限时领|《AI 百问百答》专栏课+实体书(包邮)! 了解详情
写点什么

防止你的 API 被人采用的 4 个技巧

  • 2021-07-16
  • 本文字数:2085 字

    阅读完需:约 7 分钟

防止你的API被人采用的4个技巧

过去几个月里,我一直在对付一个流行健身品牌的 API,最后发现自己陷入了一种卡夫卡式的噩梦。程序员都喜欢挑战,优秀的程序员一定要征服种种挑战。我一直觉得自己是一个非常优秀的程序员。因此,尽管每天晚上我都以失败告终,只能上床睡觉,但我内心深处的某些东西是不会让我就此放弃的——第二天早上,我会带着新的想法和新的动力满血复活。


这样的循环已经持续几个月,这就像一场梦,日复一日,迟迟没有苏醒的一刻。我要处理的任务很简单:获取数据,保存数据,完事。但面对这个 API,我被一堆脆弱的代码团团围住,追逐着那些我永远都抓不到的错误。


那么,怎样才能构建一个具备如此高技术障碍的 API,让你可以击败一个拥有 20 年经验,过去总有办法走出困境的老手呢?你如何让他慢慢抓狂,并让他从自己所热爱的这一职业中获得的所有快乐一扫而空呢。好吧,我会告诉你诀窍的。


我们先来布置角斗场地。


对于授权需求,我们将使用 OAuth1a。当然,这是一个非常好的标准,但用它签署请求会增加那么一点点复杂性,让你永远没法搞清楚原来是签署导致请求失败的。

服务器到服务器的通信


我们不会响应你的 API 请求,而是给你回电。你请求服务器提供一些数据,然后在从现在到宇宙终结之前(或永远不会)的某个时间点上,我们会做出回应。响应一般需要几毫秒,但有时需要几分钟,在极少数情况下需要几个小时。但最重要的是,如果我们没有任何数据,我们根本就不会做出响应。不一致是程序员的天敌。


这种设置在实践中意味着什么呢?这意味着你需要在服务器或代理后面设置一个端点。这也意味着在你的单元测试中,如果没有响应,那么你将不得不做一些工作。你得编写一些代码,对其进行测试,如果失败还要检查你的 web 服务器日志。


但是,也许在你查看请求通过的那些日志时,它终于有反应了,只不过响应来得慢一些。不过当然 JSON 没有按照你预期的方式格式化,所以请重来一遍吧。

禁止重复数据


这招可是很不错的。不管你请求任何数据,你都只能请求恰好一次。不是一分钟一次,也不是一小时或一天一次——是这辈子都只能请求那么一次。这实际上意味着任何单元测试都是不可重复的,想要重来一次?请手动注册新帐户并在里面人工填好数据。


假设当代码生效时,一位用户请求了某个时间段内的数据,他要的数据可能存在也可能不存在,你可能会,也可能不会收到这些数据,但你仍然需要跟踪这一请求,因为如果你这个请求只重叠了那么区区一天,那么在将来某个时候,你就会收到一条错误消息。当生产环境中的请求失败时会发生什么呢?当然没有缓解措施,你什么都做不了。这些数据是不可恢复的——永远别指望它能恢复了。


我可以用一整天谈论这个技巧的强大力量。不过你只要简单地想象一下,比如你编写了自己的第一行代码,然后又成功地执行了它,然后当你再次运行它时,它就没有任何反应了。想象一下项目的其他部分全变成了这个样子,那会是多么壮观的场面。

开发和 QA 速率限制


我想你可能会争辩说,将 QA 速率限制设置为远低于生产环境的速率可能是有原因的。但如果将阈值设置为每分钟 100 天的数据(不是请求)会有什么样的结果呢?这个技巧特别狡猾。


首先,它的确为你的开发测试周期设置了一个最大阈值。你可以写一些代码,运行一个测试,然后开始等待。但它的要点在于它加入了另一个因素,让代码可能会莫名其妙地失败。


最厉害的是当你正在尝试开发一个高度可扩展的应用程序的时候,你到底该怎么开始测试随便什么类型的负载呢?简单的答案是你可以在生产环境中进行测试,也可以根本不做任何测试。

PROD 中的应用程序级别速率限制


应用程序级速率限制这个技巧的美妙之处在于,你需要一个消息队列才行。当然可能还有其他技巧,但如果它是一个 Web 应用,并且你不想让一堆长时间运行的线程在队列中运行,那么这几乎是你唯一的选择。


