Метка: API

Введение………………………………………………………………………………………………….. 9

О структуре этой книги……………………………………………………………………………………………………………….. 9

Определение API………………………………………………………………………………………………………………………… 10

Критерии качества API……………………………………………………………………………………………………………… 11

Выбор подхода к разработке API…………………………………………………………………………………………….. 13

Подход API-first………………………………………………………………………………………………………………………….. 13

Обратная совместимость…………………………………………………………………………………………………………… 14

О версионировании……………………………………………………………………………………………………………………. 15

Условные обозначения и терминология………………………………………………………………………………….. 15

Часть I. Проектирование API………………………………………………………. 19

Глава 1. Пирамида контекстов API. Определение области применения…. 21

Почему API?……………………………………………………………………………………………………………………………….. 23

Что и как?……………………………………………………………………………………………………………………………………. 23

Глава 2. Разделение уровней абстракции……………………………………………….. 24

Изоляция уровней абстракции………………………………………………………………………………………………….. 34

Потоки данных…………………………………………………………………………………………………………………………… 36

Глава 3. Разграничение областей ответственности…………………………………. 38

Сценарии использования………………………………………………………………………………………………………….. 39

Хелперы………………………………………………………………………………………………………………………………………. 42

Обработка ошибок…………………………………………………………………………………………………………………….. 43

Декомпозиция интерфейсов. Правило «7±2»…………………………………………………………………………… 44

Глава 4. Описание конечных интерфейсов…………………………………………….. 47

1. Важное уточнение номер один: правила не должны применяться бездумно………………….. 47
2. Явное лучше неявного…………………………………………………………………………………………………………… 48
3. Указывайте использованные стандарты……………………………………………………………………………… 49
4. Сущности должны именоваться конкретно…………………………………………………………………………. 50
5. Не экономьте буквы……………………………………………………………………………………………………………….. 50
6. Тип поля должен быть ясен из его названия………………………………………………………………………… 51
7. Подобные сущности должны называться подобно и вести себя подобным образом……… 52
8. Избегайте двойных отрицаний……………………………………………………………………………………………… 53
9. Избегайте неявного приведения типов…………………………………………………………………………………. 53
10. Декларируйте технические ограничения явно………………………………………………………………….. 55
11. Любые запросы должны быть лимитированы………………………………………………………………….. 55
12. Описывайте политику перезапросов………………………………………………………………………………….. 56
13. Подсчитывайте трафик……………………………………………………………………………………………………….. 56
14. Отсутствие результата — тоже результат………………………………………………………………………… 57
15. Валидируйте ввод………………………………………………………………………………………………………………… 58
16. Значения по умолчанию должны быть осмысленны……………………………………………………….. 60
17. Ошибки должны быть информативными…………………………………………………………………………… 61
18. Всегда показывайте неразрешимые ошибки прежде разрешимых…………………………………. 62
19. Начинайте исправление ошибок с более глобальных……………………………………………………… 63
20. Проанализируйте потенциальные взаимные блокировки……………………………………………….. 64
21. Указывайте время жизни ресурсов и политики кеширования………………………………………….. 65
22. Сохраняйте точность дробных чисел………………………………………………………………………………… 66
23. Все операции должны быть идемпотентны………………………………………………………………………. 67
24. Не изобретайте безопасность…………………………………………………………………………………………….. 69
25. Помогайте партнерам не изобретать безопасность…………………………………………………………. 70
26. Используйте глобально уникальные идентификаторы……………………………………………………. 71
27. Предусмотрите ограничения доступа……………………………………………………………………………….. 72
28. Не предоставляйте функциональность массового получения
    чувствительных данных………………………………………………………………………………………………………. 72
29. Локализация и интернационализация……………………………………………………………………………….. 73

Часть II. Паттерны дизайна API…………………………………………………. 75

Глава 5. О паттернах проектирования в контексте API…………………………. 77

Принципы решения типовых проблем проектирования API………………………………………………….. 78

Глава 6. Аутентификация партнеров и авторизация вызовов API………….. 79

Глава 7. Стратегии синхронизации………………………………………………………… 81

Программные блокировки…………………………………………………………………………………………………………. 82

Оптимистичное управление параллелизмом………………………………………………………………………….. 83

Глава 8. Слабая консистентность…………………………………………………………… 84

Событийная консистентность…………………………………………………………………………………………………… 84

Риски перехода к событийной консистентности…………………………………………………………………….. 86

Глава 9. Асинхронность и управление временем……………………………………. 89

Глава 10. Списки и организация доступа к ним…………………………………….. 93

Иммутабельные списки……………………………………………………………………………………………………………… 97

Пополняемые списки, иммутабельные данные……………………………………………………………………….. 97

Общий сценарий………………………………………………………………………………………………………………………. 101

Глава 11. Двунаправленные потоки данных. Push- и poll-модели…………. 103

Доставка сообщений на клиентское устройство………………………………………………………………….. 104

1. Дуплексные соединения………………………………………………………………………………………………. 104
2. Раздельный канал обратного вызова и асинхронные потоки событий………………….. 105
3. Сторонние сервисы отправки push-уведомлений……………………………………………………… 105

