AICon日程100%就绪,9折倒计时最后一周 了解详情
写点什么

穷人的 API

  • 2023-02-16
    北京
  • 本文字数:3024 字

    阅读完需:约 10 分钟

穷人的 API

创建成熟的 API 需要资源,包括时间和金钱。你需要考虑模型、设计、REST 原则等方面的东西。大多数情况下,你不知道这样做是否值得:你只是想要做出一个最小可行性产品,然后基于这个产品开始迭代。现在,我想向你展示如何在不编写一行代码的情况下实现它。

解决方案

 

解决方案的主要要求是使用 PostgreSQL 数据库,这是一个功能完善的开源 SQL 数据库。

 

我们不编写 REST API,而是使用 PostgREST 组件。

 

PostgREST 是一个独立的 Web 服务器,可以将 PostgreSQL 数据库直接转换成 REST API。数据库的结构约束和权限决定了 API 有哪些端点和操作。

 

—— PostgREST 官网

 

我们将在一个简单的场景中使用它。下面是一张我想通过 CRUD API 暴露出来的 product 数据表。


PostgREST 的入门指南(https://postgrest.org/en/stable/tutorials/tut0.html)提供了完整的内容,不过我没有找到现成的 Docker 镜像,所以自己创建了一个。

 

Dockerfile:


  1. 基于最新的 Debian。

  2. 参数化构建。

  3. 获取二进制包。

  4. 安装依赖项并解压二进制包。

 

Docker 镜像的/postgrest 文件夹中有一个 postgrest 可执行文件。我们可以通过 Docker Compose 来“部署”。

 

docker-compose.yml:



  1. 构建上面的 Dockerfile。

  2. 共享配置文件。

  3. 运行 postgrest 可执行文件。

  4. 使用配置文件。

  5. 初始化 Schema、权限和数据。

 

这个时候,我们可以查询 product 表:

curl localhost:3000/product
复制代码

 

我们会立即得到结果:

[{"id":1,"name":"Stickers pack","description":"A pack of rad stickers to display on your laptop or wherever you feel like. Show your love for Apache APISIX","price":0.49,"hero":false}, {"id":2,"name":"Lapel pin","description":"With this \"Powered by Apache APISIX\" lapel pin, support your favorite API Gateway and let everybody know about it.","price":1.49,"hero":false}, {"id":3,"name":"Tee-Shirt","description":"The classic geek product! At a conference, at home, at work, this tee-shirt will be your best friend.","price":9.99,"hero":true}]
复制代码

 

真是立竿见影!

改进解决方案

 

虽然这个解决方案是有效的,但还有很大的改进空间。例如,虽然用户不能修改数据,但每个人都可以访问到它。对于产品相关的数据,这可能不是一个大问题,但对于医疗数据呢?

 

PostgREST 文档提到了这个问题,并明确建议使用反向代理:

 

PostgREST 是快速构造 REST API 的一种方法,默认情况下非常适合用于构建开发脚手架。它也可以进入到生产环境,只要你需要采取一些预防措施。PostgREST 只是一个用于实现 API 到数据库映射的小工具,我们需要依靠像 Nginx 这样的反向代理来提供额外的安全性保障。

 

—— PostgREST 官网

 

不过我们没有使用 Nginx,而是一个成熟的 API 网关——Apache APISIX。我们把它添加到 Docker Compose 中。

 

docker-compose.yml



  1. 使用 Apache APISIX。

  2. APISIX 将配置存储在 etcd 中。

 

我们先配置 Apache APISIX,用它来代理对 postgrest 的调用:



  1. 应该运行在其中一个 Docker 节点上,因此使用 Docker 镜像名称。或者也可以使用 localhost,但一定要公开端口。

  2. 创建可重用的上游。

  3. 指向 PostgREST 节点。

  4. 创建到上游的路由。

 

现在,我们可以通过 APISIX 来查询端点:

curl localhost:9080/product
复制代码

 

它返回与之前相同的结果。

DDoS 攻击保护

 

