接口设计6大原则 接口设计6大原则是什么

UI设计原则与思路有哪些

3、里氏替换原则（Liskov Substitution Principle, LSP）：子类对象能够替换基类对象并且仍然保持原来的行为，以确保代码的稳定性和可靠性。

很多人都知道UI设计师必须具备良好的审美和脑洞，可以天马行空但也必须尊重UI设计原则。出色的设计师都明白UI设计原则是一个职业的底线，忽略了它们不仅饭碗不保，还会让自己感觉怀才不遇！那么这6大原则到底是什么？

接口设计6大原则 接口设计6大原则是什么

接口设计6大原则 接口设计6大原则是什么

在设计UI时，不要根据像素尺寸来设计，而应根据设备的像素密度设计。这样可以确保UI元素正确缩放以适配不同的设备尺寸。

原则1：设计清新简洁

相信没有一个用户喜欢APP界面冗杂，简单明了的界面设计可以让用户快速得到帮助，这样就可以留存用户。试想一下如果一个界面没有重点，图标混乱谁还愿意使用，即使这个APP功能再强大，更多的人都会选择卸载。

原则2：减轻记忆负荷

这点要从人类的记忆说起，人类的记忆错综复杂并且不稳定，因此界面的设计必须要考虑到人类更多是为了浏览信息而不是记忆信息。并且对于年龄稍大的人来说，太多的作手续更加重脑负荷。

原则3：风格统一化

每一个设计师都应该有自己鲜明的风格，例如小清新风、风、日系风、风等等没有限制，但前提是页面设计风格和商品属性要统一。例如这是一个日系店铺但设计成了风，就大大降低了用户的体验感。

原则4：从用户角度出发

UI设计师拥有个人风格很重要，但不能一意孤行，要从用户的角度要出发，设计打造适合他们的作内容。不能用户要辣椒，你给个茄子那是不行的。这点需要我们多看看用户的评论能获得很多。

相信大家都有过这样的体验，当点击一个页面的时候回出现网站不安全的提示，作为设计师这点肯定必不可少，确保用户账号的安全才能取得信任。

原则6：作的灵活性

除了界面简洁明了，多样的作性必不可少！除了移动端、鼠标、键盘、手柄等都需要多种作，不能局限单一性。

以上就是6大UI设计师原则的详细解读，很多人认为只要学会软件就是一名设计师了，其实不然，初级设计师都会软件、中级设计师不仅会软件还会配色、高级设计师会软件会配色还会沟通，大神设计师会想用户所想！要知道缺的不是UI设计师，缺的是大神。

OA设计的六大原则是？

2、开放-封闭原则（对扩展开放；对修改关闭）。

这六大原则是：

1、实用性原则

实用就是务实不务虚，就是注重解决实际问题，做精、做细核心功能，兼顾常用的辅助功能，实现快捷、方便地布署和使用，并节省投资，降低风险。有OA起来功能一堆，什么客户、人事、财务、资产、知识管理等等一网打尽，却做得粗糙之极，中看不中用。

2、易用性原则

这就要求软件的界面友好，结构清晰，流程合理，功能一目了然，菜单作充分满足用户的视觉流程和使用习惯。易理解、易学习、易使用、易维护、易升级，实现“傻瓜相机”式的作，将实施、培训成本和周期降到。易用性对软件的顺利实施和使用具有至关重要的意义，易用性的欠缺造成项目失败的案例已经屡见不鲜。

OA一个先进的工具，所以应采用先进的技术架构和设计方法，融合先进的管理思想，结构化程度高，灵活性、扩展性、兼容性、升级性好，速度快，符合技术发展趋势，适应用户成长需要。此处需要注意的是避免受“惟技术论”和“惟概念论”的误导，无论是技术还是概念都要以适合自己为准。

OA入到企业中后，就会让人产生很大的依赖性。所以系统从底层数据库到功能层应经过严格测试，数据库稳定，功能顺畅，没有堵塞、丢失数据的现象，能在不同的硬件、网络、作系统以及作习惯中长期平稳运行，适合大规模用户使用，以保证日常办公的正常进行。