Использование push-технологий в публичном API………………………………………………………………. 106

Доставка сообщений backend-to-backend…………………………………………………………………………….. 107

Типичные проблемы интеграции через webhook………………………………………………………………….. 108

Очереди сообщений…………………………………………………………………………………………………………………. 110

Глава 12. Асинхронная обработка событий.
Атомарность массовых изменений……………………………………………………….. 111

Глава 13. Частичные обновления…………………………………………………………. 119

Варианты решения………………………………………………………………………………………………………………….. 120

Разрешение конфликтов совместного редактирования………………………………………………………… 124

Глава 14. Деградация и предсказуемость……………………………………………… 125

Часть III. Обратная совместимость……………………………………… 127

Глава 15. Постановка проблемы обратной совместимости…………………… 129

Фрагментация клиентских приложений………………………………………………………………………………… 130

Эволюция предметной области……………………………………………………………………………………………… 132

Дрифт платформ………………………………………………………………………………………………………………………. 132

Обратная совместимость на уровне спецификаций……………………………………………………………… 133

Политика обратной совместимости……………………………………………………………………………………….. 134

Глава 16. О ватерлинии айсберга…………………………………………………………. 136

1. Предоставляйте минимальный объем функциональности………………………………………………. 136
2. Избегайте «серых зон» и недосказанности………………………………………………………………………… 137
3. Фиксируйте неявные договоренности………………………………………………………………………………… 137
4. Продуктовая логика тоже должна быть обратно совместимой………………………………………. 140

Глава 17. Расширение через абстрагирование………………………………………. 141

Границы применимости………………………………………………………………………………………………………….. 144

Глава 18. Сильная связность и сопутствующие проблемы…………………… 145

Правило контекстов…………………………………………………………………………………………………………………. 147

Глава 19. Слабая связность………………………………………………………………….. 151

Инверсия ответственности………………………………………………………………………………………………………. 156

Делегируй!………………………………………………………………………………………………………………………… 158

Интерфейсы как универсальный паттерн……………………………………………………………………………… 159

Глава 20. «Блокнот душевного покоя»…………………………………………………. 161

1. Помните о подводной части айсберга……………………………………………………………………………….. 161
2. Тестируйте формальные интерфейсы………………………………………………………………………………… 161
3. Изолируйте зависимости…………………………………………………………………………………………………….. 162
4. Реализуйте функциональность своего API поверх публичных интерфейсов…………………. 162
5. Заведите блокнот…………………………………………………………………………………………………………………. 163

Часть IV. HTTP API и архитектурные принципы REST……….. 165

Глава 21. О концепции HTTP API. Парадигмы разработки
клиент-серверного взаимодействия………………………………………………………. 167

Глава 22. Преимущества и недостатки HTTP (REST) API в сравнении с альтернативными технологиями……………………………………………………………………………………….. 171

1. Машиночитаемость метаданных……………………………………………………………………………………….. 173
2. Качество решений……………………………………………………………………………………………………………….. 174
3. Вопросы производительности……………………………………………………………………………………………. 175

Преимущества и недостатки формата JSON…………………………………………………………………………. 176

Выбор технологии разработки клиент-серверного API……………………………………………………….. 177

Технология gRPC……………………………………………………………………………………………………………… 178

Технология GraphQL……………………………………………………………………………………………………….. 178

Мифология REST……………………………………………………………………………………………………………………… 179

Глава 23. Составляющие HTTP-запросов и их семантика……………………. 182

1. URL……………………………………………………………………………………………………………………………………….. 183
2. Заголовки……………………………………………………………………………………………………………………………… 185
3. HTTP-глаголы………………………………………………………………………………………………………………………. 186
4. Статус-коды…………………………………………………………………………………………………………………………. 188

Важное замечание о кешировании………………………………………………………………………………………… 189

Важное замечание о консистентности…………………………………………………………………………………… 189

Глава 24. Организация HTTP API согласно принципам REST……………… 191

Пример построения HTTP API………………………………………………………………………………………………… 192

Авторизация stateless-запросов………………………………………………………………………………………………. 199

Глава 25. Разработка номенклатуры URL-ресурсов. CRUD-операции….. 200

1. Где заканчиваются метаданные операции и начинаются «просто» данные
   и насколько допустимо дублировать поля и там и там?………………………………………………….. 201
2. Каким образом организовывать эндпойнты, связывающие две сущности, междукоторыми нет явных отношений подчинения?………………………………………………………………………………………………………………………….. 202
3. Насколько строго должна выдерживаться буквальная интерпретация
   конструкции ГЛАГОЛ /ресурс?……………………………………………………………………………………………. 202

