API（应用程序编程接口）是现代软件系统的核心组件。无论是服务之间的通信、前后端交互，还是第三方集成，都离不开设计良好的 API。一个优秀的 API 应该简单易用、稳定可靠、易于扩展。本文总结了 API 设计的核心原则和最佳实践。

API 设计的核心原则

1. 简洁性

好的 API 应该让开发者"用最少的知识做最多的事情"。

实践要点：

• 减少必需参数，提供合理的默认值
• 避免过度设计，不要为罕见的需求添加复杂性
• 保持一致的命名约定
• 提供清晰简洁的文档

反例：

POST /api/v1/users
{
  "user": {
    "personalInfo": {
      "basicDetails": {
        "name": "张三"
      }
    }
  }
}

嵌套过深，路径复杂。

正例：

POST /api/v1/users
{
  "name": "张三",
  "email": "zhangsan@example.com"
}

扁平结构，一目了然。

2. 一致性

一致的设计让 API 更容易学习和记忆。

命名规范：

• 使用复数名词表示资源：/users、/products
• 使用动词表示动作：/cancel-order、/send-notification
• 使用小写和连字符：user-profiles（而不是 userProfiles 或 user_profiles）

HTTP 方法规范：

• GET：获取资源，幂等，无副作用
• POST：创建资源，非幂等
• PUT：完整更新资源，幂等
• PATCH：部分更新资源，幂等
• DELETE：删除资源，幂等

状态码规范：

• 2xx：成功
• 4xx：客户端错误
• 5xx：服务端错误

3. 幂等性

幂等性是 API 可靠性的重要保证。对于 GET、PUT、DELETE 操作，重复执行应该产生相同的结果。

实践要点：

• GET 永远不应该修改服务器状态
• PUT 应该完整替换资源
• DELETE 可以多次删除同一资源
• POST 是唯一允许非幂等的操作

4. 版本控制

API 版本控制是不可避免的，需要提前规划。

版本策略：

URL 版本（推荐）：

/api/v1/users
/api/v2/users

优点：清晰明确，易于路由；缺点：URL 稍长。

Header 版本：

GET /api/users
Accept: application/vnd.myapi.v1+json

优点：URL 简洁；缺点：客户端需要额外设置 Header。

查询参数版本：

/api/users?version=1

优点：实现简单；缺点：缓存策略复杂，不够正式。

实践建议：

• 从 v1 开始就规划好版本控制
• 新版本优先，但保留旧版本的支持
• 明确每个版本的废弃计划
• 在响应 Header 中添加 API 版本信息

5. 安全性

安全是 API 设计的首要考虑。

实践要点：

认证：

• 使用标准的认证方式（OAuth 2.0、JWT）
• 避免明文传输凭据
• 使用 HTTPS
• 实施合理的 Token 过期机制

授权：

• 实施细粒度的权限控制
• 使用 RBAC（基于角色的访问控制）
• 记录和审计敏感操作

数据保护：

• 对敏感数据加密
• 遵循最小权限原则
• 实施数据脱敏（如日志中隐藏手机号）

防护措施：

• 实施速率限制（Rate Limiting）
• 添加请求验证（防止注入攻击）
• 定期进行安全审计

REST API 设计实践

1. 资源建模

REST API 的核心是资源（Resource）。资源是系统中可访问的实体。

设计要点：

使用名词：

✅ GET /users
❌ GET /getUsers

资源层次：

/users/123/orders          # 获取用户 123 的订单
/users/123/orders/456       # 获取用户 123 的订单 456

资源过滤和排序：

GET /users?role=admin&sort=name
GET /users?created_after=2024-01-01
GET /users?page=2&limit=20

2. 请求设计

查询参数：

• 用于过滤、排序、分页
• 使用清晰的参数名
• 支持多值参数（如 ?tags=tech,design）

请求体：

• POST 和 PUT 需要请求体
• GET 和 DELETE 不应该有请求体
• 使用 JSON 格式，保持一致性

请求头：

• Content-Type：明确指定内容类型
• Accept：指定期望的响应格式
• 自定义 Header：使用前缀（如 X-Request-ID）

3. 响应设计

成功响应：

{
  "data": {
    "id": 1,
    "name": "张三",
    "email": "zhangsan@example.com"
  },
  "meta": {
    "timestamp": "2024-02-03T10:00:00Z"
  }
}

