- 首页
- 上一级
- 40亿个QQ号,限制1G内存,如何去重?.md
- 4C8G_16台和8C16G_8台,不考虑成本的情况怎么选?.md
- 4C8G的机器,各项系统指标,什么范围算是正常?.md
- InnoDB为什么不用跳表,Redis为什么不用B+树?.md
- Kafka,单分区单消费者实例,如何提高吞吐量.md
- MySQL千万级大表如何做数据清理?.md
- MySQL热点数据更新会带来哪些问题?.md
- MySQL里有2000W数据,Redis中只存20W的数据,如何保证Redis中的数据都是热点数据_.md
- Redis如果挂了,你怎么办?.md
- Redis的zset实现排行榜,实现分数相同按照时间顺序排序,怎么做?.md
- Redis的内存如果用满了,会挂吗?.md
- SpringEvent和MQ有什么区别?各自适用场景是什么?.md
- a,b的联合索引,selectbwherea=xx,无法走索引覆盖什么原因?.md
- 一个接口3000QPS,接口RT为200MS,预估需要几台机器?.md
- 一个支付单,多个渠道同时支付成功了怎么办?.md
- 一个表有用户和时间两个列,现有3个需求:根据用户查;根据日期查;根据日期和用户查;问怎么建立索引?.md
- 一个订单,在11_00超时关闭,但在11_00也支付成功了,怎么办?.md
- 一次RPC请求,客户端显示超时,但是服务端不超时,可能是什么原因?.md
- 不使用synchronized和Lock如何设计一个线程安全的单例?.md
- 不用redis分布式锁,如何防止用户重复点击?.md
- 不用大于号小于号怎么判断两个正整数大小?.md
- 为什么MySQL用B+树,MongoDB用B树?.md
- 为什么一定要做限流?不应该服务好客户吗?不应该是加机器吗?.md
- 为什么不建议使用MQ实现订单到期关闭?.md
- 为什么不用分布式锁来实现秒杀?.md
- 为什么不直接用原生的BlockinQueue做消息队列.md
- 为什么很多公司数据库不允许物理删除(delete)数据.md
- 为啥不要在事务中做外部调用?.md
- 从B+树的角度分析为什么单表2000万要考虑分表??.md
- 代码中使用长事务,会带来哪些问题?.md
- 你是如何进行SQL调优的?.md
- 你认为分布式架构一定比单体架构要好吗?.md
- 使用分布式锁时,分布式锁加在事务外面还是里面,有什么区别?.md
- 分布式系统,用户登录信息保存在服务器A上,服务器B如何获取到共享Session.md
- 分库分表时,每个城市的人口不一样,有的密集,有的稀疏,如何实现均匀分布?.md
- 加分布式锁之后影响并发了怎么办?.md
- 和其他公司做数据交互时,有什么需要注意的?.md
- 和外部机构交互如何防止被外部服务不可用而拖垮.md
- 在100M内存下存储一亿个整数,其范围在1到2亿,如何快速判断给定到一个整数值是否存在?.md
- 外卖系统,一天一千万条数据,用户需要查到近30天的数据,商家也要查询到30天的数据,怎么设计表?.md
- 大型电商的订单系统,如何设计分库分表方案?.md
- 大量的手机号码被标记成骚扰电话,如何存储这些号码_.md
- 如何做SQL调优:用了主键索引反而查询很慢?.md
- 如何做平滑的数据迁移_.md
- 如何实现_查找附近的人_功能?.md
- 如何实现一个抢红包功能?.md
- 如何实现敏感词过滤?.md
- 如何实现百万级排行榜功能?.md
- 如何实现百万级数据从Excel导入到数据库?.md
- 如何实现缓存的预热?.md
- 如何用Redis实现朋友圈点赞功能?.md
- 如何解决消息重复消费、重复下单等问题?.md
- 如何设计一个购物车功能?.md
- 如何预估一个系统的QPS?.md
- 如果你的业务量突然提升100倍QPS你会怎么做?.md
- 如果单表数据量大,只能考虑分库分表吗?.md
- 如果要存IP地址,用什么数据类型比较好?.md
- 如果让你实现一个RPC框架,会考虑用哪些技术解决哪些问题?.md
- 如果让你实现消息队列,会考虑哪些问题?.md
- 如果需要跨库join,该如何实现?.md
- 实现一个登录拉黑功能,实现拉黑用户和把已经登陆用户踢下线。.md
- 库存扣减如何避免超卖和少卖?.md
- 应用占用内存持续增长,但是堆内存、元空间都没变化,可能是什么原因?.md
- 应用启动后前几分钟,Load、RT、CPU等飙高,如何定位,可能的原因是什么?.md
- 怎么做数据对账?.md
- 把商品加入购物车时断网了,该怎么在重新联网时同步?.md
- 数据库乐观锁和悲观锁以及redis分布式锁的区别和使用场景?.md
- 数据库逻辑删除后,怎么做唯一性约束?.md
- 每天100w次登录请求,4C8G机器如何做JVM调优?.md
- 消息队列使用拉模式好还是推模式好?为什么?.md
- 用了一锁二查三更新,为啥还出现了重复数据?.md
- 电商下单场景,如何设计一个数据一致性方案?.md
- 索引失效的问题是如何排查的,有那些种情况?.md
- 线上接口如果响应很慢如何去排查定位问题呢?.md
- 给第三方提供接口调用,需要注意些什么?.md
- 订单到期关闭如何实现.md
- 让你设计一个秒杀系统,你会考虑哪些问题?.md
- 让你设计一个订单号生成服务,该怎么做_.md
- 说一说多级缓存是如何应用的?.md
- 读取一千个文件,一个线程读取和开十个线程读取,哪种方式效率高?.md
- 调用第三方接口支付时,第三方接口显示支付成功,但是在调用方显示支付失败,问题可能出在哪里.md
- 进入电梯里断网后又恢复刚开始为什么网络慢?.md
- 项目中,如果日志打印成为瓶颈,该如何优化?.md
- 高并发的库存系统,在数据库扣减库存,怎么实现?.md
✅给第三方提供接口调用,需要注意些什么?