CRUD-операции……………………………………………………………………………………………………………………….. 204

1. Создание……………………………………………………………………………………………………………………….. 205
2. Чтение……………………………………………………………………………………………………………………………. 206
3. Редактирование……………………………………………………………………………………………………………. 207
4. Удаление……………………………………………………………………………………………………………………….. 207

CRUD-операции в реальной жизни………………………………………………………………………………… 207

Глава 26. Работа с ошибками в HTTP API……………………………………………. 209

Клиентские ошибки…………………………………………………………………………………………………………………. 210

Серверные ошибки…………………………………………………………………………………………………………………… 213

Организация системы ошибок в HTTP API на практике………………………………………………………. 215

Глава 27. Заключительные положения и общие рекомендации……………. 215

Часть V. SDK- и UI-библиотеки………………………………………………….. 219

Глава 28. Терминология. Обзор технологий разработки SDK……………….. 221

Выбор фреймворка для разработки UI-компонентов…………………………………………………………… 222

Глава 29. SDK: проблемы и решения……………………………………………………. 223

Кодогенерация…………………………………………………………………………………………………………………………. 228

Другие инструменты……………………………………………………………………………………………………………….. 229

Глава 30. Проблемы встраивания UI-компонентов………………………………. 229

Проблемы…………………………………………………………………………………………………………………………………. 230

1. Объединение в одном объекте разнородной функциональности…………………………….. 231
2. Общее владение ресурсами…………………………………………………………………………………………. 231
3. Множественная иерархия подчинения сущностей…………………………………………………… 232

Глава 31. Декомпозиция UI-компонентов…………………………………………….. 234

Глава 32. MV*-фреймворки………………………………………………………………….. 247

Паттерн «модель»…………………………………………………………………………………………………………………….. 249

Backend-Driven UI……………………………………………………………………………………………………………………. 251

Глава 33. Разделяемые ресурсы и асинхронные блокировки……………….. 254

Глава 34. Вычисляемые свойства…………………………………………………………. 258

Варианты подходов………………………………………………………………………………………………………………… 259

Вычисленные значения…………………………………………………………………………………………………………… 260

Глава 35. Заключение к части V………………………………………………………….. 260

Часть VI. API как продукт…………………………………………………………… 261

Глава 36. Продукт API. Бизнес-модели API………………………………………….. 263

Основные модели монетизации API……………………………………………………………………………………….. 265

1. Разработчик = конечный пользователь……………………………………………………………………… 265
2. API = основной и/или единственный способ доступа к сервису……………………………… 266
3. API = партнерская программа…………………………………………………………………………………….. 266
4. API = дополнительный доступ к сервису…………………………………………………………………… 267
5. API = площадка для рекламы……………………………………………………………………………………… 268
6. API = самореклама и самопиар…………………………………………………………………………………… 268
7. API = инструмент получения обратной связи и UGC………………………………………………… 269
8. Терраформирование…………………………………………………………………………………………………….. 269
9. «Серая зона»…………………………………………………………………………………………………………………. 270

Подход API-first……………………………………………………………………………………………………………………….. 270

Глава 37. Формирование продуктового вдения………………………………….. 271

Продуктовое вдение API……………………………………………………………………………………………………….. 271

Проверка продуктовых гипотез……………………………………………………………………………………………… 272

Глава 38. Взаимодействие с разработчиками и бизнес-аудиторией………. 273

Open Source………………………………………………………………………………………………………………………………. 275

Фрагментация аудитории……………………………………………………………………………………………………….. 276

Взаимодействие с бизнес-аудиторией…………………………………………………………………………………… 277

Глава 39. Линейка сервисов API………………………………………………………….. 278

Горизонтальное разделение сервисов API……………………………………………………………………………. 278

Вертикальное разделение сервисов API………………………………………………………………………………… 279

Глава 40. Ключевые показатели эффективности API……………………………. 281

SLA……………………………………………………………………………………………………………………………………………. 283

Сравнение с конкурентами……………………………………………………………………………………………………… 284

Глава 41. Идентификация пользователей и борьба с фродом……………….. 285

Идентификация приложений и их владельцев………………………………………………………………………. 285

Идентификация конечных пользователей……………………………………………………………………………… 288

Глава 42. Технические способы борьбы с несанкционированным доступом к API          289

1. Идентификация подозрительных пользователей……………………………………………………………… 289
2. Запрос дополнительного фактора аутентификации………………………………………………………… 290
3. Ограничение доступа………………………………………………………………………………………………………….. 290

Противодействие краже ключей…………………………………………………………………………………………….. 292

Глава 43. Поддержка пользователей API……………………………………………… 293

Документация…………………………………………………………………………………………………………………………… 295

Виды справочных материалов……………………………………………………………………………………………….. 296

1. Спецификация/справочник/референс…………………………………………………………………………. 296
2. Примеры кода……………………………………………………………………………………………………………….. 297
3. Песочницы…………………………………………………………………………………………………………………….. 297
4. Руководство (туториал)……………………………………………………………………………………………….. 298
5. Часто задаваемые вопросы и база знаний…………………………………………………………………. 299
6. Офлайн-документация…………………………………………………………………………………………………. 299

