BEEVA_es, profile picture
Subido porBEEVA_es
3,410 vistas

WORKSHOP I: Introducción a API REST

El documento es una introducción al concepto de API REST, explicando sus fundamentos, arquitecturas y el uso de HTTP como protocolo para la comunicación. Se detalla la estructura de los recursos, métodos y el manejo de errores, así como aspectos de seguridad y autenticación en servicios REST. Además, se menciona la importancia de un diseño coherente y las buenas prácticas para el versionado y la gestión de APIs.

Incrustar presentación

WORKSHOP I INTRODUCCIÓN A API REST
¿QUÉ ES UNA API?
APPLICATION PROGRAMING INTERFACE Conjunto de subrutinas, funciones y procedimientos que ofrece cierta biblioteca para ser utilizado por otro software como una capa de abstracción. ¿QUÉ ES UNA API? La cara de una plataforma hacia el mundo exterior. =
Nos abstraemos de las capas más internas de la plataforma. ¿QUÉ ES UNA API? LO QUE IMPORTA ES EL QUÉ, NO EL CÓMO
¿QUÉ ES UNA API? http://www.smashew.com/
PLATAFORMA MONOLÍTICA
PLATAFORMA DISTRIBUIDA API API API
¿QUÉ ES REST?
¿ES UN PÁJARO? ¿UN AVIÓN? ¿UN PROTOCOLO? ¿UN LENGUAJE? ¿JSON? ¿XML? ¿HTTP? ¿SOA? NO, ES UN... ¿QUÉ ES REST?
Representational State Transfer es un modelo de arquitectura software orientada a construir servicios web escalables conforme a una serie de buenas prácticas. Los principales son: ● Separación y responsabilidades en modelo consumidor y servidor. ● Modelo en base a recursos identificados de forma unívoca y homogénea. ● Operaciones atómicas sin estado. ● Conjunto de operaciones acotadas: CRUD. Y, ¿sobre qué protocolo se implementa todo esto? ¿QUÉ ES REST?
Un servicio web tiene como objetivo fundamental enviar datos de un punto A a un punto B. HTTP es un protocolo perfecto para esto: ● Entidades / Nombres → Recursos identificados por una URI. ● Operaciones / Verbos → Métodos HTTP. ● Resultados → Códigos de estado HTTP. ● Metadatos → Cabeceras HTTP. ● Representaciones → Body HTTP. Realmente, ¿hace falta más? PROTOCOLO: HTTP
REST VS SOAP
ESTADOS HTTP 2XX 3XX 4XX 5XX
FORMATO: JSON VS XML ● JSON, XML, HTML, texto plano… son formas de representar la información. ● REST puede trabajar con cualquiera de ellas. ● JSON encaja muy bien en la filosofía REST de hacer las cosas lo más sencillas posible. ● JavaScript es uno de los lenguajes más populares. ● XML es un lenguaje pensado para ser interpretado por máquinas. JSON es más human-friendly.
EJEMPLO QUEREMOS CONSTRUIR UNA PLATAFORMA E-LEARNING CON UN MODELO DE ARQUITECTURA RESTful.
RECURSOS Los recursos con las entidades (nombres) sobre las que operar. Se identifican con URLs: http://api.e-learning.com/{recurso}/{id} http://api.e-learning.com/users http://api.e-learning.com/users/41123 http://api.e-learning.com/courses http://api.e-learning.com/courses/64362
RECURSOS: DEBATES ANTIPATRÓN: http://api.e-learning.com/user?id=41123 ANIDAMIENTO: http://api.e-learning.com/course/636/module/312 PLURALIZACIÓN: http://api.e-learning.com/courses http://api.e-learning.com/course
Los métodos son las operaciones (verbos) que podemos realizar sobre los recursos. Están acotadas por los métodos disponibles en HTTP. POST: create GET: read PUT: update DELETE: delete La mayoría de escenarios se pueden resolver con estas cuatro operaciones. MÉTODOS
GET GET http://api.e-learning.com/courses 200 OK [ { "id":1, "name":"Introducción a REST", "description":"Conceptos fundamentales de las APIs REST: recursos, métodos, status...", "duration":3, "modules":[ ...] }, { "id":2, "name":"Python para desarrolladores Java", "description":"...", "duration":4, "modules":[ ...] }, ... ]
GET GET http://api.e-learning.com/courses/1 200 OK { "id":1, "name":"Introducción a REST", "description":"Conceptos fundamentales de las APIs REST", "duration":3, "modules":[...] }
POST POST http://api.e-learning.com/courses { "name":"Introducción a Spark", "description":"Análisis de datos masivos en memoria con Spark", "duration":10, "modules":[...] } 201 CREATED Location: /courses/42113
PUT PUT http://api.e-learning.com/courses/42113 { "name":"Introducción a Spark" , "description":"Análisis de datos masivos en memoria con Spark" , "duration":15, "Modules":[...] } 200 OK
DELETE DELETE http://api.e-learning.com /courses/42113 204 NO CONTENT ó 200 OK { "name":"Introducción a Spark", "description":"Análisis de datos masivos en memoria con Spark", "duration":15, "modules":[...] }
HEAD → Preguntar si un recurso existe. OPTIONS → Devuelve los métodos disponibles sobre un recurso. PATCH → Actualizaciones parciales. OTROS MÉTODOS
