一、协作流程规范
在团队协作中,每个人都会提交git commit message,但是由于每个人的开发风格和书写习惯的不同,导致git提交五花八门,不利于维护和阅读。一般来说,大厂都一套自己的代码提交规范的,尤其是在开源项目中,代码提交规范都是一致的。
1、需求分析。确保大家对需求有一致的认知
2、设计接口文档。前端需要确认是否符合要求
3、并行开发。前端需要根据接口文档进行Mock, 模拟对接后端接口;联调之前,要求后端做好接口测试
4、真实环境联调。前端将接口请求代理到后端服务,进行真实环境联调。
二、接口规范
2.1 接口风格:
RESTful —— 推荐
JSONRPC
2.1.1 RESTful
标准格式
http(s)://server.com/app-name/{version}/{domain}/{rest-convention}
用法
GET
GET /api/teams (对应团队列表)
GET /api/teams/123 (对应 ID 为 123 的团队)
GET /api/teams/123/members (对应 ID 为 123 的团队下的成员列表)
GET /api/teams/123/members/456 (对应 ID 为 123 的团队下 ID 为 456 的成员)
POST
用于创建资源,或者特殊资源提交(如文件上传/下载)
POST /api/teams/123/members/456 (新增ID 为 123 的团队下 ID 为 456 的成员信息)
body参数{name:'xxx'}
POST /api/teams/123/members/456 (下载ID 为 123 的团队下 ID 为 456 的成员信息)
POST /api/teams/123/members/456 (上传ID 为 123 的团队下 ID 为 456 的成员信息)
body参数{file:formData}
UPDATE(PUT和PATCH)
PUT 用于更新资源的全部信息,在请求的 body 中需要传入修改后的全部资源主体
PATCH 用于局部更新,在 body 中只需要传入需要改动的资源字段。
POST /api/teams (创建团队)
POST /api/teams/123/members (创建团队ID 为 123 的成员)
PUT /api/teams/123/members/456 (更新ID 为 123 的团队下 ID 为 456 的成员全部信息)
PATCH /api/teams/123/members/456 (更新ID 为 123 的团队下 ID 为 456 的成员部分信息)
DELETE
// 单个删除
DELETE /api/users/123
// 批量删除
DELETE /api/users
body参数{ids:[]}
HEAD
获取一个资源的元数据,如数据的哈希值或最后的更新时间。
OPTIONS
获取客户端能对资源做什么操作的信息
过滤
?limit=10:指定返回记录的数量
?offset=10:指定返回记录的开始位置。
?page=2&size=100:指定第几页,以及每页的记录数。
?sortby=name&order=asc:指定返回结果按照哪个属性排序,以及排序顺序。
?keyname=1:指定筛选条件复制代码
其他规范:
规则1:URI结尾不应包含(/)
规则2:正斜杠分隔符(/)必须用来指示层级关系
规则3:应使用连字符(-)来提高URI的可读性
规则4:不得在URI中使用下划线(_)
规则5:URI路径中全都使用小写字母
2.2 注意点:
明确数据类型。例如数字应为Int或Float类型,而非String类型
明确空值的意义。比如在做更新操作时,空值是表示重置,还是忽略更新
明确默认值。对象类型的返回空对象{}, 数组类型的返回空数组[],字符串类型的返回空字符串"",Number和Boolean类型的返回null
对于大数字(如Java的long 类型,整数类型大于16位浮点数类型大于18位),返回给前端时需要设置为字符串类型, 防止js发生溢出
关于日期时间格式
对于需要前端再次处理的日期值, 可以使用时间戳
对于纯展示用的日期值, 推荐返回格式化文本, 例如: 2017年1月1日或2017-01-01 20:00:00
对于日期时间需要排序时,返回时间戳或者格式化的包含毫秒数的文本
建议同时返回时间戳的原始值(或 ISO 标准格式)和用于统一显示的格式化文本,例如: {"createTime": 1543195480357, "createTimeText": "2018年11月26日"}
关于分页
分页计数,从1开始
避免滚动加载可能出现的重复数据,采用 lastId 分页方式
图片URL
图片的 URL 建议返回完整的 URL,协议为HTTP时可省略协议
文件上传/下载
文件上传限制默认最大为10M
文件上传类型默认支持:
文档类:doc、docx、xls、xlsx、ppt、pptx、pdf、txt
图片类:jpg、jpeg、png、gif
其他:zip、rar
多文件上传不支持IE9及以下版本浏览器
图片上传服务器前需先在前端压缩,默认控制在400万以下像素或2560*1440及以下分辨率
响应避免冗余的嵌套
接口版本化,保持向下兼容;接口不兼容时需升级版本
建议使用Swagger等工具,避免人工维护可能导致的代码和文档不同步
鉴权通过header实现
同时给出 ID 字段和用于显示字段时,前端提交只提交ID字段
2.3 接口文档规范
后端通过接口文档向前端暴露接口相关的信息。通常需要包含这些信息:
版本号
文档描述
服务的入口,例如协议、域名、基本路径