Проблемы дублирования контента………………………………………………………………………………………… 299

Качество документации………………………………………………………………………………………………………….. 300

Тестовая среда…………………………………………………………………………………………………………………………. 300

1. API среды тестирования………………………………………………………………………………………………. 301
2. Симулятор предопределенных сценариев…………………………………………………………………. 302

Автоматизация тестирования…………………………………………………………………………………………………. 302

Глава 44. Управление ожиданиями………………………………………………………. 303

Версионирование и жизненный цикл приложений……………………………………………………………….. 303

Поддержка платформ………………………………………………………………………………………………………………. 304

Движение вперед……………………………………………………………………………………………………………………… 304

Вступительное слово………………………………………………………………………………. 15

Предисловие…………………………………………………………………………………………… 17

Для чего мы написали эту книгу?…………………………………………………………………………………………….. 17

Почему стоит прочитать эту книгу?………………………………………………………………………………………… 17

Для кого эта книга?……………………………………………………………………………………………………………………. 18

Разработчик…………………………………………………………………………………………………………………….. 18

Случайный архитектор………………………………………………………………………………………………….. 18

Архитектор решений, корпоративный архитектор……………………………………………………… 19

Чему вы научитесь?…………………………………………………………………………………………………………………… 19

О чем не расскажет эта книга?…………………………………………………………………………………………………. 20

Условные обозначения……………………………………………………………………………………………………………… 20

Использование примеров кода…………………………………………………………………………………………………. 21

Платформа онлайн-обучения O’Reilly……………………………………………………………………………………… 22

Как с нами связаться?………………………………………………………………………………………………………………… 22

Благодарности…………………………………………………………………………………………………………………………… 22

Благодарности Джеймса Гофа……………………………………………………………………………………… 23

Благодарности Дэниэла Брайанта……………………………………………………………………………….. 23

Благодарности Мэтью Оберна……………………………………………………………………………………… 23

Введение………………………………………………………………………………………………… 25

Путешествие по архитектуре……………………………………………………………………………………………………. 25

Что же такое API?………………………………………………………………………………………………………………………. 26

Практический пример конференц-системы: запуск………………………………………………………………… 27

Типы API в практическом примере конференции………………………………………………………… 29

Причины изменения конференц-системы……………………………………………………………………… 29

От многоуровневой архитектуры к моделированию API……………………………………………. 30

Практический пример: эволюционный этап………………………………………………………………… 30

Трафик север-юг……………………………………………………………………………………………………… 31

Трафик восток-запад……………………………………………………………………………………………… 32

API-инфраструктура и шаблоны трафика……………………………………………………………………. 32

Дорожная карта для практического примера конференции………………………………………. 32

Использование диаграмм C4…………………………………………………………………………………………………….. 33

Диаграмма контекста C4……………………………………………………………………………………………….. 33

Диаграмма контейнеров C4…………………………………………………………………………………………… 34

Диаграмма компонентов C4………………………………………………………………………………………….. 34

Использование записей архитектурных решений………………………………………………………………….. 34

ADR-запись эволюции участников……………………………………………………………………………….. 35

Осваиваем API: руководства ADR………………………………………………………………………………… 36

Заключение………………………………………………………………………………………………………………………………… 37

Часть I. Проектирование, создание и тестирование API… 39

Глава 1. Проектирование, создание и спецификация API………………………. 41

Практический пример: проектирование API Участник………………………………………………………….. 41

Знакомство с REST…………………………………………………………………………………………………………………….. 42

Знакомство с REST и HTTP на примере……………………………………………………………………….. 42

Модель зрелости Ричардсона……………………………………………………………………………………….. 43

Введение в API удаленного вызова процедур (RPC)………………………………………………………………. 44

Краткое упоминание о языке GraphQL……………………………………………………………………………………. 45

Стандарты и структура REST API…………………………………………………………………………………………… 47

Коллекции и пагинация………………………………………………………………………………………………….. 48

Фильтрация коллекций…………………………………………………………………………………………………… 49

Обработка ошибок…………………………………………………………………………………………………………. 49

Руководство ADR: выбор стандарта API……………………………………………………………………… 50

Определение REST API с помощью OpenAPI………………………………………………………………………….. 51

Практическое применение спецификаций OpenAPI……………………………………………………………….. 51