Se utilizan para metadatos y protocolo a nivel de aplicación. Accept: text/plain Accept-Charset: utf-8 Accept-Encoding: gzip Accept-Language: es-ES Cookie: $version=1; skin= new; Content-Length: 12312 Content-MD5: Q2hlY2sgSW50ZWdyaXR5IQ== Content-Type: application/x-www-form-urlencoded Date: Mon, 27 Apr 2015 08:12:31 GM Authorization: Basic bXl1c2VyOm15cGFzcw== Location: /users/123 CABECERAS
Formato en el que vienen representados los datos, se negocia con las cabeceras Accept (petición) y Content-Type (petición y respuesta). application/json application/xml application/octet-stream text/plain text/html application/x-www-form-urlencoded multipart/form-data CONTENIDO
Normalmente se pasan como query parameters y se utilizan para añadir criterios adicionales de filtrado, ordenación, paginado… GET http://api.e-learning.com/courses?name=Spark&page_size=10&sort=+name [ { "id":1, "name":"Introducción a Spark", ... }, { ... ] PARÁMETROS
Además del status code 4XX ó 5XX correspondiente, hay que devolver un body informativo: { "errors":[ { "userMessage":"Sorry, resource does not exist", "internalMessage":"No course found in the database", "code":34 } ] } GESTIÓN DE ERRORES
¿Qué ocurre si lanzas una nueva versión de tu API? → VERSIONADO http://api.e-learning.com/v1 http://api.e-learning.com/v2 ... VERSIONADO
HATEOAS Hypermedia as the Engine of Application State { "id":1, "name":"Introducción a REST", "description":"Conceptos fundamentales de las APIs REST: recursos, métodos, status...", "duration":3, "modules":[ { "id":32, "name":"HATEOAS", "links":[ { "rel":"self", "href":"/v1/modules/32" } ] } ... ] }
BENEFICIOS: HOMOGENEIDAD /listUsers?id=123 /getUsers?id=123 /findUsers?user_id=123 /users/find/123 /users/get_by_id/123 /deleteUser /users: GET y POST /users/{id}: GET, PUT y DELETE
BENEFICIOS: SIN ESTADO → ESCALABLE /enroll_user_course?course=1&user=2 1. Comprobar si existe curso 2. Comprobar si existe usuario 3. Comprobar si quedan plazas libres en el curso 4. ... Asignar usuario al curso. HEAD /user/1 GET /courses/1 POST /course/1/user/1 ...
Q&A Descanso 10 minutos
CASOS DE USO: BACK END APP MÓVIL APIREST /scores /level/610 /gamestats GET POST POST GET
CASOS DE USO: BACK END APP MÓVIL APIREST /account /transactions /transfer GET POST POST GET
CASOS DE USO: MACHINE TO MACHINE MYSTORE /checkout /pay /user /payment POST GET POST POST
CASOS DE USO: MACHINE TO MACHINE MYAPP /service2 /ec2/new /service3 /service4 /service5 /service6 /service1 /storage POST PUT
CASOS DE USO: DATA API (READ ONLY) /nextweek /today /cities/madrid GET GET GET GET
ESTADÍSTICAS http://www.programmableweb.com/news/97-games-apis-secondlife-internet-video-archive-and-eve-online/2012/05/30
ESTADÍSTICAS http://www.programmableweb.com/news/97-games-apis-secondlife-internet-video-archive-and-eve-online/2012/05/30
ESTADÍSTICAS
TIPOLOGÍA DE APIs ● Servicios back-end Internet. ● e-Commerce. ● Backoffice. ● Financieros. ● Datos (solo lectura). ● ...
SEGURIDAD
SEGURIDAD EN SERVICIOS REST 1. Esquemas (RFC 2617) Basic Digest Schemes (OAuth 1.0) Bearer Token Schemes (OAuth2) Custom 2. Autenticación por Api Key 3. Autenticación por Token Header: Authorization: …. ../?api-key=…&secret-key=…. ../?token=….
ESQUEMA: BÁSICO PROS: ● Simple de utilizar (en el cliente). ● Soportado por todos los servidores y frameworks de programación (y navegadores!!!!). ● Utiliza la cabecera Authentication ● Estándar http. ● No requiere peticiones CORS CONS: ● Base64 no es un un tipo de cifrado! ● Solo es seguro sobre HTTPs ● Es más lento… (https). base64string = base64.encode( username + “:” + password) req.add_header(" Authorization", "Basic " + base64string) req.send()
ESQUEMA: DIGEST (i.e. OAuth 1.0) PROS: ● Pensada para autenticación con 3ros de manera segura. ● Garantiza la autenticidad end-to-end del mensaje. ● No es necesario utilizar HTTPS. ● Las contraseñas nunca se envían en las peticiones. ● No es vulnerable a Man-In-The-Middle. CONS: ● Complejo de implementar tanto el cliente como servidor. ● Complejo de entender y utilizar. ● Los clientes de navegadores no son buenos para retener los tokens y credenciales necesarios. POST /1/statuses/update.json Authorization: OAuth oauth_consumer_key="xvz1evFS4wEEPTGEFPHBog", oauth_nonce="kYjzVBB8Y0ZFabxSWbWovY3uYSQ2pTgmZeNu2VS4cg", oauth_signature="tnnArxj06cWHq44gCs1OSKk%2FjLY%3D", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1318622958", oauth_token="370773112-GmHxMAgYyLbNEtI……...EyMZeS9weJAEb", oauth_version="1.0"