OA统往往保存有企业的核心资料，也会有个人用户的一些保密资料，这就要求系统能有效防止外部各种攻击和恶意攻击，能够进行严格、细致的访问权限管理，内部数据具有多种备份方式。必要的情况下，允许用户进行各种辅助的数据加密、密码保护、身份认证等控制措施。

6、拓展性原则

大部分用户在使OA段时间后，会增加一些功能模块或者OA其他软件系统互联，这就要求软件具有很好的拓展性，能够提供开放和标准的接口，在不影响系统正常使用的情况下与第三方系统灵活对接，实现不同应用系统的互联互通，构建用户的综合性信息处理中心平台。

根据六大设计原则，我们发现，要为用户体现完美的系统性能，就必须以应用为核心，以实用、易用、好用三大主线为出发点，全面兼顾技术、应用与发展的和谐统一。

虽然这六大标准都很重要，但是“水至清则无鱼”，没有任何一OA完美的，能做到其中几项就已经够了。而且，不同的客户需求、特点不同，关注点也不同，只要把关HTTP/2.0协议不应该把底层的数据加密机制（即SSL）作为必选项。注点设到“”档，把非关注点达到“合格”档，就不难找到适合自己的OA。

面向对象设计的6个设计原则最早谁提出的

OAuth协议适用于为外部应用授权访问本站资源的情况。其中的加密机制与HTTP Digest身份认证相比，安全性更高。需要注意，OAuth身份认证与HTTP Digest身份认证之间并不是相互取代的关系，它们的适用场景是不同的。OAuth协议更适合于为面向最终用户维度的API提供授权，例如获取隶属于用户的微博信息等等。如果API并不是面向最终用户维度的，例如像七牛云存储这样的存储服务，这并非是OAuth协议的典型适用场景。

Booch描述了面向对象的软件开发方法的基础问题。

3、先进性原则

面向对象设计的六大基本原则:

1)开闭原则

2)里氏代换原则

3)依赖倒转原则

4)接口隔离原则

5)迪米特法则

6)合成/聚合复用原则

软件设计原则有哪些

李建业：不好意思，这个我不太重视，没法，不过我可以解释一下为什么对RESTful API框架不感冒的原因。

1.六大原则-单一职责原则

使用HTTP响应状态代码来表达各种出错情况

原则思想：一个方法只负责一件事情。

描述：单一职责原则很简单，一个方法 一个类只负责一个职责，各个职责的程序改动，不影响其它程序。 这是常识，几乎所有程序员都会遵循这个原则。

优点：降低类和类的耦合，提高可读性，增加可维护性和可拓展性，降低可变性的风险。

2.六大原则-里氏替换原则

原则思想：使用的基类可以在任何地方使用继承的子类，完美的替换基类。

描述：子类可以扩展父类的功能，但不能改变父类原有的功能。子类可以实现父类的抽象方法，但不能覆盖父类的非抽象方法，子类中可以增加自己特有的方法。

优点：增加程序的健壮性，即使增加了子类，原有的子类还可以继续运行，互不影响。

3.六大原则-依赖倒置原则

原则思想：高层次的模块不应该依赖于低层次的模块，他们都应该依赖于抽象，抽象不应该依赖于具体实现，具体实现应该依赖于抽象。

描述：类A直接依赖类B，如要将类A改为依赖类C，则必须通过修改类A的代码来达成。这种场景下，类A一般是高层模块，负责复杂的业务逻辑；类B和类C是低层模块，负责基本的原子作；如修改类A，会给程序带来不必要的风险。