Генерация кода……………………………………………………………………………………………………………….. 52

Валидация OpenAPI……………………………………………………………………………………………………….. 52

Примеры и создание имитаций……………………………………………………………………………………… 53

Обнаружение изменений………………………………………………………………………………………………… 54

Версионирование API……………………………………………………………………………………………………………….. 54

Семантическое версионирование…………………………………………………………………………………. 55

Спецификация и версионирование OpenAPI………………………………………………………………… 55

Реализация RPC с помощью gRPC……………………………………………………………………………………………. 57

Моделирование обмена данными и выбор формата API………………………………………………………. 59

Сервисы с высоким уровнем трафика…………………………………………………………………………… 59

Большие полезные нагрузки при обмене данными……………………………………………………… 59

Преимущества производительности HTTP/2……………………………………………………………….. 60

Старые форматы…………………………………………………………………………………………………………….. 60

Рекомендация: моделирование обменов………………………………………………………………………………….. 61

Различные спецификации………………………………………………………………………………………………………….. 61

Существует ли «золотая спецификация»?……………………………………………………………………. 61

Проблемы комбинированных спецификаций………………………………………………………………. 63

Заключение………………………………………………………………………………………………………………………………… 63

Глава 2. Тестирование API…………………………………………………………………….. 65

Сценарий конференц-системы для этой главы……………………………………………………………………….. 66

Стратегии тестирования……………………………………………………………………………………………………………. 66

Тестовый квадрант…………………………………………………………………………………………………………. 67

Тестовая пирамида…………………………………………………………………………………………………………. 69

Руководство ADR по стратегиям тестирования…………………………………………………………… 71

Контрактное тестирование……………………………………………………………………………………………………….. 72

Почему часто предпочтительнее проводить контрактное тестирование?……………….. 72

Порядок реализации контракта…………………………………………………………………………………….. 73

Контракты производителя…………………………………………………………………………………….. 75

Контракты, ориентированные на потребителя…………………………………………………… 76

Наш пример: использование CDC………………………………………………………………………… 76

Обзор методологии контрактов…………………………………………………………………………….. 76

Фреймворки для контрактного тестирования……………………………………………………… 77

Хранение и публикация контрактов API……………………………………………………………… 77

Руководство ADR: контрактное тестирование…………………………………………………………….. 78

Тестирование компонентов API……………………………………………………………………………………………….. 79

Контрактное тестирование в сравнении с тестированием компонентов…………………… 80

Практический пример: тестирование компонентов для проверки поведения…………… 80

Интеграционное тестирование API………………………………………………………………………………………….. 82

Использование серверов-заглушек: почему и как?……………………………………………………… 82

Руководство ADR: интеграционное тестирование………………………………………………………. 84

Контейнеризация тестовых компонентов: Testcontainers…………………………………………… 85

Практический пример: применение Testcontainers для верификации интеграций……. 85

Сквозное тестирование……………………………………………………………………………………………………………… 87

Автоматизация сквозной валидации…………………………………………………………………………….. 87

Типы сквозных тестов…………………………………………………………………………………………………….. 88

Руководство ADR: сквозное тестирование…………………………………………………………………… 89

Заключение………………………………………………………………………………………………………………………………… 90

Часть II. Управление трафиком API………………………………………….. 91

Глава 3. API-шлюзы: управление входящим трафиком………………………….. 93

Является ли API-шлюз единственным решением?………………………………………………………………….. 93

Рекомендация: прокси, балансировщик нагрузки или API-шлюз………………………………………….. 94

Практический пример: открытие доступа к сервису Участник для потребителей……………… 95

Что такое API-шлюз?…………………………………………………………………………………………………………………. 96

Какие функциональные возможности предоставляет API-шлюз?………………………………………… 96

Где выполняется развертывание API-шлюза?………………………………………………………………………… 97

Как API-шлюз интегрируется с другими технологиями на периферии?……………………………….. 98

Зачем нужен API-шлюз?……………………………………………………………………………………………………………. 99

Снижение связанности: адаптер/фасад между фронтендами и бэкендами……………. 100

Упрощение использования: агрегирование/преобразование бэкенд-сервисов……… 101

Защита API от чрезмерного использования и злоупотреблений: обнаружение и устранение угроз     102