ESQUEMA: DIGEST (i.e. OAuth 1.0) usuario app tercero 1. usuario accede a la app y pide conectar con tercero 2. app pide al tercero un token de autorización 3. tercero genera el token y el secret token 4. app construye link de auth y lo envía al usuario 5. usuario autoriza al app mediante link 6. app accede a los datos del cliente mediante el token
ESQUEMA: BEARER TOKEN (OAUTH 2.0) PROS: ● Utiliza estándar para generación de tokens (JWT) que expiran. ● Más sencillo que ESQUEMA: DIGEST. ● No requiere acceso a la contraseña del usuario. CONS: ● Susceptible a ataques Man-In-The-Middle. ● Requiere renovación del token, proceso posiblemente complejo. POST /events HTTP/1.1 Host: my-server.com Authorization: Bearer AbCdEf123456 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/1.0 (KHTML, like Gecko; Gmail Actions)
ESQUEMA: CUSTOM PROS: ● Personalización total tanto del flujo de comunicaciones, como de la generación de claves (siempre utilizando la cabecera Authorization). CONS: ● Hay que generar documentación exquisita y clientes/librerías propietarias que debes entregar a tus consumidores. ● Puede incrementar la complejidad.
AUTENTICACIÓN API KEY PROS: ● Ideal para API m2m. ● Se puede combinar con otros tipos de auth como basic/digest/bearer. CONS: ● No se recomienda guardar el api KEY, en clientes inseguros como Navegadores (HTML/JS). Ejemplo: ID : YLNVXG091ZO1BSANZ5U6DCTIX Secret: gtaMCCJoFnEu3dDlkxmdgtaMCCJoFnEu3dDlkxmd+92iaY
AUTENTICACIÓN POR TOKEN PROS: ● Ideal para API m2m. CONS: ● No se recomienda guardar el api KEY, en clientes inseguros como Navegadores (HTML/JS). 1. Request: POST /token ?grant_type=password&username=username&password=password 2. Response: { “token_type":"auth.service1", “expires_in":6000, "refresh_token":"U9fhc2aNkUuwiFRDfrRo", "parameter1":"value1”, "access_token":" 6tivaTH33cafRZI5mOIu" } 3. GET /service1 HTTP/1.1 Authorization: Bearer 6tivaTH33cafRZI5mOIu
MODELING LANGUAGES ...ioDocs, WADL, WSDL
WSDL 1.0/2.0
RAML
SWAGGER
BLUEPRINT
TOOLING! Generación de DOC Generación de API Java Generación de Pruebas Unitarias Generación de pruebas funcionales Definición de interfaz REST Generación de Cliente (javascript) ANÁLISIS Generación de pruebas carga DEV FRONTEND DEV FRONTEND DEV BACKEND DEV BACKEND DEV BACKEND DEV BACKEND
TOOLING! Generación de DOC Generación de API Generación de Pruebas Unitarias Generación de pruebas funcionales Definición de interfaz REST Generación de Cliente (javascript) API Designer Generación de pruebas carga API Console API Notebook REST Postman SoapUI plugin JMeter / Tsung JAX-RS/Spring Restify
API MANAGEMENT: WHAT? Servicio Servicio backend consumidores API API MANAGER APP
API MANAGEMENT: FEATURES ● API Security: SSL, PKI, threat protection, schema validation, encryption, signatures, etc. ● API Lifecycle governance: Versioning, etc. ● Analytics & traffic monitoring. ● API Identity: API key, OAuth, SAML, LDAP, MFA, token translation & management. ● API metering, Billing and Monetization ● Developer Center: Client ID/app key generation, interactive API console. ● API Discovery: Catalog, search and provisioning. ● API Orchestration: Adaptation of multiple services, workflow operations, branching policies, etc. ● Operational Integration: System monitoring, clustering, scalability, migration.
API MANAGEMENT
PYTHON: DJANGO REST
NODEJS restify
JAVA
MICROSERVICIOS: EVOLUCIÓN http://es.slideshare.net/ErnestoHernandezRodriguez/arquitecturas-de-microservicios-codemotion-2014
PATRONES: ADAPTER
PATRONES: ADAPTER
PATRONES: ADAPTER (NETFLIX)
PATRONES: WEBHOOKS polling NO!! NO NO!! no ALGO PARA MI? ALGO PARA MI? ALGO PARA MI? ALGO PARA MI? NOOOO!!!! NO!!!!!! cliente servidor
PATRONES: WEBHOOKS OK SI TE LLEGA ALGO ENVIAMELO AL BUZÓN! LLEGÓ ALGO servidorcliente
INICIATIVAS: ODATA OData El protocolo OData (Open Data Protocol) facilita la creación de servicios de datos REST, que pueden ser identificados por URI (uniform resource identifiers) únicas, para ser publicados y consumidos por clientes web. Protocolos Convenios Lenguaje de definición de esquemas común Formato JSON Format Vocabulario estándar
GET /statuses/retweets_of_me GET /friends/ids POST /friendships/destroy GET /blocks/list GET /favorites/list POST /favorites/destroy POST /favorites/create
GET /v1/payments/payment/<Payment-Id> POST /v1/payments/orders/<Order-Id>/authorize POST /v1/payments/orders/<Order-Id>/do-void POST /v1/payments/orders/<Order-Id>/capture POST /v1/payments/capture/<Capture-Id>/refund GET /v1/invoicing/invoices?<Query-String> GET /v1/invoicing/invoices/<Invoice-Id>/qr-code
SHOW ME YOUR API! ● programmableweb.com ● github.com/WhiteHouse/api-standards ● dev.twitter.com/rest/public ● developers.bbva.com
www.beeva.com hablemos@beeva.com