优点：可以减少需求变化带来的工作量，做并行开发更加友好。

4.六大原则-接口隔离原则

原则思想：类和类之间应该建立在最小接口的上。

描述：类A通过接口依赖B，类C通过接口依赖D，如果接口类A和类B不是最小的接口，则依赖的类B和类D必须要实现他们不需要的方法。

优点：提高程序的灵活度，提高内聚，减少对外交互，使得最小的接口做最多的事情。

5.六大原则-迪米特法则

原则思想：一个对象应当对其他对象有尽可能少地了解，简称类间解耦

描述：一个类尽量减少自己对其他对象的依赖，原则是低耦合，高内聚，只有使各个模块之间的耦合尽量的低，才能提高代码的复用率。

优点：低耦合，高内聚。

6.六大原则-开放封闭原则

原则思想：尽量通过扩展软件实体来解决需求变化，而不是通过修改已有的代码来完成变化

描述：一个软件产品在生命周期内，都会发生变化，既然变化是一个既定的事实，我们就应该在设计的时候尽量适应这些变化，以提高项目的稳定性和灵活性。

优点：单一原则告诉我们，每个类都有自己负责的职责，里氏替换原则不能破坏继承关系的体系。

软件的设计原则就是设计一个可以执行的程序，而且程序必须要准确，对于输入的信息有的执行。

文件设计原则有哪些？它的设计原则肯定按照他的需要或者是内容来设计吧，我们还是先了解和关注一下吧！

我觉得软件的设计原则主要还是在于逻辑性，一个软件设计的好不好设计师的逻辑很重要

面向对象七大设计原则

使用OAuth协议做身份认证

面向对象的原则?

单一职责原则：一个对象应该只包含单一的职责，并且该职责被完整地封装在一个类中。单一职责原则是实现高内聚、低耦合的指导方针，是最简单却最难ja接口（抽象类）用来声明一个新的类型。运用的原则，需要设计人员发现类的不同职责并将其分离。

面向对象设计原则有7个，这7大设计原则包括开闭原则、里氏替换原则、依赖倒转原则、单一职责原则、接口隔离原则、组合/聚合复用原则、迪米特法则。

DIP依赖倒置原则抽象不依赖于细节，细节应该依赖抽象。（面向抽象编程，C#为面向接口编程）。ISP接口隔离原则接口属于用户类。

特征见下面：抽象就是忽略一个主题中与当前目标无关的那些方面，以便更充分地注意与当前目标有关的方面。继承是一种联结类的层次模型，并且允许和鼓励类的重用，它提供了一种明确表述共性的方法。

面向对象设计的三个原则

抽象不依赖于细节，细节应该依赖抽象。（面向抽象编程，C#为面向接口编程）。ISP接口隔离原则接口属于用户类。（接口面用用户类，不用想着和自身层次、方法相关）REP重用发布等价原则重用的粒度就是发布的粒度。

单一职责原则：一个对象应该只包含单一的职责，并且该职责被完整地封装在一个类中。单一职责原则是实现高内聚、低耦合的指导方针，是最简单却最难运用的原则，需要设计人员发现类的不同职责并将其分离。

在运用面向对象的思想进行软件设计时，需要遵循的原则一共有7个，他们是：单一职责原则（SingleResponsibilityPrinciple）每一个类应该专注于做一件事情。

面向对象设计的基本原则有哪些

依赖关系不要存在环。ADP稳定依赖原则朝着稳定的方向进行依赖。SAP稳定抽象原则包的抽象程度应该和稳定程序一致。

单一职责原则：一个对象应该只包含单一的职责，并且该职责被完整地封装在一个类中。单一职责原则是实现高内聚、低耦合的指导方针，是最简单却最难运用的原则，需要设计人员发现类的不同职责并将其分离。

面向对象的原则：模块化面向对象开发方法很自然地支持了把系统分解成模块的设计原则：对象就是模块。它是把数据结构和作这些数据的方法紧密地结合在一起所构成的模块。

面向对象设计的三个原则

马钧：个人认为RESTful的安全性分为几个层次，在安全要求较高的场合，可以通过HTTPs这样的加密协议来保证网络层的安全，应用层的安全可以通过OAuth实现认证，而对于资源的访问授权，则只能依靠应用程序来实现了。