我们还没有加入任何东西,不过我们已经做好准备了。我们首先需要保护 API 免受 DDoS 攻击。Apache APISIX 是基于插件架构而设计的,为了防止 DDoS 攻击,我们将使用一个插件。我们可以在创建路由时设置插件,也可以在每个路由上设置插件。如果是第二种情况,就变成了全局规则。我们希望默认保护每一个路由,因此我们将使用第二种方式。



  1. limit-count 限制一个时间窗口内的调用次数。

  2. 限制为每 5 秒调用 1 次,这只是为了演示。

  3. 返回“429 Too Many Requests”,默认值为 503。

 

现在,如果我们发送了太多请求,Apache APISIX 会保护上游:

 

curl localhost:9080/product

<html><head><title>429 Too Many Requests</title></head><body><center><h1>429 Too Many Requests</h1></center><hr><center>openresty</center></body></html>
复制代码

 

路由授权

 

PostgREST 还提供了一个 root 的 Open API 端点,因此我们有两个路由:/用于遵循 Open API 规范,/product 是产品的相关端点。假设我们想禁止未经授权的人访问我们的数据,即普通用户可以访问产品信息,admin 用户可以访问 Open API 规范和产品信息。

 

APISIX 提供了几种身份验证方法。我们将使用最简单的 key-auth。它依赖了消费者抽象,key-auth 需要一个特定的标头:插件对标头中的值进行反向查找,并找到对应的消费者。

 

下面演示如何创建一个消费者:



  1. 创建新的消费者。

  2. 消费者的名字。

  3. 消费者的键值。

 

我们也为消费者 user 和键 user 做同样的事情。现在,我们可以创建一个路由并配置它,只让来自 admin 的请求通过:



  1. 创建一个新的路由。

  2. 使用 key-auth 和消费者限制插件。

  3. 只有管理员认证的请求才能调用路由。

 

我们来尝试一下:

curl localhost:9080
复制代码

 

无法调用,因为我们没有通过 API 标头进行身份验证:

{"message":"Missing API key found in request"}
复制代码

 

curl -H "apikey: user" localhost:9080
复制代码

 

也无法调用,因为我们使用了 user 的身份,但路由只授权给了 admin 身份。

 

{"message":"The consumer_name is forbidden."}
复制代码

 

curl -H "apikey: admin" localhost:9080
复制代码

 

这一次,它像预期的那样返回 Open API 规范。

监控

 

任何一个软件系统都有一个被低估的特性,那就是监控。在将组件部署到生产环境中后,我们就必须监控其运行状况。现在,我们有许多服务可用于监控。我们将使用 Prometheus,因为它是开源的,经过了实战的考验,并已被广泛使用。为了显示监控数据,我们将使用 Grafana。我们把组件添加到 Docker Compose 文件中。

 

docker-compose.yml


  1. Prometheus 镜像。

  2. Prometheus 的配置。可以在这里(https://github.com/ajavageek/poor-man-api/blob/master/prometheus/prometheus.yml)查看完整的文件。

  3. Grafana 镜像。

  4. Grafana 的配置。其中大部分来自 APISIX 提供的配置(https://github.com/apache/apisix/blob/master/docs/assets/other/json/apisix-grafana-dashboard.json)。

  5. 将默认端口 3000 改为 3001,避免与 PostgREST 服务冲突。

 

有了监控基础设施之后,我们只需要 APISIX 按照 Prometheus 期望的格式提供数据即可。我们可以通过配置和一个新的全局规则来实现。

 

config.yaml


  1. 绑定到任意地址。

  2. 绑定到 9091 端口。Prometheus 的指标信息可参考http://apisix:9091/apisix/prometheus/metrics

 

我们可以创建全局规则:

curl http://apisix:9080/apisix/admin/global_rules/2 -H 'X-API-KEY: 123xyz' -X PUT -d '{  "plugins": {    "prometheus": {}  }}'
复制代码

 

发送几个查询并打开 Grafana 仪表板,看起来应该像这样:



结论

 