Más contenido relacionado

PDF
Unidad 2. modelo entidad relacion
porLuiS YmAY
 
PDF
Diagramas de componentes exposicion martes
porJackson Marshelo
 
PDF
Programación Orientada a Objetos
porZamantha Gonzalez Universidad Nacional Abierta
 
PPTX
UML - Casos de Uso y Diagramas de Clase
porGuillermo Díaz
 
PPTX
concepto de estructuras de datos
porEduardo Robayo Castro
 
PPTX
tipos de requisitos
porJuan Henao
 
PPTX
Clases abstractas e interfaces
porlopezcortes
 
PDF
Introducción a los patrones de diseño
porSoftware Guru
 
Unidad 2. modelo entidad relacion
porLuiS YmAY
 
Diagramas de componentes exposicion martes
porJackson Marshelo
 
Programación Orientada a Objetos
porZamantha Gonzalez Universidad Nacional Abierta
 
UML - Casos de Uso y Diagramas de Clase
porGuillermo Díaz
 
concepto de estructuras de datos
porEduardo Robayo Castro
 
tipos de requisitos
porJuan Henao
 
Clases abstractas e interfaces
porlopezcortes
 
Introducción a los patrones de diseño
porSoftware Guru
 

La actualidad más candente

PDF
Dominio de base de datos
porWilmer Yacelga XD
 
PDF
Construye tu propio backend y api rest con java
porVanessa Galcera
 
PDF
Gestión de procesos en sistemas operativos
porchikscorpion_23
 
PPTX
Base de Datos Orientada a Objetos
porINSTITUTO TECNOLOGICO SUPERIOR DE LERDO
 
PPTX
Patrones de diseño.pptx
porgigoallspam1
 
PPSX
DISPOSITIVOS DE ENTRADA Y SALIDA
porAlejandro Ordoñez
 
PPT
modelo entidad-relacion
porEdwin Soto Castro
 
PPTX
Archivo secuencial indexado
porTortuly
 
PDF
CLASE 5 INTRODUCCION A FIGMA
porRichard Eliseo Mendoza Gafaro
 
PPT
diagrama de casos de uso del negocio y del sistema
porUniversidad Tecnológica
 
PPTX
Ordenamientos por selección y Shell
porAlvaro Enrique Ruano
 
PDF
Domain Driven Design with the F# type System -- NDC London 2013
porScott Wlaschin
 
PPTX
Análisis de Requerimientos
porUTPL UTPL
 
PDF
Mapa conceptual POO
porBryan Salgado
 
PPTX
Pilas en Java
porVICTOR VIERA BALANTA
 
PDF
Modelo de base de datos orientados a objetos
porarmin tilano
 
PPTX
Búsqueda Primero el Mejor
porTutor4uDev
 
PPS
Pilas y colas
porarrietaevelio
 
PPT
Modelo Entidad Relación Extendido.
pornayis2010
 
PDF
SISTEMA DE FACTURACION (Ejemplo desarrollado)
porDarwin Durand
 
Dominio de base de datos
porWilmer Yacelga XD
 
Construye tu propio backend y api rest con java
porVanessa Galcera
 
Gestión de procesos en sistemas operativos
porchikscorpion_23
 
Base de Datos Orientada a Objetos
porINSTITUTO TECNOLOGICO SUPERIOR DE LERDO
 
Patrones de diseño.pptx
porgigoallspam1
 
DISPOSITIVOS DE ENTRADA Y SALIDA
porAlejandro Ordoñez
 
modelo entidad-relacion
porEdwin Soto Castro
 
Archivo secuencial indexado
porTortuly
 
CLASE 5 INTRODUCCION A FIGMA
porRichard Eliseo Mendoza Gafaro
 
diagrama de casos de uso del negocio y del sistema
porUniversidad Tecnológica
 
Ordenamientos por selección y Shell
porAlvaro Enrique Ruano
 
Domain Driven Design with the F# type System -- NDC London 2013
porScott Wlaschin
 
