14 a 16 de dezembro - DesenvolvendoAPIs públicas ......2017 -@babadopulos autenticação...

www.tail.digital

Desenvolvendo APIs públicas:exposição de serviços

com escalabilidade e segurança

Fernando Babadopulos@babadopulos

2017- @babadopulos www.tail.digital

motivação

FRONT-ENDBACK-ENDANÁLISEDENEGÓCIO


motivação

MANTERASAPISATUALIZADAS


motivação

FUTUREPROOF


api first

VANTAGENS


api first

CORE APIs

DASHBOARD

SISTEMASINTERNOS

APLICAÇÕESEXTERNAS


api first

CORE API

DASHBOARD

SISTEMASINTERNOS


CORE

APIs

DASHBOARD

SISTEMASINTERNOS



mock

MOCKSERVER

FRONT-END BACK-END

ANÁLISEDENEGÓCIO


mock

http://www.mock-server.com/new MockServerClient("127.0.0.1", 1080)

.when(request()

.withMethod("POST")

.withPath("/login")

.withBody(exact("{username: 'foo', password: 'bar'}"))).respond(

response().withStatusCode(200).withHeaders(

new Header("Content-Type", "application/json; charset=utf-8"),).withBody("{ code: 200 }")

);


URL:GET/api/v3/users/10

CustomRequestHeader:GET/api/users/10”api-version: 3”

AcceptHeader:GET/api/users/10”Accept:application/vnd.mycompany.api.v3+json”

versionamento


Login/Senha

OAUTH

HMAC + Tokens

autenticação


autenticação

Aplicaçãodeterceiro

{API}

autenticarousuárioeaaplicaçãodeterceiro


autenticação

UsuárioUsernamePassword

Application IDApplication Secret

Aplicaçãodeterceiro


HMAC: Hash-based Message Authentication Code

/api/v3/security/authenticate?hmac={HMAC}

POST:{

"credential":{"applicationId":"a8e6db30-xxxx-xxxx-xxxx-xxxxxxxc9a66”"username":"[email protected]","utcTimestamp":1481252820

}}

autenticação


SALTED_SECRET=sha512(password)+applicationSecret

HMAC=hash_hmac_sha1(SALTED_SECRET,POST)

/api/v3/security/authenticate?hmac={HMAC}

RETURN:{

"status": 200,"message": ”ok","accessToken": "fe13xxxx-xxxx-xxxx-xxxx-xxxxd69f7834”

}

autenticação


Sempre utilizeSSLem suas APIS.

Não redirecione chamadas httpparahttps.

segurança


verbos http

POST GET PUT PATCH DELETE

curl -X GET https://example.com/api/v3/something


Aproveite os códigos HTTP!

códigos de retorno

{"code":200,"message":"ok","data":[…]

}

{"code":404,"message":"notfound","data":[]

}


200

códigos de retorno

OK


404

códigos de retorno

Not Found


503

códigos de retorno

ServiceUnavailable


418

códigos de retorno

I’m ateapot


json

{API}POST JSON RESPONSE JSON


limite o retorno de sua API

?fields=id,description,size,color

{"id":1597,"description":"T-Shirt","size":"medium","color":"orange”

}


Teste unitáriovs

Teste de integração

testando a api


teste com docker

$docker-compose up


docker-compose


documentação


auto coding


java client


sandbox

Facilite a vida do desenvolvedorque vai consumir a sua API.


deploy

{API}:8080 {API}:8081


deploy

{API}:8080 {API}:8081

http {upstream app_pool {

server localhost:8080fail_timeout=1m;server localhost:8081fail_timeout=1m;

}server {

listen 80;location / {

proxy_pass http://app_pool;}

}}


monitoramento

Quanto mais sucesso tiver a sua API,mais sistemas você pode quebrar!


escalabilidade

{API}:8080 {API}:8081 {API}:8080 {API}:8081 {API}:8080 {API}:8081

AWSLOADBALANCER


limitando as requisições

{API}:8080 {API}:8081

http {limit_req_zone $binary_remote_addr zone=one:10mrate=1r/s;upstream app_pool {

server localhost:8080fail_timeout=1m;server localhost:8081fail_timeout=1m;

}server {

listen 80;location / {

limit_req zone=oneburst=5;proxy_pass http://app_pool;

}}

}

www.tail.digital

Desenvolvendo APIs públicas:exposição de serviços

com escalabilidade e segurança

Fernando Babadopulos@babadopulos

OBRIGADO!

14 a 16 de dezembro - DesenvolvendoAPIs públicas ......2017 -@babadopulos autenticação...

Documents

Transcript of 14 a 16 de dezembro - DesenvolvendoAPIs públicas ......2017 -@babadopulos autenticação...