API 开发的心得总结

最近开发公司SDK的支付API。对API有有一点点心得，记录下来。 

一、数据安全

1.通信协议
尽量使用HTTPS

2.签名加签
使用双方约定的算法，发送方对数据进行加签，相应的接受方需对数据进行验签。防止数据被篡改。加签/验签需要的 “盐”或者密钥单独保存在服务端。不在通信中传递。

3.加密（非必须）
可对传递的信息使用加密算法进行加密。

二、程序设计

1.数据验证
对接受的数据进行严格验证：参数类型，参数必须性。

2.Log系统
①设计完善的日志系统。将接收、发送的数据做日志记录下来。需保证Log存放的安全性。
②在程序对数据进行验证或判断处，对验证失败的信息记log。方便调试，如：API被合作公司访问，但由于验证问题，无法正常获取信息。这种时候有个log很容易找到的问题的根源，通常是对方未按照约定对数据加签或者参数错误。

3.错误信息
数据验证不通过时返回适当的错误代码。方便请求API的工程师调试。

三、API文档编写

1.文档编写力求简单明了，逻辑清晰。对接口参数的必须性，参数类型描述清楚。适当时候可给出示例的应用场景。

2.文档对API的描述必须合乎的API的逻辑，对容易混淆的参数字段给出醒目的标识。