Análisis de Requerimientos
porUTPL UTPL
 
Mapa conceptual POO
porBryan Salgado
 
Pilas en Java
porVICTOR VIERA BALANTA
 
Modelo de base de datos orientados a objetos
porarmin tilano
 
Búsqueda Primero el Mejor
porTutor4uDev
 
Pilas y colas
porarrietaevelio
 
Modelo Entidad Relación Extendido.
pornayis2010
 
SISTEMA DE FACTURACION (Ejemplo desarrollado)
porDarwin Durand
 

Destacado

PDF
WORKSHOP II: API REST
porBEEVA_es
 
PDF
Charla REST API
porGlobalLogic Latinoamérica
 
PDF
Simplemente REST
porGabriel Fagúndez de los Reyes Araújo
 
PPTX
Introducción a REST - SymfonyVLC
porMiguel Ángel Sánchez Chordi
 
PDF
Single Sign On Salesforce Developer Group
porJuan Pedro Catalan
 
PPTX
OAuth and OpenID
porAlbert Lozano Ciller
 
PPTX
GFI - Seguridad en tus APIs
porGFI Informática
 
PPTX
WSO2 REST API Example
porEmmerson Miranda
 
PDF
Introduccion a los Servicios Web Rest
porDavid J. Brenes
 
PPTX
Rest API
porRohana K Amarakoon
 
PDF
Herramientas DevOps
porAtuestaDaniel
 
PDF
Json web token api authorization
porGiulio De Donato
 
POTX
DEVNET-1126 APIC-EM API
porCisco DevNet
 
PDF
Modern API Security with JSON Web Tokens
porJonathan LeBlanc
 
PPT
144 Rest Web Services
porGeneXus
 
PPT
Visual Studio IDE
porSayantan Sur
 
PPT
APIC-EM API Deep Dive
porCisco DevNet
 
WORKSHOP II: API REST
porBEEVA_es
 
Charla REST API
porGlobalLogic Latinoamérica
 
Simplemente REST
porGabriel Fagúndez de los Reyes Araújo
 
Introducción a REST - SymfonyVLC
porMiguel Ángel Sánchez Chordi
 
Single Sign On Salesforce Developer Group
porJuan Pedro Catalan
 
OAuth and OpenID
porAlbert Lozano Ciller
 
GFI - Seguridad en tus APIs
porGFI Informática
 
WSO2 REST API Example
porEmmerson Miranda
 
Introduccion a los Servicios Web Rest
porDavid J. Brenes
 
Rest API
porRohana K Amarakoon
 
Herramientas DevOps
porAtuestaDaniel
 
Json web token api authorization
porGiulio De Donato
 
DEVNET-1126 APIC-EM API
porCisco DevNet
 
Modern API Security with JSON Web Tokens
porJonathan LeBlanc
 
144 Rest Web Services
porGeneXus
 
Visual Studio IDE
porSayantan Sur
 
APIC-EM API Deep Dive
porCisco DevNet
 

Similar a WORKSHOP I: Introducción a API REST

PDF
RESTful Para todos by Diego Sapriza
por.NET Conf UY
 
PDF
Rest
porIgnacio Muñoz Vicente
 
ODP
Documertar APIs - Meetup.js
porEzequiel Rial
 
PPTX
Fundamentos para el diseño de una RESTful API pragmática
porLeoWong91
 
PPTX
API RESP.pptxAPI RESP.pptxAPI RESP.pptxAPI RESP.pptx
porEduTec7
 
ODP
Desarrollando un API con REST
porAlex Puig
 
PPTX
10-Unidad 3: Diseños de Vista-3.2 Usos Web Services
porLuis Fernando Aguas Bucheli
 
PDF
API como SaaS
porPablo López Escobés
 
PDF
REST - deSymfony2012
porAsier Marqués
 
PPTX
Taller definición de apis
porCloudAppi
 
PDF
5.2. api-rest
porxavazque2
 
PDF
Semana 7 Servicios Web API REST con Mongodb
porRichard Eliseo Mendoza Gafaro
 
ODP
Web framework ligeros y micros en java barcamp 2014
porCarlos Camacho
 
PPTX
Define y desarrolla tu primera api
porCloudAppi
 
PDF
Semana 7 Servicios Web REST con MongoDB final
porRichard Eliseo Mendoza Gafaro
 
PPTX
S4-PD2-REST-REST FULL
porLuis Fernando Aguas Bucheli
 
PPTX
10- Unidad 3: Webservices - 3.2 Uso de Web services (Introducción, Caracterís...
porLuis Fernando Aguas Bucheli
 
PDF
Api rest client en Android
porToni Martínez Carballo
 
PPTX
Api rest ful
porGermán Küber
 
PDF
T final modulo_1
porJosé Martín Cesca
 
RESTful Para todos by Diego Sapriza
por.NET Conf UY
 
Rest
porIgnacio Muñoz Vicente
 
Documertar APIs - Meetup.js
porEzequiel Rial
 
Fundamentos para el diseño de una RESTful API pragmática
porLeoWong91
 
API RESP.pptxAPI RESP.pptxAPI RESP.pptxAPI RESP.pptx
porEduTec7
 
Desarrollando un API con REST
porAlex Puig
 
10-Unidad 3: Diseños de Vista-3.2 Usos Web Services
porLuis Fernando Aguas Bucheli
 
API como SaaS
porPablo López Escobés
 
REST - deSymfony2012
porAsier Marqués
 
Taller definición de apis
porCloudAppi
 
5.2. api-rest
porxavazque2
 
Semana 7 Servicios Web API REST con Mongodb
porRichard Eliseo Mendoza Gafaro
 
Web framework ligeros y micros en java barcamp 2014
porCarlos Camacho
 
Define y desarrolla tu primera api
porCloudAppi
 
Semana 7 Servicios Web REST con MongoDB final
porRichard Eliseo Mendoza Gafaro
 
S4-PD2-REST-REST FULL
porLuis Fernando Aguas Bucheli
 
10- Unidad 3: Webservices - 3.2 Uso de Web services (Introducción, Caracterís...
porLuis Fernando Aguas Bucheli
 
Api rest client en Android
porToni Martínez Carballo
 
Api rest ful
porGermán Küber
 
T final modulo_1
porJosé Martín Cesca
 

Más de BEEVA_es

PDF
BEEVA | The reality of IoT as of today
porBEEVA_es
 
PDF
JustGiving | Serverless Data Pipelines, API, Messaging and Stream Processing
porBEEVA_es
 
PDF
BEEVA | Introducción a Docker
porBEEVA_es
 
PDF
BEEVA | Diseño UX para chatbots
porBEEVA_es
 
PDF
BEEVA | Crear bots avanzados
porBEEVA_es
 
PDF
BEEVA | Ruling the world galaxy with your voice and the cloud
porBEEVA_es
 
PDF
[API Days] Cooking with apis
porBEEVA_es
 
PDF
Como ganar un hackathon
porBEEVA_es
 
PPTX
Bases de Datos No Relacionales
porBEEVA_es
 
PDF
Curso de Responsive Web Design de BEEVA
porBEEVA_es
 
PDF
Push comercial ANS BEEVA v1.0
porBEEVA_es
 
PPTX
Desmitificando un proyecto de Big Data
porBEEVA_es
 
PDF
Cómo empezar a implementar proyectos Big Data en tu organización
porBEEVA_es
 
PDF
Hadoop en la nube: ETL a ELT
porBEEVA_es
 
PDF
Siete "consejos" para abordar un proyecto con tecnologías Big Data
porBEEVA_es
 
PDF
Bases de Datos no relacionales
porBEEVA_es
 
PDF
Data Platform de BEEVA
porBEEVA_es
 
PDF
Gestión del software con Maven y Jenkins
porBEEVA_es
 
PDF
El presente del mundo del retail
porBEEVA_es
 
PDF
El presente del mundo telco
porBEEVA_es
 
BEEVA | The reality of IoT as of today
porBEEVA_es
 
JustGiving | Serverless Data Pipelines, API, Messaging and Stream Processing
porBEEVA_es
 
