对外开放接口需要注意哪些地方？

最近公司有对外的业务，想新开发几个开放的接口，以前没有过相关经验，来请教下各位。

查了一下，目前考虑到的有

IP 白名单
APPID 机制，给外部调用方提供对应的 appid 和 secret
接口签名，md5 加密 str：参数 1={参数 1}&参数 2={参数 2}&……&参数 n={参数 n}$key={用户密钥};
接口限流？
https 协议

以上是否都需要呢？

NessajCN

41 天前

ip 白名单看情况，面向公众的就别了，没必要
appid 这些是接口内验证用的，叫啥名无所谓，这个要
接口签名跟上面这个重复了，纯折腾开发者还是别了
限流这个是付费相关的，根据实际需求来
https 是标配了，不过这个跟接口本身没啥关系，是传输层的

yule111222

41 天前

建议用标准 oauth2 ，不要抄国内那些乱七八糟的
标准 oatuh2 强制要求 https ，也不需要接口签名，纯脱裤子放屁

javalaw2010

41 天前

看起来不是专门做 open api 的业务，预计未来这方面的业务不会很大的话，就简单处理，IP 白名单没必要，APPID 简化为一个 token 让对方保存好丢到 header 里面。接口签名没必要，接口限流根据实际业务做一下，https 标配了没的说。

yuanmomo

41 天前

access log ，监控响应状态和耗时

服务 health 监控

一般入参和响应会有日志，有助于排查日志（这个主要看请求量，不然日志就太多了）

接口幂等

所有参数验证，不相信客户端的所有数据

接口有一个参数，时间戳，后端优先校验时间戳，跟当年时间误差超过多大的不处理

afxcn

41 天前

我们就搞了个 accessToken, 再根据权限来管理哪些 api 可以调。

https 是必需的了吧

flyqie

40 天前

@NessajCN #1

APPID 机制跟接口签名他俩实际做的时候貌似是合到一起的吧？

我们是这么做的。

header 里传 appid 和 sign: md5(请求体+secret)

crazyweeds

40 天前

appid+appid 级别的限流，其他不是很有必要。
其他如果你觉得必要，那么你做好 SDK ，而不是微信一样，就提供文档。因为你无法做到微信那种，只管拉 X ，不管擦。出现问题，你还得配合调试，徒增烦恼。
当然，可以刷 KPI ，毕竟现在老板不是喜欢员工看上去很忙么，满足老板的愿望。效率低？那不是你管的事情。

layxy

40 天前

你说的都需要,ip 白名单可以限制调用访,appid 机制可以记录调用方是谁,接口签名可以验证数据是否伪造(最好加时间戳),限流可以控制调用,https 协议是必须得,否则你需要自己提供报文加解密

bianhui

40 天前

我觉得规范和文档最重要，你说的那些安全啥的，外面包一层权限验证关网就都搞定了。

jipfqf

40 天前

分页参数尽可能指定范围，而不是接口想查 1000 条就返回 1000 条，爬无数 api 得来的经验

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1027780

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.