检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
免造成敏感信息或个人隐私数据泄露。敏感信息和个人隐私数据包括: 密码、AK/SK、Token等身份凭据。 密钥。 个人信息,如身份证号码、银行卡信息、家庭住址、健康信息等。 人与人之间的私人消息,如短信、电话通信内容。 API涉及个人数据时,需要提供隐私声明 本条规则是MUST类型的基本规则,可保障API的安全合规。
标准消息头及其取值格式按照参考标准,并尽量最小化添加自定义消息头。 所有消息头命名格式一致,自定义消息头命名规范:用连词符“-”分隔单词,采用大驼峰方式如X-APIG-TOKEN。 API响应报文使用分页,避免超长列表数据返回 本条规则是Should类型的扩展规则,可提升API调用者的使用体验。
可用性 API需要配置并发请求及流量控制 本条规则是Should类型的扩展规则,可提升API的可用性。 在API发布之前,需要根据设计的服务等级标准进行流量控制设置。API流量控制包括三个部分:并发请求控制,吞吐量控制和传输流量控制。 并发请求控制:指API最大允许的客户端连接数量。
规范要求 API生产 API开放 父主题: 附录-API治理规范指导
的媒体格式,具体情况如表2所示。 表2 常见的媒体类型 分类 场景 媒体类型 文件上传/下载类 文件上传下载类的接口,直接传递的是文件内容。 须知: 不建议使用该API进行文件传输。 application/octet-stream 表单提交 主要用于界面表单提交,该方法目前已经
API生产 安全性 可用性 易用性 可维护性 父主题: 规范要求
API开放 安全性 可用性 可维护性 生命周期管理 父主题: 规范要求
求某一个资源应该具有同样的副作用,单个资源操作,资源的标准CRUD操作对应的HTTP动词如表1所示。 表1 HTTP动词 方法 描述 幂等性 POST 适用于新建资源场景,以及CRUD无法表达的操作场景(Non-CRUD)。 否 GET 用于获取资源的场景,必须具备安全性。 是 PUT
API使用合适的认证模式 本条规则是Should类型的扩展规则,可提升API的安全性。 根据具体业务场景,选择API调用的认证模式,具体说明如表1所示。 表1 认证模式说明 认证模式 认证描述 AppKey 在API请求Header或者Query中携带AppId和AppKey用于进行身份认
本条规则是Should类型的扩展规则,可方便管理API的生命周期。 API接口的变更,要具体到参数级别,必须将API修订的记录按照时间和版本顺序排列进行条目化,具体示例如表1所示。 表1 API修订记录 时间 版本 变更内容 2021-07-15 V1.0 XXX服务API初始发布 2021-09-20 V1.1 X
可维护性 保证API日志采集的实时性及完整性 本条规则是MUST类型的基本规则,可保障API的可维护性。 在采集API调用日志过程中,需要保证API日志的实时性和完整性,以提升API分析的精准度。 API日志在传递过程中,必须保证传递日志不会出现丢失。API日志总体丢失率小于0.5%。
安全:对API的安全认证、涉及敏感信息或个人隐私数据使用和处理提出规范要求或建议,保障API的安全合规。 可用性:对API调用成功率、响应时长、并发及流量控制、吞吐量等提出规范要求或建议,保障API的高可用性。 易用性:对API参考文档描述、入参和出参、消息头定义等提出规范要求或建议,提升API调用者使用体验。
Secure Socket Layer)是安全版超文本传输协议。 REST REST(Representational State Transfer,表征状态转移)网络上的所有事物都可被抽象为资源,每一个资源都有唯一的资源标识(resource identifier),对资源的操作不会改变这
API提供方可在API中心完成API发布、变更、下线等生命周期管理。 操作指导 相关操作指导,请参考华为云帮助中心API Hub。 父主题: 附录-API治理规范指导
附录-API治理规范指导 概述 规范要求 工具平台
概述 简介 术语 父主题: 附录-API治理规范指导
进入API中心服务页面。 在左侧导航栏选择“API网关代理 > API列表”。 单击页面右上角的“导入API”,具体操作请参考导入Swagger文件。 后续操作 将导入成功的API发布到环境中,以便API调用者调用。 父主题: API列表
哪些API支持在线调测? API中心服务商在上架API资产时,如果提供了符合Swagger 2.0/OpenAPI 3.0规范的API文件,且提供了API资产的访问域名,则该API可以在线调测。 父主题: API网关代理
PI导出和批量API导出。 操作步骤 进入API中心服务页面。 在左侧导航栏选择“API网关代理 > API列表”。 单击页面右上角的“导出API”,设置导出参数。 表1 导出API 信息项 描述 API分组 选择待导出API所在的API分组。 运行环境 选择待导出API所在的环境。
API的描述。 根据下表参数信息,配置安全配置。 表2 安全配置 信息项 描述 安全认证 API认证方式: APP认证:表示由API网关代理负责接口请求的安全认证。推荐使用APP认证方式。 华为IAM认证:表示由IAM对API请求进行安全认证。 无认证:表示API请求不需要认证。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