BEEVA | Introducción a Docker
porBEEVA_es
 
BEEVA | Diseño UX para chatbots
porBEEVA_es
 
BEEVA | Crear bots avanzados
porBEEVA_es
 
BEEVA | Ruling the world galaxy with your voice and the cloud
porBEEVA_es
 
[API Days] Cooking with apis
porBEEVA_es
 
Como ganar un hackathon
porBEEVA_es
 
Bases de Datos No Relacionales
porBEEVA_es
 
Curso de Responsive Web Design de BEEVA
porBEEVA_es
 
Push comercial ANS BEEVA v1.0
porBEEVA_es
 
Desmitificando un proyecto de Big Data
porBEEVA_es
 
Cómo empezar a implementar proyectos Big Data en tu organización
porBEEVA_es
 
Hadoop en la nube: ETL a ELT
porBEEVA_es
 
Siete "consejos" para abordar un proyecto con tecnologías Big Data
porBEEVA_es
 
Bases de Datos no relacionales
porBEEVA_es
 
Data Platform de BEEVA
porBEEVA_es
 
Gestión del software con Maven y Jenkins
porBEEVA_es
 
El presente del mundo del retail
porBEEVA_es
 
El presente del mundo telco
porBEEVA_es
 

WORKSHOP I: Introducción a API REST

  • 1.
  • 2.
  • 3.
    APPLICATION PROGRAMING INTERFACE Conjuntode subrutinas, funciones y procedimientos que ofrece cierta biblioteca para ser utilizado por otro software como una capa de abstracción. ¿QUÉ ES UNA API? La cara de una plataforma hacia el mundo exterior. =
  • 4.
    Nos abstraemos delas capas más internas de la plataforma. ¿QUÉ ES UNA API? LO QUE IMPORTA ES EL QUÉ, NO EL CÓMO
  • 5.
    ¿QUÉ ES UNAAPI? http://www.smashew.com/
  • 6.
  • 7.
  • 8.
  • 9.
    ¿ES UN PÁJARO? ¿UNAVIÓN? ¿UN PROTOCOLO? ¿UN LENGUAJE? ¿JSON? ¿XML? ¿HTTP? ¿SOA? NO, ES UN... ¿QUÉ ES REST?
  • 10.
    Representational State Transferes un modelo de arquitectura software orientada a construir servicios web escalables conforme a una serie de buenas prácticas. Los principales son: ● Separación y responsabilidades en modelo consumidor y servidor. ● Modelo en base a recursos identificados de forma unívoca y homogénea. ● Operaciones atómicas sin estado. ● Conjunto de operaciones acotadas: CRUD. Y, ¿sobre qué protocolo se implementa todo esto? ¿QUÉ ES REST?
  • 11.
    Un servicio webtiene como objetivo fundamental enviar datos de un punto A a un punto B. HTTP es un protocolo perfecto para esto: ● Entidades / Nombres → Recursos identificados por una URI. ● Operaciones / Verbos → Métodos HTTP. ● Resultados → Códigos de estado HTTP. ● Metadatos → Cabeceras HTTP. ● Representaciones → Body HTTP. Realmente, ¿hace falta más? PROTOCOLO: HTTP
  • 12.
  • 13.
  • 14.
    FORMATO: JSON VSXML ● JSON, XML, HTML, texto plano… son formas de representar la información. ● REST puede trabajar con cualquiera de ellas. ● JSON encaja muy bien en la filosofía REST de hacer las cosas lo más sencillas posible. ● JavaScript es uno de los lenguajes más populares. ● XML es un lenguaje pensado para ser interpretado por máquinas. JSON es más human-friendly.
  • 15.
    EJEMPLO QUEREMOS CONSTRUIR UNA PLATAFORMAE-LEARNING CON UN MODELO DE ARQUITECTURA RESTful.
  • 16.
    RECURSOS Los recursos conlas entidades (nombres) sobre las que operar. Se identifican con URLs: http://api.e-learning.com/{recurso}/{id} http://api.e-learning.com/users http://api.e-learning.com/users/41123 http://api.e-learning.com/courses http://api.e-learning.com/courses/64362
  • 17.
  • 18.
    Los métodos sonlas operaciones (verbos) que podemos realizar sobre los recursos. Están acotadas por los métodos disponibles en HTTP. POST: create GET: read PUT: update DELETE: delete La mayoría de escenarios se pueden resolver con estas cuatro operaciones. MÉTODOS
  • 19.
    GET GET http://api.e-learning.com/courses 200 OK [ { "id":1, "name":"Introduccióna REST", "description":"Conceptos fundamentales de las APIs REST: recursos, métodos, status...", "duration":3, "modules":[ ...] }, { "id":2, "name":"Python para desarrolladores Java", "description":"...", "duration":4, "modules":[ ...] }, ... ]
  • 20.
    GET GET http://api.e-learning.com/courses/1 200 OK { "id":1, "name":"Introduccióna REST", "description":"Conceptos fundamentales de las APIs REST", "duration":3, "modules":[...] }
  • 21.
    POST POST http://api.e-learning.com/courses { "name":"Introducción aSpark", "description":"Análisis de datos masivos en memoria con Spark", "duration":10, "modules":[...] } 201 CREATED Location: /courses/42113
  • 22.
    PUT PUT http://api.e-learning.com/courses/42113 { "name":"Introducción aSpark" , "description":"Análisis de datos masivos en memoria con Spark" , "duration":15, "Modules":[...] } 200 OK
  • 23.
    DELETE DELETE http://api.e-learning.com /courses/42113 204NO CONTENT ó 200 OK { "name":"Introducción a Spark", "description":"Análisis de datos masivos en memoria con Spark", "duration":15, "modules":[...] }