创建一个完整的 REST API 是一项巨大的投资。我们可以通过 PostgREST 将数据库暴露成 CRUD API,进行快速简单的测试。当然,这样的架构并不适用于生产环境。

 

要解决这个问题,我们需要在 PostgREST 前面设置一个门面,可以是反向代理或 API 网关。Apache APISIX 提供了很多特性,包括授权和监控等。有了它,我们就可以用较低的成本快速验证 API 需求。

 

在验证了需求后,我们可以保留现有的门面,并用定制开发的 API 替换 PostgREST。

 

这篇文章相关的完整源代码可以在 Github(https://github.com/ajavageek/poor-man-api)上找到。

 

原文链接:

https://blog.frankel.ch/poor-man-api/


推荐阅读:

一个架构师在 2023 年需要掌握哪些“必杀技”?

2023-02-16 14:243272

评论 1 条评论

发布
用户头像
内容写的不错,期待合作
2023-02-16 17:53 · 北京
回复
没有更多了
发现更多内容

在vue的v-for中,key为什么不能用index?

bb_xiaxia1998

Vue

字节前端必会vue面试题集锦

bb_xiaxia1998

Vue

社招前端二面必会手写面试题总结

helloworld1024fd

JavaScript

大数据开发培训怎么来选择?

小谷哥

前端一面必会手写面试题(边面边更)

helloworld1024fd

JavaScript

学习java技术哪些方法比较靠谱

小谷哥

写过vue自定义指令吗,原理是什么?.m

bb_xiaxia1998

Vue

构建自组织团队,让敏捷管理更好地落地

敏捷开发

项目管理 敏捷开发 项目管理软件 自组织

从零到一手写迷你版Vue

helloworld1024fd

JavaScript

我在京东做研发 | 京东云算法科学家解析爆火的ChatGPT

京东科技开发者

AI 技术 算法 经验分享 ChatGPT

2023前端二面必会vue面试题指南

bb_xiaxia1998

Vue

支付系统就该这么设计(万能通用),稳的一批!

Java全栈架构师

程序员 面试 支付系统 架构设计 架构师

web前端开发培训怎么入门

小谷哥

聚焦技术创新实力,时序数据库 TDengine 荣登中国技术先锋年度评选两大榜单

TDengine

数据库 tdengine 时序数据库

软件测试/测试开发 | 相比 Selenium,Web 自动化测试框架 Playwright 有哪些强大的优势?

测试人

软件测试 测试框架 测试开发 playwright Web自动化测试

FLStudio水果萝卜最新汉化21版本下载

茶色酒

flstudio FLStudio21 FLStudio21.0.0

【从零开始学爬虫】采集食品行业最新报价数据

前嗅大数据

数据采集 爬虫软件 爬虫案例 爬虫入门教程 爬虫分享

一步步实现React-Hooks核心原理

helloworld1024fd

JavaScript

cookie、session,、token,还在傻傻分不清

华为云开发者联盟

前端 华为云 企业号 1 月 PK 榜

架构实战 - 模块 6 作业

mm

#架构实战营 电商微服务分析

简单几种云成本优化方法讲解-行云管家

行云管家

云计算 云成本 云支出

乐视每周工作四天半?我们也可以

不想敲代码

程序员 效率工具 协同办公

阿里云办公安全产品专家高传贵:零信任,让全球办公安全更简单

云布道师

阿里云

学习前端技术选择培训还是自学比较好?

小谷哥

培训大数据技术怎么学

小谷哥

TiDB 事务与锁整理

TiDB 社区干货传送门

TiDB 底层架构 TiKV 底层架构

DM 数据旅程 01:序言 + 第一次 start task

TiDB 社区干货传送门

迁移

FinClip 12 月大事件 | IDE支持小游戏开发调试和预览

FinClip

小游戏引擎如何选?看完这篇就够了

FinClip

Java中不可或缺的关键字「volatile」

小小怪下士

Java 程序员 volatile

2023年新云南等级保护测评机构名录!

行云管家

等保 等级保护 等保测评机构

穷人的 API_语言 & 开发_Nicolas Frankel_InfoQ精选文章