bad Gateway(网关错误) 503 Service Unavailable(服务不可用) |
HTTP请求头与响应头
| 头部字段 | 作用 | 常见值 |
|---|---|---|
Content-Type | 请求/响应体数据类型 | application/jsontext/html |
Accept | 客户端可接受的数据类型 | application/json |
Authorization | 认证信息(如Token) | Bearer <token> |
User-Agent | 客户端环境信息 | Mozilla/5.0PostmanRuntime/7 |
Cookie | 客户端存储的Cookie信息 | sessionid=abc123 |
Cache-Control | 缓存策略 | no-cachemax-age=3600 |
API认证方式
| 方式 | 原理 | 适用场景 |
|---|---|---|
| Basic Auth | 用户名密码Base64编码后通过Header传递 | 简单场景(不安全,需HTTPS) |
| Bearer Token | 服务器颁发Token,客户端通过Header携带 | OAuth 2.0标准,安全性高 |
| API Key | 密钥通过Query参数或Header传递 | 轻量级认证,常用于第三方服务 |
| OAuth 2.0 | 授权码模式、密码模式、客户端凭证模式等 | 复杂权限控制(如第三方登录) |
错误处理与最佳实践
错误响应规范
{ "error_code": "RESOURCE_NOT_FOUND", "message": "The requested resource does not exist.", "details": { "requested_id": "12345", "available_ids": ["12346", "12347"] } }最佳实践
- RESTful设计:使用名词复数形式定义资源(如
/users),通过HTTP方法表达操作。 - 版本控制:在URL中添加版本号(如
/v1/users)。 - 幂等性:确保同一请求多次执行结果一致(如
PUT、DELETE)。 - 安全性:强制HTTPS,验证输入参数,防止SQL注入/XSS攻击。
- 限流策略:设置IP或Token级别的请求频率限制。
- RESTful设计:使用名词复数形式定义资源(如
相关问题与解答
问题1:如何选择HTTP状态码?
解答:
根据操作结果选择状态码:
- 成功创建资源 →
201 Created - 客户端参数错误 →
400 Bad Request - 未授权访问 →
401 Unauthorized - 资源不存在 →
404 Not Found - 服务器内部错误 →
500 Internal Server Error
问题2:API Key认证与Token认证有何区别?
解答:
| 对比项 | API Key | Token(如JWT) |
|——————|———————————|———————————–|
| 安全性 | 低(固定密钥,易泄露) | 高(可设置过期时间,支持刷新) |
| 灵活性 | 仅标识身份,无附加信息 | 可携带用户角色、权限等自定义数据 |
| 适用场景 | 简单服务或内部接口 | 需要细粒度权限控制的场景 |
| 传输方式 | URL参数或Header | Header(如`Authorization: Bearer