  • 24.
    HEAD → Preguntarsi un recurso existe. OPTIONS → Devuelve los métodos disponibles sobre un recurso. PATCH → Actualizaciones parciales. OTROS MÉTODOS
  • 25.
    Se utilizan parametadatos y protocolo a nivel de aplicación. Accept: text/plain Accept-Charset: utf-8 Accept-Encoding: gzip Accept-Language: es-ES Cookie: $version=1; skin= new; Content-Length: 12312 Content-MD5: Q2hlY2sgSW50ZWdyaXR5IQ== Content-Type: application/x-www-form-urlencoded Date: Mon, 27 Apr 2015 08:12:31 GM Authorization: Basic bXl1c2VyOm15cGFzcw== Location: /users/123 CABECERAS
  • 26.
    Formato en elque vienen representados los datos, se negocia con las cabeceras Accept (petición) y Content-Type (petición y respuesta). application/json application/xml application/octet-stream text/plain text/html application/x-www-form-urlencoded multipart/form-data CONTENIDO
  • 27.
    Normalmente se pasancomo query parameters y se utilizan para añadir criterios adicionales de filtrado, ordenación, paginado… GET http://api.e-learning.com/courses?name=Spark&page_size=10&sort=+name [ { "id":1, "name":"Introducción a Spark", ... }, { ... ] PARÁMETROS
  • 28.
    Además del statuscode 4XX ó 5XX correspondiente, hay que devolver un body informativo: { "errors":[ { "userMessage":"Sorry, resource does not exist", "internalMessage":"No course found in the database", "code":34 } ] } GESTIÓN DE ERRORES
  • 29.
    ¿Qué ocurre silanzas una nueva versión de tu API? → VERSIONADO http://api.e-learning.com/v1 http://api.e-learning.com/v2 ... VERSIONADO
  • 30.
    HATEOAS Hypermedia as theEngine of Application State { "id":1, "name":"Introducción a REST", "description":"Conceptos fundamentales de las APIs REST: recursos, métodos, status...", "duration":3, "modules":[ { "id":32, "name":"HATEOAS", "links":[ { "rel":"self", "href":"/v1/modules/32" } ] } ... ] }
  • 31.
  • 32.
    BENEFICIOS: SIN ESTADO→ ESCALABLE /enroll_user_course?course=1&user=2 1. Comprobar si existe curso 2. Comprobar si existe usuario 3. Comprobar si quedan plazas libres en el curso 4. ... Asignar usuario al curso. HEAD /user/1 GET /courses/1 POST /course/1/user/1 ...
  • 33.
  • 34.
    CASOS DE USO:BACK END APP MÓVIL APIREST /scores /level/610 /gamestats GET POST POST GET
  • 35.
    CASOS DE USO:BACK END APP MÓVIL APIREST /account /transactions /transfer GET POST POST GET
  • 36.
    CASOS DE USO:MACHINE TO MACHINE MYSTORE /checkout /pay /user /payment POST GET POST POST
  • 37.
    CASOS DE USO:MACHINE TO MACHINE MYAPP /service2 /ec2/new /service3 /service4 /service5 /service6 /service1 /storage POST PUT
  • 38.
    CASOS DE USO:DATA API (READ ONLY) /nextweek /today /cities/madrid GET GET GET GET
  • 39.
  • 40.
  • 41.
  • 42.
    TIPOLOGÍA DE APIs ●Servicios back-end Internet. ● e-Commerce. ● Backoffice. ● Financieros. ● Datos (solo lectura). ● ...
  • 43.
  • 44.
    SEGURIDAD EN SERVICIOSREST 1. Esquemas (RFC 2617) Basic Digest Schemes (OAuth 1.0) Bearer Token Schemes (OAuth2) Custom 2. Autenticación por Api Key 3. Autenticación por Token Header: Authorization: …. ../?api-key=…&secret-key=…. ../?token=….
  • 45.
    ESQUEMA: BÁSICO PROS: ● Simplede utilizar (en el cliente). ● Soportado por todos los servidores y frameworks de programación (y navegadores!!!!). ● Utiliza la cabecera Authentication ● Estándar http. ● No requiere peticiones CORS CONS: ● Base64 no es un un tipo de cifrado! ● Solo es seguro sobre HTTPs ● Es más lento… (https). base64string = base64.encode( username + “:” + password) req.add_header(" Authorization", "Basic " + base64string) req.send()
  • 46.
    ESQUEMA: DIGEST (i.e.OAuth 1.0) PROS: ● Pensada para autenticación con 3ros de manera segura. ● Garantiza la autenticidad end-to-end del mensaje. ● No es necesario utilizar HTTPS. ● Las contraseñas nunca se envían en las peticiones. ● No es vulnerable a Man-In-The-Middle. CONS: ● Complejo de implementar tanto el cliente como servidor. ● Complejo de entender y utilizar. ● Los clientes de navegadores no son buenos para retener los tokens y credenciales necesarios. POST /1/statuses/update.json Authorization: OAuth oauth_consumer_key="xvz1evFS4wEEPTGEFPHBog", oauth_nonce="kYjzVBB8Y0ZFabxSWbWovY3uYSQ2pTgmZeNu2VS4cg", oauth_signature="tnnArxj06cWHq44gCs1OSKk%2FjLY%3D", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1318622958", oauth_token="370773112-GmHxMAgYyLbNEtI……...EyMZeS9weJAEb", oauth_version="1.0"
  • 47.
