api - 使用 Apigee 或类似代理服务时，我的后端 API 服务器需要(不需要)什么？

Question

下面是我的场景:我正处于为我的初创企业规划/实现 API 的早期阶段。所述 API 是我们战略的基础。耶!

我希望使用 Apigee(或类似工具)来处理所有脏细节(安全、节流等)，因此我不需要自己实现所有这些。

我无法完全找到的是使用此策略我的后端 API 服务器应该做(更重要的是，不应该做)的推荐列表。

更多技术细节:我计划在我的后端使用 Nginx/FastCGI/Qt/C++，也许不相关。对此后端的调用将完全通过代理 (Apigee)。我将拥有自己的客户端网站和内部应用程序，使用 API 作为 dogfood。

我正在寻找的是在使用 Apigee 之类的东西作为整体策略的基本组成部分时实现 API 方面的最佳实践指南。我不想重新发明任何轮子(或者搬起石头砸自己的脚)!

这甚至是正确的方法吗？

谢谢大家!!

Answer 1

在流程中放置功能的位置通常是上下文相关的，但在每个代理中放置一些简单的东西:

1) key 管理:使用 Apigee 管理您的 API key 并创建您的访问 token 可以为您带来一些好处；未经授权的应用程序的第一道防线和关于开发人员正在做什么的自动分析(从一个应用程序中获得高错误率？联系他们并帮助他们主动解决问题)。

2) 基本安全策略:一旦您知道允许应用程序访问您的 API，就应该在 Apigee 层上运行一些简单的安全策略。有效载荷实现(JSON 和 XML 威胁保护，用于阻止 SQL 注入(inject)或其他侵入性代码之类的正则表达式)。您还可以根据 API key 设置配额(不同的开发人员根据您与其 key 关联的产品获得不同级别的访问权限)。您还希望设置尖峰抑制以防止 API 流量压倒目标服务器。

3) 响应管理:确保删除与 API 契约(Contract)无关的不必要的响应 header (cookie、服务器版本等)。无需告诉您的应用程序开发人员您的目标架构，但有时很难从应用程序服务器中抑制这些 header 。您可能还需要规则来阻止来自目标服务器的意外响应(例如，可能包含堆栈跟踪的 500 错误)。

4) 缓存:在 Apigee 中缓存响应的能力引发了许多其他“在哪里做”的问题。但是，能够从 Apigee 返回缓存响应可以将延迟时间缩短数百毫秒，从而提高每秒事务处理速度和开发人员/消费者的满意度。现在的问题是，在不访问目标服务器的情况下，您可以获得多细粒度的缓存响应。

除此之外，它变成了“在哪里最容易和最有效地完成一项任务？”例如，JSON 到 XML 之类的操作在 Apigee 中很容易，但在后端服务器上可能运行的其他平台中也很容易。