列表响应：

{
  "data": [
    { "id": 1, "name": "张三" },
    { "id": 2, "name": "李四" }
  ],
  "pagination": {
    "page": 1,
    "limit": 20,
    "total": 100
  }
}

错误响应：

{
  "error": {
    "code": "VALIDATION_ERROR",
    "message": "Invalid email format",
    "details": [
      {
        "field": "email",
        "message": "Email must contain @"
      }
    ],
    "request_id": "abc123"
  }
}

响应设计原则：

• 使用统一的响应格式
• 提供有用的错误信息
• 避免在响应中暴露敏感信息
• 添加请求 ID 方便追踪

4. 状态码选择

2xx 成功：

• 200 OK：成功，返回请求的数据
• 201 Created：创建成功，返回新创建的资源
• 204 No Content：成功，无返回内容（如删除）

4xx 客户端错误：

• 400 Bad Request：请求参数错误
• 401 Unauthorized：未认证
• 403 Forbidden：已认证但无权限
• 404 Not Found：资源不存在
• 409 Conflict：资源冲突（如重复创建）
• 422 Unprocessable Entity：请求格式正确但语义错误（如验证失败）
• 429 Too Many Requests：超过速率限制

5xx 服务端错误：

• 500 Internal Server Error：服务器内部错误
• 503 Service Unavailable：服务暂时不可用

GraphQL API 设计实践

1. Schema 设计

GraphQL 的核心是 Schema，它定义了 API 的类型和操作。

type User {
  id: ID!
  name: String!
  email: String!
  role: UserRole!
  posts: [Post!]!
  createdAt: DateTime!
}

type Post {
  id: ID!
  title: String!
  content: String!
  author: User!
  createdAt: DateTime!
}

enum UserRole {
  ADMIN
  USER
}

type Query {
  user(id: ID!): User
  users(limit: Int, offset: Int): [User!]!
  post(id: ID!): Post
  posts: [Post!]!
}

type Mutation {
  createUser(input: CreateUserInput!): User!
  updateUser(id: ID!, input: UpdateUserInput!): User!
  deleteUser(id: ID!): Boolean!
}

设计要点：

• 使用描述性的类型和字段名
• 添加描述（description）
• 合理使用接口（Interface）和联合类型（Union）
• 考虑使用输入类型（Input Type）减少参数数量

2. 查询优化

数据加载：

• 使用 DataLoader 批量加载数据
• 避免经典的 N+1 查询问题
• 合理使用字段级别的缓存

深度限制：

• 限制查询深度，防止恶意查询
• 实施查询复杂度分析
• 设置合理的超时时间

const depthLimit = require('graphql-depth-limit');

const server = new ApolloServer({
  typeDefs,
  resolvers,
  validationRules: [
    depthLimit(7)  // 限制查询深度为 7 层
  ]
});

3. 错误处理

GraphQL 的错误处理与 REST 不同，所有请求都返回 200 状态码，错误信息在响应中。

{
  "data": {
    "user": null
  },
  "errors": [
    {
      "message": "User not found",
      "path": ["user"],
      "extensions": {
        "code": "USER_NOT_FOUND",
        "arguments": {
          "id": "123"
        }
      }
    }
  ]
}

实践要点：

• 提供清晰的错误消息
• 包含错误路径和类型信息
• 在生产环境中过滤敏感信息
• 考虑使用自定义错误类型

4. 版本控制

GraphQL 的版本控制有多种策略：

无版本（推荐）：

• 通过字段的废弃（deprecated）来处理变更
• 逐步废弃旧字段，添加新字段
• 使用 @deprecated 指令标记废弃字段

type User {
  id: ID!
  name: String! @deprecated(reason: "Use fullName instead")
  fullName: String!
}