典型回答
我们在开发中,经常需要给别人提供一个接口进行调用,那么,我们在提供这些接口的时候,有哪些注意事项呢?
首先,我们提供的接口大致分为两种,一种是公开出去的接口,别人都可以申请调用的那种,还有一种是内部接口,只有内部人员才能调用的。
其实,不管是啥接口,都需要注意以下内容:
随便说两句:这个问题是一个粉丝提给我的,他说在别人的面试题文档中看到过类似的问题,但是那个答案一看就是 GPT 生成的,罗列了一堆正确的废话,想让我展开说说,以下是我的一些思考。大家可以看下和 GPT 内容的区别。
1、安全性:这个不管是内部还是外部接口其实都需要关注的,只不过有的时候内部接口可以不必要做的那么重。主要就是就是授权机制、数据传输的安全性这两个方面了。
授权机制的话可以是 API 密钥,也可以是认证相关的,比如 OAuth、JWT 等等。如果是需要和用户信息相关的,可能需要登录的话就需要 OAuth、JWT 这些,如果不需要用户鉴权的,可以直接用API 密钥来控制。
大家如果对结果一些开放平台就会知道,他们都要求你先在上面注册一个应用,然后给你发放密钥,你就可以通过这个密钥进行访问了。这个密钥,就是唯一能证明你身份的。作为 API 的提供者,我们就可以识别出来是谁在调用我们,如果遇到一些安全问题,我们就可以针对指定的密钥做限流、或者封禁。
然后在数据传输上,一般还会约定加解密、加解签,来保证数据的安全性和不可篡改性。这相当于是双方的一个握手,确保数据是从我这里发出的,中间没有经过别人的修改,并且即使别人拦截到数据了,他也无法拿到具体的明文内容。详见:
2、访问控制:这个其实和上面的安全性有点像,也是安全性的一种,单独要提一下就是比较重要的,比如上面我们提到过的密钥,它不仅可以做调用者的记录,我们还可以做访问控制,不仅是前面提到的限流、还可以做一些权限管控,可以基于密钥来控制可以访问哪些接口,以及不能访问哪些接口。
3、通用性:当我们在给别人提供接口的时候,最好是能考虑通用性,最好是这个接口不是定制化的,而是一个有类似需要的人都可以调用的,这就要求入参中可能要传入一些标识身份的字段,比如密钥、比如租户 ID、比如产品码等等,可以方便我们后续做扩展。
如果一个接口足够通用,那么后续在做对接的时候,就可以减少很多的开发工作量,而且你的系统的复杂度也会大大降低。
4、方便升级:当我们提供一个接口给别人的时候,你要确信,这个接口不可能一成不变,所以,可能需要提前考虑好后期的升级问题。这里面涉及到很多问题,比如说要不要做接口的版本控制,如果做了版本控制,则可以做更加精细的版本的管理,如果不做版本控制,那么则需要考虑升级的兼容性问题。
5、接口语义要明确:这个点其实很多人会忽略,举个例子,比如你定义了一个金额,类型你用的 string,那么别人传参数给你的时候,单位是元还是分?你需要明确清楚,还有最典型的返回值的 success,到底是表示调用成功了,还是表示处理成功了?这里面的差别很大(处理成功则不需要再检查 respCode 等字段,但是调用成功可能需要检查。。。)。
有人说,这不是最基本的么,确实是,但是我见过太多人定义的接口不够明确了,很容易产生误解。非常非常多,所以,对外接口的注释、文档需要尽可能的详细。因为一旦最后出现故障要扯皮的时候,人家不会说自己测试不充分,而是会甩锅给你说你接口定义不够清晰。
6、错误信息屏蔽:如果我们提供一个接口出去给被人调用,不管是内部还是外部,都不建议把异常抛出去,一方面别人也看不懂这个异常,而且这个异常别人也没办法处理,一旦在页面上展示出来一个 NullPointerException 就很尴尬。。。
所以,在做系统间交互的时候,我们需要用错误码体系来代替异常,可以定义一套错误码给别人,所有的异常自己都吃掉,而不是抛给别人。
7、自我保护机制:当一个接口提供出去之后。就一切都变得不可控了,你根本不知道他会怎么调用你,所以你需要做好悲观思想,那就是做好足够的自我保护,一些基本的日志肯定是要打印的,然后一些边界值的校验也是必须的,还有就是一些限流、降级、熔断的机制你也需要考虑起来。
✅为什么一定要做限流?不应该服务好客户吗?不应该是加机器吗?
8、RPC 接口特别注意:因为 RPC 的调用方式,别人往往需要依赖我们提供的API 做调用,所以,API 中有几个点需要注意的:
1、方法的入参和出参需要可序列化,即实现Serializable 接口,否则在序列化和反序列化过程中会报错。
2、方法的出参最好带上 success、respCode、respMsg 等固定字段,用来表示是否成功以及响应码和响应信息。
3、接口中尽量用包装类,而不是基本数据类型, 避免默认值导致误解。
4、接口出入参中,不要使用枚举,而是直接使用字符串,避免升级过程中导致序列化异常。而且一旦用了枚举,新增一个枚举项的时候,可能会要求所有调用方都做升级,否则就可能会出现枚举转换异常,这个也不太好。
5、是否成功这个字段,要用 sucess 表示,而不是 isSuccess 表示。