book

Web API: The Good Parts

Name: Web API: The Good Parts
Author: 水野 貴明
ISBN: 9784873116860

by 水野貴明

November 2014

Intermediate to advanced

224 pages

3h 22m

Japanese

O'Reilly Japan, Inc.

Read now

Unlock full access

　大扉
　クレジット
　はじめに
　　対象読者　　本書の構成　　意見と質問　　表記上のルール　　サンプルコードの使用について　　謝辞
　第1章　Web APIとは何か
　　1.1　Web APIの重要性　　　1.1.1　APIでの利用を前提としたサービスの登場　　　1.1.2　モバイルアプリケーションとAPI　　　1.1.3　APIエコノミー　　1.2　さまざまなAPIのパターン　　　1.2.1　公開しているウェブサービスのデータや機能のAPI公開　　　1.2.2　他のページに貼り付けるウィジェットの公開　　　1.2.3　モダンなウェブアプリケーションの構築　　　1.2.4　スマートフォンアプリケーションの開発　　　1.2.5　ソーシャルゲームの開発　　　1.2.6　社内システムの連携　　1.3　何をAPIで公開すべきか　　　1.3.1　APIを公開するリスクはあるのか　　　1.3.2　APIを公開することで得られるもの　　1.4　Web APIを美しく設計する重要性　　　1.4.1　設計の美しいWeb APIは使いやすい　　　1.4.2　設計の美しいWeb APIは変更しやすい　　　1.4.3　設計の美しいWeb APIは頑強である　　　1.4.4　設計の美しいWeb APIは恥ずかしくない　　1.5　Web APIを美しくするには　　1.6　RESTとWeb API　　1.7　対象となる開発者の数とAPIの設計思想　　1.8　まとめ
　第2章　エンドポイントの設計とリクエストの形式
　　2.1　APIとして公開する機能を設計する　　　2.1.1　モバイルアプリケーション向けAPIに必要な機能　　2.2　API エンドポイントの考え方　　　2.2.1　エンドポイントの基本的な設計　　2.3　HTTPメソッドとエンドポイント　　　2.3.1　GETメソッド　　　2.3.2　POSTメソッド　　　2.3.3　PUTメソッド　　　2.3.4　DELETEメソッド　　　2.3.5　PATCHメソッド　　2.4　APIのエンドポイント設計　　　2.4.1　リソースにアクセスするためのエンドポイントの設計の注意点　　　2.4.2　利用する単語に気をつける　　　2.4.3　スペースやエンコードを必要とする文字を使わない　　　2.4.4　単語をつなげる必要がある場合はハイフンを利用する　　2.5　検索とクエリパラメータの設計　　　2.5.1　取得数と取得位置のクエリパラメータ　　　2.5.2　相対位置を利用する問題点　　　2.5.3　絶対位置でデータを取得する　　　2.5.4　絞り込みのためのパラメータ　　　2.5.5　クエリパラメータとパスの使い分け　　2.6　ログインとOAuth 2.0　　　2.6.1　アクセストークンの有効期限と更新　　　2.6.2　その他のGrant Type　　2.7　ホスト名とエンドポイントの共通部分　　2.8　SSKDsとAPIデザイン　　2.9　HATEOASとREST LEVEL3 API　　　2.9.1　REST LEVEL3 APIのメリット　　　2.9.2　REST LEVEL3 API　　2.10　まとめ
　第3章　レスポンスデータの設計
　　3.1　データフォーマット　　　3.1.1　データフォーマットの指定方法　　3.2　JSONPの取り扱い　　　3.2.1　JSONPをサポートする場合の作法　　　3.2.2　JSONPとエラー処理　　3.3　データの内部構造の考え方　　　3.3.1　レスポンスの内容をユーザーが選べるようにする　　　3.3.2　エンベロープは必要か　　　3.3.3　データはフラットにすべきか　　　3.3.4　配列とフォーマット　　　3.3.5　配列の件数、あるいは続きがあるかをどう返すべきか　　3.4　各データのフォーマット　　　3.4.1　各データの名前　　　3.4.2　性別のデータをどう表すか　　　3.4.3　日付のフォーマット　　　3.4.4　大きな整数とJSON　　3.5　レスポンスデータの設計　　3.6　エラーの表現　　　3.6.1　ステータスコードでエラーを表現する　　　3.6.2　エラーの詳細をクライアントに返す　　　3.6.3　エラー詳細情報には何を入れるべきか　　　3.6.4　エラーの際にHTMLが返ることを防ぐ　　　3.6.5　メンテナンスとステータスコード　　　3.6.6　意図的に不正確な情報を返したい場合　　3.7　まとめ
　第4章　HTTPの仕様を最大限利用する
　　4.1　HTTPの仕様を利用する意義　　4.2　ステータスコードを正しく使う　　　4.2.1　200番台: 成功　　　4.2.2　300番台追加で処理が必要　　　4.2.3　クライアントのリクエストに問題があった場合　　　4.2.4　500番台サーバに問題があった場合　　4.3　キャッシュとHTTPの仕様　　　4.3.1　Expiration Model（期限切れモデル）　　　4.3.2　Validation Model（検証モデル）　　　4.3.3　Heuristic Expiration（発見的期限切れ）　　　4.3.4　キャッシュをさせたくない場合　　　4.3.5　Varyでキャッシュの単位を指定する　　　4.3.6　Cache-Controlヘッダ　　4.4　メディアタイプの指定　　　4.4.1　メディアタイプをContent-Typeで指定する必要性　　　4.4.2　x-で始まるメディアタイプ　　　4.4.3　自分でメディアタイプを定義する場合　　　4.4.4　JSONやXMLを用いた新しいデータ形式を定義する場合　　　4.4.5　メディアタイプとセキュリティ　　　4.4.6　リクエストデータとメディアタイプ　　4.5　同一生成元ポリシーとクロスオリジンリソース共有　　　4.5.1　CORSの基本的なやりとり　　　4.5.2　プリフライトリクエスト　　　4.5.3　CORSとユーザー認証情報　　4.6　独自のHTTPヘッダを定義する　　4.7　まとめ
　第5章　設計変更をしやすいWeb APIを作る
　　5.1　設計変更のしやすさの重要性　　　5.1.1　外部に公開しているAPIの場合　　　5.1.2　モバイルアプリケーション向けAPIの場合　　　5.1.3　ウェブサービス上で使っているAPIの場合　　5.2　APIをバージョンで管理する　　　5.2.1　URIのバージョンを埋め込む　　　5.2.2　バージョン番号をどう付けるか　　　5.2.3　バージョンをクエリ文字列に入れる　　　5.2.4　メディアタイプでバージョンを指定する方法　　　5.2.5　どの方法を採用するべきか　　5.3　バージョンを変える際の指針　　　5.3.1　常に最新版を返すエイリアスは必要か　　5.4　APIの提供を終了する　　　5.4.1　ケーススタディ: Twitterの場合　　　5.4.2　あらかじめ提供終了時の仕様を盛り込んでおく　　　5.4.3　利用規約にサポート期限を明記する　　5.5　オーケストレーション層　　5.6　まとめ
　第6章　堅牢なWeb APIを作る
　　6.1　Web APIを安全にする　　　6.1.1　どんなセキュリティの問題があるのか　　6.2　サーバとクライアントの間での情報の不正入手　　　6.2.1　HTTPSによるHTTP通信の暗号化　　　6.2.2　HTTPSを使えば100%安全か　　6.3　ブラウザでアクセスするAPIにおける問題　　　6.3.1　XSS　　　6.3.2　XSRF　　　6.3.3　JSONハイジャック　　6.4　悪意あるアクセスへの対策を考える　　　6.4.1　パラメータの改ざん　　　6.4.2　リクエストの再送信　　6.5　セキュリティ関係のHTTPヘッダ　　　6.5.1　X-Content-Type-Options　　　6.5.2　X-XSS-Protection　　　6.5.3　X-Frame-Options　　　6.5.4　Content-Security-Policy　　　6.5.5　Strict-Transport-Security　　　6.5.6　Public-Key-Pins　　　6.5.7　Set-Cookieヘッダとセキュリティ　　6.6　大量アクセスへの対策　　　6.6.1　ユーザーごとのアクセスを制限する　　　6.6.2　レートリミットの単位　　　6.6.3　制限値を超えてしまった場合の対応　　　6.6.4　レートリミットをユーザーに伝える　　　6.6.5　レートリミットもAPIで利用可能にする　　6.7　まとめ
　付録A　Web APIを公開する際にできること
　　A.1　APIドキュメントの提供　　A.2　サンドボックスAPIの提供　　A.3　APIコンソール　　A.4　SDKの提供