Понимание того, как используются API: наблюдаемость………………………………………… 104

Управление API как продуктами: менеджмент жизненного цикла API…………………… 104

Монетизация API: управление учетными записями, биллинг и оплата………………….. 106

Современная история API-шлюзов………………………………………………………………………………………… 106

1990-е годы и далее: аппаратные балансировщики нагрузки…………………………………. 107

Начало 2000-х годов и далее: программные балансировщики нагрузки……………….. 108

Середина 2000-х: контроллеры доставки приложений (ADC)…………………………………. 109

Начало 2010-х: API-шлюзы первого поколения……………………………………………………….. 109

2015 год и далее: API-шлюзы второго поколения…………………………………………………….. 111

Текущая таксономия API-шлюзов………………………………………………………………………………………….. 112

Традиционные корпоративные шлюзы………………………………………………………………………. 112

Микросервисы/микрошлюзы………………………………………………………………………………………. 113

Шлюзы сервисных сетей……………………………………………………………………………………………… 113

Сравнение типов API-шлюзов……………………………………………………………………………………… 113

Практический пример: развитие конференц-системы с помощью API-шлюза…………………… 115

Установка Ambassador Edge Stack в Kubernetes………………………………………………………… 116

Настройка сопоставления URL-путей с бэкенд-сервисами……………………………………… 116

Настройка сопоставлений с использованием маршрутизации на основе хостов….. 117

Развертывание API-шлюзов: понимание и управление отказами……………………………………….. 118

API-шлюз как единая точка отказа…………………………………………………………………………….. 118

Обнаружение и принадлежность проблем…………………………………………………………………. 119

Разрешение инцидентов и проблем…………………………………………………………………………….. 119

Снижение рисков………………………………………………………………………………………………………….. 120

Общие ошибки при внедрении API-шлюзов………………………………………………………………………….. 121

Loopback API-шлюза……………………………………………………………………………………………………. 121

Шлюз API в качестве корпоративной сервисной шины (ESB,
Enterprise Service Bus)…………………………………………………………………………………………………… 121

Черепахи (API-шлюзы) — и нет им конца………………………………………………………………….. 122

Выбор API-шлюза……………………………………………………………………………………………………………………. 122

Определение требований…………………………………………………………………………………………….. 122

Создание или покупка?………………………………………………………………………………………………… 123

Руководство ADR: выбор API-шлюза…………………………………………………………………………. 123

Заключение………………………………………………………………………………………………………………………………. 124

Глава 4. Сервисные сети: управление трафиком между сервисами………. 127

Сервисная сеть — это единственное решение?…………………………………………………………………….. 127

Рекомендация: стоит ли внедрять технологию сервисной сети?…………………………………………. 128

Практический пример: извлечение функциональности сессий в сервис…………………………….. 128

Что такое сервисная сеть?………………………………………………………………………………………………………. 130

Какие функциональные возможности предоставляет сервисная сеть?………………………………. 132

Где развертывается сервисная сеть?……………………………………………………………………………………… 133

Как сервисная сеть интегрируется с другими сетевыми технологиями?……………………………. 134

Зачем нужна сервисная сеть?…………………………………………………………………………………………………. 135

Тонкий контроль маршрутизации, надежности и управления трафиком……………….. 136

Прозрачная маршрутизация и нормализация имен сервисов………………………….. 136

Надежность…………………………………………………………………………………………………………… 137

Продвинутая маршрутизация трафика: придание формы, контроль, разделение и зеркалирование           138

Придание формы трафику…………………………………………………………………………… 138

Контроль трафика……………………………………………………………………………………….. 139

Обеспечение прозрачной наблюдаемости…………………………………………………………………. 139

Обеспечение безопасности: транспортная безопасность, аутентификация и авторизация      140

Поддержка кросс-функционального взаимодействия на разных языках………………… 140

Разделение управления входящим и межсервисным трафиком……………………………….. 141

Эволюция сервисных сетей…………………………………………………………………………………………………….. 142

Ранняя история и мотивация……………………………………………………………………………………….. 143

Шаблоны реализации………………………………………………………………………………………………….. 145

Библиотеки……………………………………………………………………………………………………………. 145

Sidecar……………………………………………………………………………………………………………………. 146

Библиотеки gRPC без прокси………………………………………………………………………………. 148

Без sidecar: реализации ядра операционной системы (eBPF)…………………………… 150

Таксономия сервисных сетей………………………………………………………………………………………………….. 151

Практический пример: использование сервисной сети для маршрутизации, наблюдаемости и безопасности              152

Маршрутизация с помощью Istio………………………………………………………………………………… 152

Наблюдение за трафиком с помощью Linkerd…………………………………………………………… 154

Сегментация сети с помощью Consul………………………………………………………………………….. 156

Развертывание сервисной сети: понимание и управление отказами………………………………….. 158

Сервисная сеть как единая точка отказа……………………………………………………………………. 159

Общие проблемы внедрения сервисной сети………………………………………………………………………… 159

Сервисная сеть в качестве ESB……………………………………………………………………………………. 159

Сервисная сеть в качестве шлюза……………………………………………………………………………….. 159

Слишком много сетевых уровней……………………………………………………………………………….. 160

Выбор сервисной сети…………………………………………………………………………………………………………….. 160

Определение требований…………………………………………………………………………………………….. 160

Создание или покупка?………………………………………………………………………………………………… 160

Руководство ADR: выбор сервисной сети………………………………………………………………….. 161

Заключение………………………………………………………………………………………………………………………………. 162

Часть III. Эксплуатация и безопасность API……………………… 165

Глава 5. Развертывание и релизы API………………………………………………….. 167

Отделение развертывания от релиза……………………………………………………………………………………… 167

Практический пример: установка флагов функций…………………………………………………… 168

Управление трафиком………………………………………………………………………………………………….. 170

Практический пример: моделирование релизов в конференц-системе……………………………….. 171

Жизненный цикл API……………………………………………………………………………………………………. 171

Сопоставление стратегий релизов с жизненным циклом………………………………………….. 172

Руководство ADR: отделение релиза от развертывания с помощью
управления трафиком и флагов функций……………………………………………………………………. 173