面向对象设计的原则是单一职责原则、开放-封闭原则、Liskov替换原则、依赖倒置原则、接口隔离原则。1、单一职责原则。

3、Liskov替换原则（子类型必须能够完全替换其父类型（继承）；关注行为的替换（多态））。

4、依赖倒置原则（依赖抽象；面向接口编程等）。

5、接口隔离原则（接口尽量小；接口要稳定，职责要单一；多个小接口比一个大的通用接口要好等）。

三个基本特征

1、抽象与封装：

抽象是把系统中需要处理的数据和在这些数据上的作结合在一起，根据功能、性质和用途等因素抽象成不同的抽象数据类型。每个抽象数据类型既包含了数据，又包含了针对这些数据的授权作。在面向对象的程序设计中，抽象数据类型是用“类”这种结构来实现的，每个类里都封装了相关的数据和作。

封装是指利用抽象数据类型和基于数据的作结合在一起，数据被保护在抽象数据类型的内部，系统的其他部分只有通过包裹在数据之外被授权的作，才能与这个抽象数据类型进行交互。李建业：目前比较好的方式还是在uri设计中添加版本信息，其它方法都不如这个实用。

2、继承：

它是与传统方法不同的一个最有特色的方法。它是面向对象的程序中两个类之间的一种关系，即一个类可以从另一个类（即它的父类）继承状态和行为。继承父类的类称为子类。

继承的优越性：通过使用继承，程序员可以在不同的子类中多次重新使用父类中的代码，使程序结构清晰，易于维护和修改，而子类又可以提供一些特殊的行为，这些特殊的行为在父类中是没有的。

3、多态：

是指一个程序中同名的方法共存的情况，调用者只需使用同一个方法名，系统会根据不同情况，调用相应的不同方法，从而实现不同的功能。多态性又被称为“一个名字，多个方法”。

模块化程序设计的设计原则是什么

4、Web开发：在Web开发过程中，可以采用MVC(Model-View-Controller)架构，即将业务逻辑、数据模型和表现层分离开来，有利于代码的复用和扩展，提高Web应用的可维护性和易用性。

模块化程序设计的设计原则是： 1. 单一职责原则：每个模块应该只负责一项职责，这样可以提高代码的复用性和可维护性。

2. 开放封闭原则：对扩展开放，对修改封闭，即模块应该可以被扩展而不被修改。 3. 里氏替换原则：子类应该能够替换它的父类，即子类应该具有比父类更低的耦合性。

4. 接口隔离原则：一个类应该对另一个类的依赖越少越好，即一个类不应该依赖于它不需要的接口。 5. 依赖反转原则：应该尽量避免父类依赖于子类，子类依赖于其实现类，而应该是子类依赖于父类。

6. 合成/聚合4、稳定性原则复用原则：尽量使用对象组合，而不是继承，实现复用。

什么是好的API与设计流程和设计原则

3. 子类具有扩展超类的，而不是置换（Override）掉或注销（Nullify）掉的。

安全是恒久的话题，对于基于WSDL和SOAP的Web Serv，我们有WS-Security这样的安全规范来指导实现认证、授权、身份管理等安全需求。那么，RESTful API有无成熟可用规范或实现框架呢？如何保证RESTful API的安全性呢？

InfoQ：安全是恒久的话题，对于基于WSDL和SOAP的Web Serv，我们有WS-Security这样的安全规范来指导实现认证、授权、身份管理等安全需求。那么，RESTful API有无成熟可用规范或实现框架呢？如何保证RESTful API的安全性呢？

如何对RESTful API进行版本控制，请分享您认为实用的做法？

HTTP1.1规范中给出的动词对于设计RESTful API够用吗？您在实际项目中会扩展自己的动词吗？在什么情况下需要扩展？

今年5月份发布的JAX-RS 2.0规范对于RSTfulAPI的设计最有价值的特性是哪个（些）? 它（们）用于解决什么问题？

能否为InfoQ的读者们一款实用的RESTful API开发框架，并说明您的推介理由。

HTTP2.0规范正在制定当中，您对它的期待是什么？

InfoQ：什么是好的RESTful API？相信每个人都有自己的评判标准。那么，您认为一个好的RESTful API应该具有哪些特征呢？

李锟：一个好的RESTful API，应该具备以下特征：

这个API应该是对浏览器友好的，能够很好地融入Web，而不是与Web格格不入。

浏览器是最常见和最通用的REST客户端。好的RESTful API应该能够使用浏览器+HTML完成所有的测试（不需要使用编程语言）。这样的API还可以很方便地使用各种自动化的Web功能测试、性能测试工具来做测试。Web前端应用（基于浏览器的RIA应用、移动App等等）也可以很方便地将多个RESTful API的功能组合起来，建造Mashup类的应用。

