Как правильно подключить чужое API, обработка ошибок, основные правила от Han

Здесь рассмотрим важнейшие правила которые нужно использовать при подключении к чужому АПИ ( Third party API), про то как создавть правильно свое АПИ (принимающее) будет другая статья на нашем ресурсе.

Подключение чужого API - это процесс взаимодействия с внешними сервисами или данными, предоставляемыми другими компаниями или разработчиками. Вот основные правила и шаги, которые следует учитывать при подключении чужого API:

1. Получение доступа:

   • Зарегистрируйтесь на сайте или платформе, предоставляющей API, чтобы получить доступ к его использованию.
   • Следуйте инструкциям по получению API-ключа или токена доступа. Этот ключ будет использоваться для аутентификации в API.

2. Ознакомьтесь с документацией:

   • Читайте документацию API. Она содержит информацию о доступных методах, параметрах, форматах запросов и ответов, а также примеры использования.
   • Убедитесь, что вы понимаете, как работает API, и какие возможности он предоставляет.

3. Устанавливайте правильные правила:

   • Следуйте правилам и ограничениям, установленным для использования API. Это может включать в себя ограничения по количеству запросов, периодам ограничения доступа и другие правила использования.

4. Безопасность:

   • Обеспечьте безопасность при работе с API. Не храните API-ключи в открытом виде в коде и не передавайте их по незащищенным каналам связи.
   • Рассмотрите возможность использования HTTPS для защиты данных, передаваемых между вашим приложением и API.

5. Обработка ошибок:

   • Учтите возможные ошибки, которые могут возникнуть при взаимодействии с API, и предусмотрите обработку их в вашем коде.
   • Рассмотрите возврат ошибок, предоставляемых API, и предоставьте пользователю информацию о возникших проблемах.

6. Мониторинг и отладка:

   • Внедрите мониторинг использования API, чтобы отслеживать производительность и возможные проблемы.
   • Используйте инструменты отладки для анализа запросов и ответов API в случае проблем.

7. Авторизация:

   • Если API требует авторизацию, убедитесь, что вы передаете правильные учетные данные (API-ключи, токены) в запросах.

8. Соблюдение законодательства:

   • Убедитесь, что ваше использование API соответствует законодательству и правилам платформы, предоставляющей API.

9. Обновления и поддержка:

   • Оставайтесь в курсе изменений в API и обновляйте свой код, если это необходимо.
   • Поддерживайте свою интеграцию и устраняйте возможные проблемы.

10. Тестирование:

    • Проводите тестирование вашей интеграции с API перед внедрением в продукцию, чтобы убедиться в ее надежности и корректной работе.

Соблюдение этих правил поможет вам успешно подключить и использовать чужое API в вашем приложении или проекте.

Токен. используемый для авторизации на чужом апи может использоваться как на бекэнде так и на фронтэнде. на бекэнде канал передачи данных и данные в том числе и токе полностью скрыт от внешнего мира, поэтому дополнительных мер защиты часто не требует, кроме проверки подлинности отправителя и данных для принимаемых Callback данных.(например веб-хуков)

Когда речь идет о правильном безопасном способе реализации frontend-авторизации с использованием токенов, одним из важных аспектов является обеспечение надежности и защиты токенов. Для этого можно рассмотреть механизмы, которые гарантируют, что ваш токен невозможно будет использовать на другом ресурсе без вашего разрешения.

Для этой цели можно использовать дополнительные меры защиты, такие как проверка Реферер (HTTP Referer), IP-адреса отправителя или даже использование дополнительного зашифрованного ключа. Вот как это можно описать красиво:

"Чтобы обеспечить максимальную безопасность и защиту пользовательских токенов при фронтенд-авторизации, мы применяем дополнительные меры проверки. Наша система не только проверяет валидность токена, но также анализирует ряд дополнительных параметров, включая:

1. HTTP Referer: Мы требуем, чтобы токен использовался только на страницах, которые имеют соответствующий Referer, связанный с нашими официальными доменами. Это гарантирует, что токен не будет передан на сторонние ресурсы без нашего разрешения.

2. IP-адрес отправителя: Мы также анализируем IP-адрес отправителя запроса. Если он не соответствует доверенным IP-адресам, которые мы указали, запрос будет отклонен. Это предотвращает несанкционированный доступ даже при наличии допустимого токена.