Стратегии релизов…………………………………………………………………………………………………………………… 173

Канареечный релиз………………………………………………………………………………………………………. 174

Зеркалирование трафика…………………………………………………………………………………………….. 176

Сине-зеленое развертывание………………………………………………………………………………………. 177

Практический пример: развертывание с помощью Argo Rollouts……………………………………….. 178

Мониторинг успешного выполнения и выявление отказов………………………………………………….. 181

Три столпа наблюдаемости………………………………………………………………………………………… 181

Важные метрики для API……………………………………………………………………………………………… 183

Считывание сигналов…………………………………………………………………………………………………… 184

Прикладные решения для эффективных релизов программного обеспечения…………………… 184

Кеширование ответов…………………………………………………………………………………………………… 185

Распространение заголовков на уровне приложений……………………………………………….. 185

Ведение журнала для помощи в отладке…………………………………………………………………… 185

Рассмотрение субъективной платформы……………………………………………………………………. 186

Руководство ADR: субъективные платформы……………………………………………………………. 186

Заключение………………………………………………………………………………………………………………………………. 187

Глава 6. Операционная безопасность: моделирование угроз для API…… 189

Практический пример: применение OWASP к API участников……………………………………………. 189

Риск при отсутствии защиты внешних API……………………………………………………………………………. 191

Моделирование угроз 101………………………………………………………………………………………………………. 192

Мыслите как злоумышленник………………………………………………………………………………………………… 193

Как построить модель угрозы?………………………………………………………………………………………………. 194

Этап 1: определение целей………………………………………………………………………………………….. 195

Этап 2: сбор нужной информации………………………………………………………………………………. 195

Этап 3: декомпозиция системы……………………………………………………………………………………. 195

Этап 4: выявление угроз и включение их в модель STRIDE…………………………………….. 196

Spoofing (Спуфинг)……………………………………………………………………………………………….. 199

Tampering (Подмена)……………………………………………………………………………………………. 199

Внедрение полезной нагрузки……………………………………………………………………. 199

Массовое переназначение………………………………………………………………………….. 200

Repudiation (Отрицание)……………………………………………………………………………………… 201

Information disclosure (Разглашение сведений)………………………………………………….. 202

Чрезмерное раскрытие данных………………………………………………………………….. 202

Некорректное управление активами…………………………………………………………. 203

Denial of Service (Отказ в обслуживании)…………………………………………………………… 204

Ограничение количества запросов и сброс нагрузки………………………………. 204

Elevation of privilege (Расширение полномочий)……………………………………………….. 206

Неправильная конфигурация безопасности………………………………………………………. 206

Терминирование TLS-соединений……………………………………………………………… 207

Совместное использование ресурсов разными источниками………………….. 207

Усиление директив безопасности………………………………………………………………. 208

Этап 5: Оценка рисков угроз……………………………………………………………………………………….. 208

Этап 6: Валидация……………………………………………………………………………………………………….. 210

Заключение………………………………………………………………………………………………………………………………. 211

Глава 7. Аутентификация и авторизация API………………………………………. 213

Аутентификация………………………………………………………………………………………………………………………. 213

Аутентификация конечных пользователей на основе токенов………………………………… 215

Аутентификация между системами…………………………………………………………………………….. 216

Почему не следует смешивать ключи и пользователей?………………………………………….. 216

OAuth2………………………………………………………………………………………………………………………………………. 217

Роль сервера авторизации при взаимодействии с API………………………………………………. 218

Веб-токены JSON (JWT)……………………………………………………………………………………………….. 218

Кодирование и верификация веб-токенов JSON………………………………………………… 220

Терминология и механизмы предоставления доступа OAuth2………………………………… 221

Руководство ADR: стоит ли рассматривать возможность
использования OAuth2?……………………………………………………………………………………………….. 222

Authorization Code Grant: предоставление доступа по коду авторизации……………… 223

Authorization Code Grant (+ PKCE)……………………………………………………………………… 225

Практический пример: доступ к API Участник с помощью Authorization Code Grant        226

Refresh-токены………………………………………………………………………………………………………………. 227

Client Credentials Grant: предоставление доступа к учетным данным клиента………. 227

Практический пример: доступ к API Участник из CFP-системы
при помощи Client Credentials Grant……………………………………………………………………. 228

Дополнительные варианты предоставления доступа OAuth2…………………………………. 228

Руководство ADR: какой из грантов OAuth2 стоит поддерживать………………………….. 229

Области видимости OAuth2…………………………………………………………………………………………. 229

Практический пример: применение областей видимости OAuth2
к API Участник……………………………………………………………………………………………………… 230

