Hej! Zazwyczaj piszę programy i czasem korzystam z jakiegoś API, tym razem jednak muszę stworzyć zarówno API jak i program. Nie jest to dla mnie całkiem obcy temat, ale chciałbym zrobić to lepiej niż zwykle (a zwykle robiłem amatorke, zwracanie liczb rozdzielonych średnikami itd.). Zaczynam od prostego 'chatu' z logowaniem i rejestracją, uznałem, że taki chat jest prosty ale jednocześnie będzie dobra podstawa żeby coś już popracować.
Endpointy w API:
- User/Create - przyjmuje login i hasło, dodaje do bazy nowego użytkownika, zwraca kod błędu/powodzenia
- User/CreateToken - przyjmuje login i hasło, zwraca token
- User/ReleaseToken - 'wylogowanie', wyczyszczenie pola z tokenem
- Chat/Check - zwraca największy messageID
- Chat/Read - zwraca wiadomości z messageID > przeslaneMessageID
- Chat/Send - dodaje do bazy wiadomość*
z tych plików odnoszę się do innego - database - gdzie mam realizowane połączenie i wklepane dane
Tabele w bazie:
- users - userID, login, pass, token
- messages - messageID, senderID, message
Uwagi:
- Request przyjmuje dane w formie jsona
- Request zwraca dane w formie jsona
- Hasło odkodowuję poprzez base64_encode - dzięki czemu w requeście nie przesyłam żywcem hasła tekstem - wiem, że to żadne zabezpieczenie, no ale zawsze lepiej to wygląda chyba
- Token generowany jest poprzez proste md5(uniqid())
- Mam ładne adresy przez RewriteRule w htaccess
- Przed klepaniem apki testowałem endpointy Postmanem
- Celowo nie korzystam z oauth
- Celowo nie korzystam z frameworków
Pytania:
- Czasem obok tokena wysyłam w requeście userID, żeby wiedzieć kto jest np. autorem wiadomości. Czy lepiej byłoby wydzielić tablicę w bazie dla tokenów, przechowywać tam userID oraz czas ważności tokena, i czyścić je co jakiś czas? Dzięki temu nie musiałbym przekazywać userID obok tokena w np. wysyłaniu czy pobieraniu wiadomości
- Rozdzielenie Check od Read jest celowe, jest to lżejsza operacja, która będzie wykonywana co kilka sekund, dlatego rozdzieliłem sam fakt zmiany od pobierania nowych wiadomości. Wiem, że tutaj websockety albo jakaś inna magia by się pewnie sprawdziła, ale szkoda zachodu chyba
- Czytałem, że api musi być stateless itd, dlatego te CreateToken i ReleaseToken zamiast logowania i wylogowania, ale to takie chyba obchodzenie tematu, nie bardzo wiem co myśleć
- w kilku tutorialach widziałem, że ludzie w php obsługują takie dane wewnątrz requestów obiektowo- ma to sens, nie zabija to wydajności, jak to tylko request na chwilkę?
- w kilku tutorialach widziałem, że ludzie mają jeden plik dostępu do api, i w zależności od metody (get, post, delete)robią dużego ifa/switcha i coś tam działają. Czy to jest lepsze niż to co robię? Szczerze bardziej podoba mi się takie rozwalenie tego na kilka mniejszych plików i endpointów.
- dane do połączenia do bazy - nazwa, login, hasło - zostawić w tym pliczku jednym czy jeszcze jakoś gdzieś wyciągnąć poza?
Generalnie napisałem tego posta, ponieważ chciałbym przy okazji projektu czegoś się podszkolić z tej dziedziny. Nie będzie to api używane do ratowania życia czy obrony narodowej. Jeśli jest coś, co mogę dorobić w dzień dwa, a będzie fajnym rozwiązaniem, to chętnie przygarnę pomysły/linki/uwagi.