测试服务器,可选
简单使用示例
安全和认证
具体接口定义
方法名称或者URI
方法描述
请求参数及其描述,必须说明类型(数据类型、是否可选等)
响应参数及其描述, 必须说明类型(数据类型、是否可选等)
可能的异常情况、错误代码、以及描述
请求示例,可选
2.3.1 Header
Content-Type
application/json 默认
application/x-www-form-urlencoded 表单提交/APP请求
Authorization
Basic XXXXXXXX
Bearer XXXXXXXX
Cookie
openid = hash(appid+uid)
Expires 过期时间,默认为0
Referer 之前页面URL,跳转第三方地址需要此参数
lang 多语言
zh_cn
zh_hk
en_us
2.3.2 请求参数
4种类型:
1、cookie: 一般用于OAuth认证
2、Request Header: 一般用于OAuth认证
3、请求body数据
4、地址栏参数: 详见【2.1.1过滤】
2.3.3 响应参数
response Demo
-
表示不必须
{status: 200, // 详见【status】
data: {
code: 10000, // 返回码,详见【4.3.2 公共响应参数】
msg: '成功', // * 返回码描述
sub_code: 'success', // 明细返回码
sub_msg: '', // * 明细返回码描述,显示给客户端用户【须语义化中文提示】,code不为10000时均需toast提示
sysMsg: '', // * 提示,调试使用,可包括中英文数字及特殊符号
result: [], // 返回的数据结果对象,可根据需要定义
page: {
current: 1, // * 当前页,从1开始 size: 10, // * 每页记录数 total: 100 // * 总记录数}
},
message: '成功', // 提示,显示给客户端用户【须语义化中文提示】
sysMessage: 'success' // * 提示,调试使用,中英文都行
}
2.4 转义与编码
编码规则:encodeURIComponent 与 decodeURIComponent
URI特殊字符需转义
特殊字符及转义符号
特殊字符
转义后的符号
+
%2B
空格
%20
/
%2F
?
%3F
%
%25
#
%23
&
%26
=
%3D
!
%21
第三方回调页面URI需反转义,如:支付宝支付成功回调页面
URI汉字需转为Unicode码
2.5 加密
首选HTTPS,其中以下项目要求必须为HTTPS
APP
微信公众号和小程序
使用第三方API(如海康、高德等)
HTTP项目需要对关键敏感信息进行加密处理,HTTPS项目不做要求
账号、密码
账号、密码禁止明文传输,如admin等
密码加密策略:
方法一
服务器端存储密码为Hash(Random-Salt + Hash(Constant-SALT + Pasword))
客户端传输密码为Hash(Constant-SALT + Password)
Random-Salt为用户的随机盐,每个用户均不同,服务器端收到客户端的hash密码后,在将其与用户随机盐一起Hash运算,从而将结果与数据库存储值相比较。
优点:数据库存储的密码经过两层哈希,且其中包含了固定盐和用户随机盐,安全性较高。
缺点:客户端传输的密码虽然经过了一层哈希,但是使用固定盐值,因此相同密码生成的结果均一致,容易收到重放攻击。
方法二
服务器端存储密码为Hash(Constant-SALT + Pasword)
客户端传输密码为Hash(Random-Salt + Hash(Constant-SALT + Password))
Random-Salt为每次进入登陆页面时生成的随机盐,此处主要是为了防止重放攻击,作用类似与nonce 服务器收到客户端上传的hash之后的密码,根据用户ID取出服务器存储的密码,并通过与之前返回客户端的Random-Salt(可存储于Session中)进行Hash运算,从而与客户端上传的密码进行比较。
优点:客户端有效的防止了重放攻击。
缺点:在前端代码中,固定盐值暴露,一旦后台数据库被攻破,用户密码信息将有危险。
加密库:
MD5
crypto-js
手机号、银行卡号、姓名等私密信息
通用加密策略:
Hash(Constant-SALT + Pasword)
Random-Salt为每个应用or业务系统的随机盐,与其他细节加密字段进行Hash运算后再跳转。
数字加密策略:
转换进制,如:
// 加密
const mask = (+phone).toString(28)
// 解密
const phone = parseInt(mask, 28)
手机号、银行卡号加密策略:
方法一
参考上文数字加密策略
方法二
参考上文通用加密策略
姓名、邮箱、住址等加密策略:
参考上文通用加密策略
第三方跳转时URI加密
加解密策略
参考上文通用加密策略
2.6 跨域
CORS 实现
三、接口测试与模拟
3.1 工具:
RESTful
Swagger 这是最为接近上面理想模型的一个解决方案
JSON Server 快速生成JSON mock服务器
Easy Mock 可视化的、在线的接口mock服务
Yapi接口平台 支持本地部署
GraphQl
GraphQL Faker
graphql-tools
模拟数据生成
js 强大的模拟数据生成工具,支持Node和浏览器
js 数据生成和模拟工具
四、 附录
4.1 公共状态码(status)