开放平台的openapi设计-朱念洋-v4

开放平台的OpenAPI设计朱念洋2011-10-06OpenAPI是什么数据服务应用平台OpenAPI存储API安全API监控API好友动态好友关系个人资料支持类业务类易用性可用性安全性易用性开发者的抱怨•加密算法从没有听过！•从其他平台迁移过来好难啊！•说明文档看不懂！解决•尽量业界统一（URL、参数、返回、加密）•完善的wiki•开发者论坛•专业客服改让你解脱！全部一致•同样的URL！•同样的参数、返回格式！•同样的调用地址！•获取个人信息:/user/info•获取用户签名:/user/emotion•获取好友列表:/relation/friends•是否好友:/relation/is_friend•…一点接入四平台全部上线应用无需改动一行代码HOW?可用性服务器繁忙服务器繁忙服务器繁忙服务器繁忙服务器繁忙服务器繁忙服务器繁忙某机房异常！怎么解决•DNS变更？•应用自己变更调用IP？真正解决内网DNS内网DNS•即时生效•应用无感知•就近访问•安全性高应用BOpenAPI机房BOpenAPI机房A应用A应用BOpenAPI机房B内网DNS某server异常单点主调server被调server3主调server被调server1被调server2被调server3优化前被调server3主调server被调server1被调server2被调server3异步化动态IP分配优化后总结•无单点•异步化•负载均衡，过载保护•容灾还能不能再优化？柔性服务！在能容忍的最长时间内将最重要的事做完1234重要次要高枕无忧？最长超时设为多少？EMA算法！0100200300400500600TmaxTavgThwmEMATdto响应时间下限平均相应时间响应时间上限动态超时时间最大弹性时间还有什么•自动化测试•告警策略全面的告警•OpenAPI调用访问量、失败率•应用调用OpenAPI的访问量、失败率•各级server之间调用的失败率告警•CGI内部模块调用告警•自动化测试告警•基础服务告警后台架构图安全性平台登录应用登录？平台登录应用1登录应用2登录模拟用户登录用户应用数据泄漏平台登录+应用ID应用登录（openid+openkey）平台登录应用1登录应用2登录详细鉴权•应用授权•频率限制•用户授权•用户登录态•安全限制应用API用户应用IP用户IP安全审计纬度•应用健康度分析•反外挂协助应用前台OpenAPI•好友邀请•跳转好友首页•支付•……应用如何加载平台的js？直接加载js？•长Cache，不改变文件名无法升级•改变文件名，需要第三方变更谢谢大家！Q&A附Oauth与OpenKey应用平台请求授权用户授权请求资源分配资源业务特性决定选择•用户点击应用列表进入•用户在线时间较短•应用嵌套在平台iframe中OpenKey特点•默认30分钟过期，但可续期•有最长续期时间•用户授权后只跳转腾讯域名URLOpenKey更适合•与平台登录无缝结合•应用编码更简单，只关心业务逻辑