3. Дополнительный зашифрованный ключ: Для дополнительного уровня безопасности мы можем использовать зашифрованный ключ вместе с токеном. Этот ключ должен быть расшифрован на сервере, и если он не соответствует ожидаемому значению, запрос будет отвергнут.

Эти меры дополнительной проверки гарантируют, что наши токены остаются в безопасности и не могут быть злоупотреблены на сторонних ресурсах. Мы уделяем большое внимание безопасности, чтобы защитить конфиденциальность и данные наших пользователей.

так как нельзя гарантировать полную работу чуждого АПИ на 100%, то нужно быть заранее готовым к тому что на чужом АПИ будут ошибки. их необходимо учесть еще на стадии разработки вашего приложения которое подключается к чуждому АПИ и при тестировании. ошибки могут быть трех уровней. первый уровень- чужое АПИ возвращает заранее объявленный способ ответа (HTTP заголовок и тело ответа), второй уровень ошибок к которому вы должны быть готовы - это чужое АПИ возвращает абсолютно нестандартное тело ответа или HTTP заголовка. при этом ваше приложение все равно должно приять ответ и при этом не прекратить работу- например при возникновении исключительных ситуаций в Javascript и без их перехвата может прерваться выполнение работы и полностью перестать работать все фичи на вашем сейчас. и третий уровень чужое АПИ или дает ответ с большим тайм аутом или вообще не предоставляет ответа- решается так же перехватом исключения, установлением таймаута и использования параметров по умолчанию с обязательным логированием и уведомлением DevOps или системных администраторов или службы безопасности.

Важность обработки ошибок при взаимодействии с чужим API И виді ошибок при таком взаимодействии.

Эффективное управление ошибками может существенно повысить надежность и стабильность вашего приложения.

Вот как вы обязаны выполнять потенциальную обработку ошибок на разных уровнях:

1. ошибки первого вида (Уровень 1) - Ошибки с заранее определенными ответами:

   • Проанализируйте документацию API, чтобы понять, какие ошибки могут возникнуть и какие ответы ожидаются.
   • Создайте маппинг ошибок API на стандартные ошибки в вашем приложении.
   • Разработайте стратегию поведения при возникновении этих ошибок, включая уведомление пользователя или регистрацию событий в журнале.

2. ошибки второго вида (Уровень 2) - Нестандартные ответы:

   • Постарайтесь предусмотреть возможность нестандартных ответов, обрабатывая их гибко и без прерывания работы приложения.
   • Используйте механизмы проверки структуры ответов, чтобы убедиться, что они соответствуют ожидаемым форматам, и если нет, обрабатывайте такие случаи с учетом специфики API.
   • Рассмотрите внедрение механизма рефакторинга или адаптеров, чтобы нормализовать ответы API в стандартный формат, который будет легче обрабатывать.

3. ошибки третьего вида ( Уровень 3) - Ошибки связанные с таймаутами и отсутствием ответов:

   • Установите разумные таймауты для запросов к API, чтобы избежать блокировки и продолжения работы приложения.
   • Используйте механизмы асинхронной обработки, чтобы управлять долгими запросами и не блокировать основной поток приложения.
   • Разработайте механизмы автоматического перезапуска запросов при сбоях связи или отсутствии ответов, учитывая при этом определенные ограничения и сценарии восстановления.

Логирование и уведомления:

• Установите подробное логирование для всех запросов и ответов к API, а также для обработки ошибок.
• Уведомляйте операционных или службу поддержки в случае серьезных ошибок или проблем с API, чтобы быстро реагировать на них и устранять.

Таким образом необходимо использовать для решения потенциальных проблем при использовании сторонних АПИ:

• ограничивать таймаут соединения
• делать перехват ошибок
• назначать адекватные значения по умолчанию
• делать обязательное логирование перехваченных ошибок

try {
    $ctx = stream_context_create(array('http'=>
        array(
            'timeout' => 2,  // Seconds
        )
    ));
    $addressName = file_get_contents(
        'https://intellect.icu/v1/api/addresses/' . $aid,
        false,
        $ctx
    );
} catch (\Exception $e) {
    \Log::critical($e->getMessage());
}
if(!$addressName){
    $addressName = 'default address' ;
}

Важно также иметь хорошо структурированный и легко читаемый код, чтобы обеспечить более простую отладку и обработку ошибок. Обработка ошибок - это неотъемлемая часть разработки, и понимание возможных проблем и способов их решения на разных уровнях поможет создать надежное и стабильное приложение.