    ESQUEMA: DIGEST (i.e.OAuth 1.0) usuario app tercero 1. usuario accede a la app y pide conectar con tercero 2. app pide al tercero un token de autorización 3. tercero genera el token y el secret token 4. app construye link de auth y lo envía al usuario 5. usuario autoriza al app mediante link 6. app accede a los datos del cliente mediante el token
  • 48.
    ESQUEMA: BEARER TOKEN(OAUTH 2.0) PROS: ● Utiliza estándar para generación de tokens (JWT) que expiran. ● Más sencillo que ESQUEMA: DIGEST. ● No requiere acceso a la contraseña del usuario. CONS: ● Susceptible a ataques Man-In-The-Middle. ● Requiere renovación del token, proceso posiblemente complejo. POST /events HTTP/1.1 Host: my-server.com Authorization: Bearer AbCdEf123456 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/1.0 (KHTML, like Gecko; Gmail Actions)
  • 49.
    ESQUEMA: CUSTOM PROS: ● Personalizacióntotal tanto del flujo de comunicaciones, como de la generación de claves (siempre utilizando la cabecera Authorization). CONS: ● Hay que generar documentación exquisita y clientes/librerías propietarias que debes entregar a tus consumidores. ● Puede incrementar la complejidad.
  • 50.
    AUTENTICACIÓN API KEY PROS: ●Ideal para API m2m. ● Se puede combinar con otros tipos de auth como basic/digest/bearer. CONS: ● No se recomienda guardar el api KEY, en clientes inseguros como Navegadores (HTML/JS). Ejemplo: ID : YLNVXG091ZO1BSANZ5U6DCTIX Secret: gtaMCCJoFnEu3dDlkxmdgtaMCCJoFnEu3dDlkxmd+92iaY
  • 51.
    AUTENTICACIÓN POR TOKEN PROS: ●Ideal para API m2m. CONS: ● No se recomienda guardar el api KEY, en clientes inseguros como Navegadores (HTML/JS). 1. Request: POST /token ?grant_type=password&username=username&password=password 2. Response: { “token_type":"auth.service1", “expires_in":6000, "refresh_token":"U9fhc2aNkUuwiFRDfrRo", "parameter1":"value1”, "access_token":" 6tivaTH33cafRZI5mOIu" } 3. GET /service1 HTTP/1.1 Authorization: Bearer 6tivaTH33cafRZI5mOIu
  • 52.
  • 53.
  • 54.
  • 55.
  • 56.
  • 57.
    TOOLING! Generación de DOC Generación de APIJava Generación de Pruebas Unitarias Generación de pruebas funcionales Definición de interfaz REST Generación de Cliente (javascript) ANÁLISIS Generación de pruebas carga DEV FRONTEND DEV FRONTEND DEV BACKEND DEV BACKEND DEV BACKEND DEV BACKEND
  • 58.
    TOOLING! Generación de DOC Generación de API Generaciónde Pruebas Unitarias Generación de pruebas funcionales Definición de interfaz REST Generación de Cliente (javascript) API Designer Generación de pruebas carga API Console API Notebook REST Postman SoapUI plugin JMeter / Tsung JAX-RS/Spring Restify
  • 59.
    API MANAGEMENT: WHAT? Servicio Serviciobackend consumidores API API MANAGER APP
  • 60.
    API MANAGEMENT: FEATURES ●API Security: SSL, PKI, threat protection, schema validation, encryption, signatures, etc. ● API Lifecycle governance: Versioning, etc. ● Analytics & traffic monitoring. ● API Identity: API key, OAuth, SAML, LDAP, MFA, token translation & management. ● API metering, Billing and Monetization ● Developer Center: Client ID/app key generation, interactive API console. ● API Discovery: Catalog, search and provisioning. ● API Orchestration: Adaptation of multiple services, workflow operations, branching policies, etc. ● Operational Integration: System monitoring, clustering, scalability, migration.
  • 61.
  • 62.
  • 63.
  • 64.
  • 65.
  • 66.
  • 67.
  • 68.
  • 69.
    PATRONES: WEBHOOKS polling NO!! NO NO!! no ALGOPARA MI? ALGO PARA MI? ALGO PARA MI? ALGO PARA MI? NOOOO!!!! NO!!!!!! cliente servidor
  • 70.
    PATRONES: WEBHOOKS OK SI TELLEGA ALGO ENVIAMELO AL BUZÓN! LLEGÓ ALGO servidorcliente
  • 71.
    INICIATIVAS: ODATA OData El protocoloOData (Open Data Protocol) facilita la creación de servicios de datos REST, que pueden ser identificados por URI (uniform resource identifiers) únicas, para ser publicados y consumidos por clientes web. Protocolos Convenios Lenguaje de definición de esquemas común Formato JSON Format Vocabulario estándar
  • 72.
    GET /statuses/retweets_of_me GET /friends/ids POST/friendships/destroy GET /blocks/list GET /favorites/list POST /favorites/destroy POST /favorites/create
  • 73.
    GET /v1/payments/payment/<Payment-Id> POST /v1/payments/orders/<Order-Id>/authorize POST/v1/payments/orders/<Order-Id>/do-void POST /v1/payments/orders/<Order-Id>/capture POST /v1/payments/capture/<Capture-Id>/refund GET /v1/invoicing/invoices?<Query-String> GET /v1/invoicing/invoices/<Invoice-Id>/qr-code
  • 74.
    SHOW ME YOURAPI! ● programmableweb.com ● github.com/WhiteHouse/api-standards ● dev.twitter.com/rest/public ● developers.bbva.com
  • 75.