　付録B　Web APIチェックリスト
　著者紹介
　奥付

Content preview from Web API: The Good Parts

2章エンドポイントの設計とリクエストの形式

本章からいよいよ具体的なAPI設計のルールや方法について見ていくことにします。Web APIを公開するにあたっては、まずは何をAPIとして公開するのか、そしてどういったAPIとして公開するのかを考えなければなりません。まずはそのための公開する機能の決定と公開するエンドポイントの決め方、およびエンドポイントの設計について考えてみることにします。

2.1　APIとして公開する機能を設計する

APIを公開するにあたってはまず、APIとして何を公開するのかを決めなければなりません。そこでここではあなたがごく簡単なSNSサービスを作っていると仮定して、実際にどんなAPIを作るべきかを考えてみましょう。あなたが開発しているSNSサービスは表2-1のような機能があり、ウェブ、あるいはモバイル向けのクライアントアプリケーションを経由して操作することができます。あなたは公開するAPIを自分で開発を行うモバイルアプリケーションからのアクセスだけでなく、広く一般に公開してユーザーが利用できるものとしたいと考えています。

表2-1　SNSサービスの機能

機能
ユーザー登録、編集
友達の検索、追加、削除
友達の間でのメッセージのやりとり

では、この場合どういうAPIを用意すればよいでしょうか。

非常にシンプルにAPIを設計する方法として、サービスが利用するデータベースのテーブルを直接操作するようなものを作ることもできます。たとえばこのSNSサービスの場合は、ユーザー、友達のソーシャルグラフ情報、タイムラインの3つのテーブルが存在していると思われるので、それらをそれぞれ検索、編集できるようにすれば、サービスの操作は一応できてしまいます。

しかしそんなSQL文をただ包んだだけの設計では決して使いやすいAPIにはなりません。なぜならそんなAPIでは、データが内部的にどのように格納されているか、どういうリレーションを持っているかなどを理解していないと使うことができませんし、そもそもそんな内部構造を公開してしまうことはセキュリティを考えても大変危険なことだからです。したがってAPIはもう少し高い次元での機能を表すものである必要があります。 ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Principles of Web API Design: Delivering Value with APIs and Microservices

Publisher Resources

ISBN: 9784873116860Other

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

Web API: The Good Parts

by 水野貴明

2章エンドポイントの設計とリクエストの形式

2.1　APIとして公開する機能を設計する

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.