这个API中所包含的资源和对于资源的作，应该是直观和容易理解的，并且符合HTTP协议的要求。

REST开发又被称作“面向资源的开发”，这说明对于资源的抽象，是设计RESTful API的核心内容。RESTful API建模的过程与面向对象建模类似，是以名词为核心的。这些名词就是资源，任何可命名的抽象概念都可以定义为一个资源。而HTTP协议并不是一种传输协议，它实际提供了一个作资源的统一接口。对于资源的任何作，都应该映射到HTTP的几个有限的方法（常用的有GET/POST/PUT/DELETE四个方法，还有不常用的PATCH/HEAD/OPTIONS方法）上面。所以RESTful API建模的过程，可以看作是具有统一接口约束的面向对象建模过程。

按照HTTP协议的规定，GET方法是安全且幂等的，POST方法是既不安全也不幂等的（可以用来作为所有写作的通配方法），PUT、DELETE方法都是不安全但幂等的。将对资源的作合理映射到这四个方法上面，既不过度使用某个方法（例如过度使用GET方法或POST方法），也不添加过多的作以至于HTTP的四个方法不够用。

如果发现资源上的作过多，以至于HTTP的方法不够用，应该考虑设计出更多的资源。设计出更多资源（以及相应的URI）对于RESTful API来说并没有什么害处。

这个API应该是松耦合的。

RESTful API的设计包括了三个循序渐进、由低到高的层次：资源抽象、统一接口、超文本驱动。正是这三个层次确保了RESTful API的松耦合性。

当设计面向互联网的API时，松耦合变成了一种“必须有”的强需求。紧耦合的API非常脆弱，一旦公布出去，端和客户端都无法持续进化。尤其是端，公布出去的接口根本不敢改，改了之后，几乎所有客户端应用立即无常工作。REST这种架构风格就是紧耦合API的解毒剂，这个话题可以谈的很深，这里就不展开了。感兴趣的读者可以参考《REST实战》。

这个API中所使用的表述格式应该是常见的通用格式

在RESTful API中，对于资源的作，是通过在端-客户端之间传递资源的表述来间接完成的。资源的表述可以有很多种格式，并且在响应和请求中的资源表述格式也会有所不同。GET/POST响应中的资源表述格式，常见的有HTML、XML、JSON；POST/PUT请求中的资源表述格式，常见的有标准的HTML表单参数、XML、JSON。

这些常见表述格式，处理起来非常容易，有大量的框架和库提供支持。所以除非有很合理的要求，通常不需要使用自定义的私有格式。

HTTP响应状态代码，是HTTP协议这个统一接口中用来表达出错情况的标准机制。响应状态代码分成两部分：status code和reason phase。两部分都是可定制的，也可以使用标准的status code，只定制reason phase。

如果一个所谓的“RESTful API”对于任何请求都返回200 OK响应，在响应的消息体中返回出错情况信息，这种做法显然不符合“确保作语义的可见性”这个REST架构风格的基本要求。

这个API应该对于HTTP缓存是友好的

充分利用好HTTP缓存是RESTful API可伸缩性的根本。HTTP协议是一个分层的架构，从两端的user agent到origin server之间，可以插入很多中间组件。而在整个HTTP通信链条的很多位置，都可以设置缓存。HTTP协议内建有很好的缓存机制，可以分成过期模型和验证模型两套缓存机制。如果API设计者完全没有考虑过如何利用HTTP缓存，那么这个API的可伸缩性会有很多问题。

