Building better APIs on Rails.

1. Building better APIs on Rails
Roman Gorel @ kiev.rb #3

2. Рельсы - не всегда лучше
● Интегрируется с рельсами как Rack
mountable engine
● Меньше время ответа
● Ничего лишнего

3. rails-api gem
● Не реквайрит то, что не нужно для API
(например, темплейты)
● Ускоряет время ответа
● Уменьшает потребляемые ресурсы

4. Уберем ненужное
● Для новых приложений
● Для существующих приложений

5. Добавим роуты

6. Неймспейсы, версии, формат

7. Субдомен
http://api.pumpkins.ua/v1/pumpkins

8. Субдомены в development env
● /etc/hosts
● api.lvh.me
● pow

9. Структура контроллеров

10. Делаем API аббревиатурой
config/initializers/inflections.rb
Api::V1::PumpkinsController → API::V1::PumpkinsController

11. Контроллер

12. Разные форматы данных?

13. Сокращаем код

14. Как поменять представление?

15. Куча гемов для кастомизации
представления
● Темплейты: rabl, jbuilder
● Презентеры: representable, acts_as_api
● Сериалайзеры: ActiveModelSerializers

16. Путь Очумелых Ручек
app/presenters/api/v1/pumpkin_presenter.rb

17. Путь Очумелых Ручек

18. Больше гибкости!

19. Больше гибкости!

20. А как насчет коллекций?
app/presenters/api/array_presenter.rb

21. Документация

22. RDoc
FAIL

23. Документируем красиво
● swagger
● apipie
● rspec_api_documentation

24. Документация через тесты
● Не захламляет контроллер
● Проще поддерживать в актуальном
состоянии
● Прогоняет тесты при генерации
● Меньше писать руками
● Заставляет писать тесты :)

25. Документируем из тестов
Gemfile
spec/support/rspec_api_documentation.rb

26. Документируем из тестов
spec/acceptance/pumpkins_spec.rb

27. Описываем методы

28. Описываем методы

29. Два в одном
$ rake docs:generate
● Прогоняет тесты
● Генерирует доку

30. Наслаждаемся результатом

31. Наслаждаемся результатом

32. Аутентификация

33. Базовая Аутентификация

34. Базовая Аутентификация

35. FAIL :(

36. Digest Auth + token
● Делаем POST /sessions с
захэшированными логином и паролем
● Получаем в ответ токен
● Используем токен в последующих
запросах

37. Digest Auth

38. Digest Auth
$ curl -v --digest -u "Roman:password" -X POST --data {}
http://api.pumpkins.ua:3000/v1/sessions

39. Token

40. Token
$ curl -H 'Authorization: Token token="48990736263c9f573ff634a1cb66cbcd"'
http://api.pumpkins.ua:3000/v1/pumpkins

41. Проблемы
● Сложная аутентификация
● Открытый токен

42. JSON Web token
● Реализации под множество платформ
● Простота использования
● Секьюрность
jwt.io

43. Аутентификация с JWT

44. Аутентификация с JWT
$ curl -H 'Authorization: Token
token="eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxfQ.y8f9uijQS6sxeX58
dQH4fwJYLxvmBt3HHAvnrj5w1Rg"' http://api.pumpkins.ua:3000/v1/pumpkins

45. Структура JWT
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX
2lkIjoxfQ.y8f9uijQS6sxeX58dQH4fwJYLxvmBt3HHAvn
rj5w1Rg
● Заголовок (тип сообщения и алгоритм,
JSON + Base64)
● Тело сообщения (JSON + Base64)
● Подпись (тело + заголовок,
зашифрованные секретным ключом)

46. Попробуем подменить данные
тело сообщения

47. Тем не менее, токен все еще
можно перехватить!

48. Expiration

49. github.com/rgorel/pumpkins

50. Ваши вопросы