当然,它们也加入了其他一些东西,但这些几乎不值得一提,因为这些东西只不过是典型的数据结构挑战或糟糕的参数化选项而已。这些是你平日里经常要面对的挑战,并不是那些即便是最有经验的开发人员也会屈服的挑战。


在过去的几个月里,我花了很多时间试图想象这个 API 背后的团队究竟是什么样子的,以及他们到底有什么样的动机来开发这样一个 API。无论你是如何看待它的,他们的初衷肯定是防止别人使用这个 API。也许,他们正在与一个其基础设施拥有数十年历史的系统交互,这一系统会因最轻微的干扰而崩溃。也许他们有很多新招来的开发人员,编写了一些非常低效的代码,而当他们探讨解决方案的时候,最后想出来的办法就是尽可能给用户设置更多障碍?或者也许他们只是丝毫没有同理心。也许当他们权衡设计决策时,可用性这一条的评分被减到了零,这样其他所有问题就都能得到最大程度的重视了。


但我认为还有另一种可能。公司都喜欢把他们的花园围起来,但在健身领域,数据可移植性是一个卖点。那么,你如何才能同时实现两者呢?你如何才能一边把你的花园圈起来,与此同时给大家指出大门的位置呢?如果是因为这样的理由,这个开发噩梦就完全可以解释清楚了。在这种情况下,认真努力地尝试编写代码来使用它的用户就是唯一的傻瓜。


原文链接:


https://chrislukic.com/2021/06/16/techniques-to-prevent-adoption-of-your-api/

2021-07-16 15:293175
用户头像
王强 技术是文明进步的力量

发布了 885 篇内容, 共 507.8 次阅读, 收获喜欢 1787 次。

关注

评论 1 条评论

发布
用户头像
洋洋洒洒 泛泛而谈,why not just show me the code?
2021-10-09 10:26
回复
没有更多了
发现更多内容

初探DispatcherServlet#doDispatch

Java 程序员 后端

前后端项目练习(整合Spring)

Java 程序员 后端

十个超酷的java谋生方式,你喜欢吗?

Java 程序员 后端

十面阿里Java岗,看我怎么吊打面试官!

Java 程序员 后端

冷门的 Java 应用程序安全沙箱机制了解一下

Java 程序员 后端

别再说你不会-JVM-性能监控和调优了,看完这篇再发言!

Java 程序员 后端

力扣前400题解答笔记,全被字节大神整理到了这份文档里

Java 程序员 后端

北上广深,2020,多少K的Java程序员应该懂高并发多线程和JVM优化

Java 程序员 后端

区块链编程七大语言,使用最多的竟是Java

Java 程序员 后端

关于Maven,这几个一定要会的知识点,你真的了解吗?

Java 程序员 后端

别再找了,这就是全网最全的SpringBean的作用域管理!

Java 程序员 后端

华为java工程师的提升程序员实力的几点建议

Java 程序员 后端

内卷严重!看看这些java核心资料,提高竞争力,争做拍死别人的后浪

Java 程序员 后端

创建型模式之建造者模式——链式调用

Java 程序员 后端

关于计算机面试重难点 之 操作系统,字节架构师有话说

Java 程序员 后端

分布式服务下,消息中间件改造

Java 程序员 后端

刚拿的字节跳动offer“打水漂”,TikTok不去了,我该何去何从

Java 程序员 后端

初识Java语言(六)- 多态、抽象类以及接口

Java 程序员 后端

初识Servlet

Java 程序员 后端

制作Docker镜像,用来编译OpenJDK11源码

Java 程序员 后端

剖根问底:Java 不能实现真正泛型的原因是什么?

Java 程序员 后端

关于电商秒杀系统中防超卖、以及高性能下单的处理方案简述

Java 程序员 后端

凭借着这份Spring面试题,我拿到了阿里,字节跳动美团的offer!

Java 程序员 后端

前华为18A架构师,总结“RabbitMQ”开发手册,已开源

Java 程序员 后端

互联网通信云盛会WICC广州站绿色报名通道开启

融云 RongCloud

动手造轮子:实现一个简单的-AOP-框架

Java 程序员 后端

关于Spring注解容器配置的那些事,掌握这几点,不再难!

Java 程序员 后端

几款常见接口管理平台对比

Java 程序员 后端

分布式架构——Gossip 协议详解

Java 程序员 后端

初次远程面试蚂蚁金服,三面过后本以为凉凉,没想到直接被录取了

Java 程序员 后端

华为初面+综合面试(Java技术面)附上面试题

Java 程序员 后端

防止你的API被人采用的4个技巧_语言 & 开发_Chris Lukic_InfoQ精选文章