Обеспечение выполнения авторизации………………………………………………………………………. 231

Вкратце об OIDC……………………………………………………………………………………………………………………… 232

Протокол SAML 2.0…………………………………………………………………………………………………………………. 234

Заключение………………………………………………………………………………………………………………………………. 234

Часть IV. Эволюционная архитектура
с применением API………………………………………………………………………. 235

Глава 8. Перепроектирование приложений на архитектуру,
управляемую API…………………………………………………………………………………. 237

Зачем использовать API для развития системы?………………………………………………………………….. 237

Создание полезных абстракций: повышение связности…………………………………………… 238

Уточнение границ домена: продвижение слабой связанности………………………………… 239

Практический пример: установление границ домена сервиса Участник…………………………… 240

Варианты архитектуры конечного состояния………………………………………………………………………. 241

Монолит………………………………………………………………………………………………………………………… 241

Сервис-ориентированная архитектура (SOA)……………………………………………………………. 241

Микросервисы………………………………………………………………………………………………………………. 242

Функции…………………………………………………………………………………………………………………………. 243

Управление эволюционным процессом…………………………………………………………………………………. 243

Определите свои цели………………………………………………………………………………………………….. 243

Использование функций приспособленности……………………………………………………………. 244

Декомпозиция системы на модули……………………………………………………………………………… 245

Создание API как «швов» для расширения………………………………………………………………… 247

Определение точек приложения усилий в системе……………………………………………………. 248

Непрерывная поставка и верификация………………………………………………………………………. 249

Архитектурные паттерны для эволюционирующих систем с API………………………………………. 249

Паттерн «Душитель»……………………………………………………………………………………………………. 249

Паттерны «Фасад» и «Адаптер»………………………………………………………………………………….. 250

Паттерн «Слоеный пирог API»……………………………………………………………………………………. 251

Определение болевых точек и возможностей……………………………………………………………………….. 252

Вопросы модернизации и технического сопровождения…………………………………………. 252

Проблемы с производительностью…………………………………………………………………………….. 253

Разрушение зависимостей: API с сильной связанностью…………………………………………. 253

Заключение………………………………………………………………………………………………………………………………. 254

Глава 9. Использование инфраструктуры API для эволюции
в сторону облачных платформ……………………………………………………………… 255

Практический пример: перенос сервиса Участник в облако……………………………………………….. 255

Выбор стратегии миграции в облако…………………………………………………………………………………….. 256

Сохранение или пересмотр…………………………………………………………………………………………. 257

Перенос………………………………………………………………………………………………………………………….. 258

Смена платформы………………………………………………………………………………………………………… 258

Новая покупка………………………………………………………………………………………………………………. 259

Рефакторинг/смена архитектуры………………………………………………………………………………… 259

Отключение…………………………………………………………………………………………………………………… 260

Практический пример: смена платформы сервиса Участник для переноса его в облако… 260

Роль API-менеджмента……………………………………………………………………………………………………………. 260

Север-юг и восток-запад: размывание границ управления трафиком………………………………… 262

Начните с периферии и работайте вглубь…………………………………………………………………. 262

Пересекая границы: маршрутизация по сетям…………………………………………………………… 262

От зональной архитектуры к принципу нулевого доверия………………………………………………….. 263

Попадание в зону………………………………………………………………………………………………………….. 263

Никому не доверять и проверять…………………………………………………………………………………. 265

Роль сервисной сети в архитектурах с нулевым доверием………………………………………. 266

Дополнение сервисной сети сетевыми политиками………………………………………….. 267

Заключение………………………………………………………………………………………………………………………………. 269

Глава 10. Подведение итогов……………………………………………………………….. 271

Практический пример: оглянитесь на пройденный путь……………………………………………………… 271

API, Закон Конвея и ваша организация…………………………………………………………………………………. 277

Понимание типов решений……………………………………………………………………………………………………… 278

Подготовка к будущему………………………………………………………………………………………………………….. 278

Асинхронное взаимодействие……………………………………………………………………………………… 278

Протокол HTTP/3…………………………………………………………………………………………………………. 279

Сеть на основе платформы………………………………………………………………………………………….. 279

Что дальше: как продолжать изучать архитектуру API?…………………………………………………….. 279

Постоянное совершенствование базовых знаний……………………………………………………… 280

Следите за новостями в отрасли…………………………………………………………………………………. 280

Радары, квадранты и трендовые отчеты……………………………………………………………………. 281

Изучение лучших практик и примеров использования…………………………………………….. 281

Обучение на практике………………………………………………………………………………………………….. 282

Обучение через преподавание…………………………………………………………………………………….. 282

Предметный указатель…………………………………………………………………………. 283

Об авторах……………………………………………………………………………………………. 287

Об изображении на обложке………………………………………………………………… 287