多 Schema：

• 不同版本使用不同的 Schema 端点
• 类似于 REST 的 URL 版本

Context 版本：

• 在 Header 中指定版本
• 在 Resolver 中根据版本返回不同数据

API 文档

好的 API 必须有好的文档。

1. 文档要素

必需内容：

• 端点地址和 HTTP 方法
• 请求参数（路径参数、查询参数、请求体）
• 响应格式和示例
• 认证方式
• 错误码和错误消息

推荐内容：

• 使用场景和示例
• 性能指标（如速率限制）
• 更新日志
• SDK 和工具

2. 文档工具

OpenAPI（Swagger）：

openapi: 3.0.0
info:
  title: User API
  version: 1.0.0
paths:
  /users:
    get:
      summary: List users
      parameters:
        - name: limit
          in: query
          schema:
            type: integer
      responses:
        '200':
          description: Success

GraphQL：

• 使用 introspection 自动生成文档
• Apollo Explorer、GraphiQL 等交互式工具

3. 文档维护

• 文档即代码（Docs-as-Code）
• 自动化生成和更新
• 定期审查和更新
• 从实际代码注释生成

API 测试

1. 单元测试

测试单个 API 端点的功能。

describe('POST /api/users', () => {
  it('should create a new user', async () => {
    const response = await request(app)
      .post('/api/v1/users')
      .send({ name: '张三', email: 'zhangsan@example.com' })
      .expect(201);

    expect(response.body.data).toHaveProperty('id');
    expect(response.body.data.name).toBe('张三');
  });

  it('should return 400 for invalid email', async () => {
    await request(app)
      .post('/api/v1/users')
      .send({ name: '张三', email: 'invalid' })
      .expect(400);
  });
});

2. 集成测试

测试多个端点之间的交互。

3. 性能测试

使用工具如 JMeter、k6、Locust 进行负载测试。

import http from 'k6/http';
import { check, sleep } from 'k6';

export default function () {
  const res = http.get('https://api.example.com/users');
  check(res, {
    'status is 200': (r) => r.status === 200,
    'response time < 500ms': (r) => r.timings.duration < 500,
  });
  sleep(1);
}

4. 契约测试

使用如 Pact、Spring Cloud Contract 等工具，确保服务之间的契约一致性。

API 监控

1. 关键指标

• 请求量：每秒请求数（QPS）
• 延迟：平均响应时间、P95、P99
• 错误率：失败请求的比例
• 可用性：服务正常运行时间的百分比

2. 监控工具

• APM 工具：New Relic、Datadog、Sentry
• 日志聚合：ELK Stack、Splunk
• 指标收集：Prometheus、Grafana

3. 告警策略

• 设置合理的阈值
• 区分不同级别的告警
• 避免告警疲劳
• 建立响应流程

常见陷阱

1. 过度设计

不要为还不存在的需求设计 API。保持简单，只在真正需要时才扩展。

2. 缺少版本规划

一开始就规划好版本控制，避免后期无法兼容的变更。

3. 错误处理不当

避免只返回通用的错误消息，提供具体、有用的错误信息。

4. 忽视性能

考虑 API 的性能影响：

• 添加索引
• 使用缓存
• 实施分页
• 限制响应数据量

5. 文档落后

文档应该与代码同步更新，不要让文档过时。

总结

设计一个好的 API 是一门艺术，需要平衡简洁性、一致性、可扩展性等多个方面。

核心要点回顾：

• 保持简洁，避免过度设计
• 保持一致，遵循命名和结构规范
• 实施版本控制，为变更做好准备
• 重视安全，从设计之初就考虑安全
• 编写清晰的文档，让 API 易于理解和使用
• 实施测试和监控，确保 API 的质量和稳定性

记住，API 是系统的门面，是服务之间的桥梁。一个好的 API 能够：

• 提高开发效率
• 降低维护成本
• 改善用户体验
• 促进系统的长期发展

持续学习和实践，不断改进你的 API 设计技能。🌙