李建业：首先说明一下，对REST这个概念，我一般把它理解为REST风格的架构，但是现在实践中最为广泛认知的是HTTP，而它是REST的一个实现，所以RESTful API也可以不太严格的指基于HTTP的API——当然，即使是不严格的时候，API本身也应该力求遵循REST架构风格。

我认为，一个RESTful API最重要的一点应该是——“尽可能少的先验信息”，这一条也同时是我判断一个好的RESTful API的标准。

比如HTTP动词，在实践中，大家可能会常常纠结于有效利用 HTTP 动词，但这却并不是特别重要的事情——除非你理解这么做的价值。HTTP 动词最重要的地方在于它是标准阐明了的行为，也就是说，如果我们的“客户端”遵循约定，那么就不必要发明新的动词，也就不必增加“先验信息”；但是，所谓“先验信息”，针对的是客户端——对API来说就是调用者，对于一些企业内部系统，或者一些传统系统，由于“资源”很稳定，对资源的作也很稳定，这些系统的“调用客户端”不是浏览器而是另一个系统，此时如果强制对应到HTTP动词，反而会变成额外的“先验信息”，这时我就不会太拘泥HTTP动词，自己制定一套动词放在参数中也可以接受——只要动词不变化，这个系统依然是REST风格的。

再比如Response里面的Content-Type，这个有时会被新手忽略，但这其实很重要，因为一般涉及到系统间协同的API，往往不会使用普通的文本，比较常见的是使用json表达复杂结构，而这与通常的缺省理解不同（缺省一般会认为是text/plain和text/html），所以如果在API中忘记用Content-Type进行区分的话，后续对多种类型的客户端接入的支持就会变成陷阱（我们多次遇到过这个问题）。而如果一开始就检查是否增加先验知识（缺省Content-Type为plain或者允许指定Content-Type），那这一困难就可以避免了。

丁雪丰：首先，应该正确地使用HTTP的统一接口，比如HTTP的动词，如果不分青红皂白清一色POST那显然还有改进的余地；

其次，资源有合适的粒度，可以从三个方面来评判资源的粒度是否合理——网络的效率、表述的大小以及客户端使用时的易用程度；

，是表述的设计，除了表述的正文内容，还有其中的URI和链接，这些都是评判一个RESTful API好坏的标准。

马钧：在我看来，一个好的API标准，就是能尽量利用到HTTP协议的特性，将HTTP当成一种转移协议，而不是传输协议。包括但不限于：利用HTTP的各种动词来明确作；包含有内容协商，可以根据请求头提供的参数选择一个资源最合适的媒体类型、语言、字符集和编码的表现；使用不同的返回代码来描述各种状态。但实际上见到过的很多声称RESTful API，包括国内的和国外的，能符合这些条件的并不多。parse提供的API是我见到过的较为不错的RESTful API，可以作为范例参考。

李锟：保证RESTful API的安全性，主要包括三大方面：

a) 对客户端做身份认证

b) 对敏感的数据做加密，并且防止篡改

对客户端做身份认证，有几种常见的做法：

在请求中加签名参数

为每个接入方分配一个密钥，并且规定一种签名的计算方法。要求接入方的请求中必须加上签名参数。这个做法是最简单的，但是需要确保接入方密钥的安全保存，另外还要注意防范replay攻击。其优点是容易理解与实现，缺点是需要承担安全保存密钥和定期更新密钥的负担，而且不够灵活，更新密钥和升级签名算法很困难。

使用标准的HTTP身份认证机制

HTTP Basic身份认证安全性较低，必须与HTTPS配合使用。HTTP Digest身份认证可以单独使用，具备中等程度的安全性。

这个做法需要确保接入方“安全域-用户名-密码”三元组信息的安全保存，另外还要注意防范replay攻击。

优点：基于标准，得到了广泛的支持（大量HTTP端、客户端库）。在端做HTTP身份认证的职责可以由Web （例如Nginx）、App （例如Tomcat）、安全框架（例如Spring Security）来承担，对应用开发者来说是透明的。HTTP身份认证机制（RFC 2617）非常好地体现了“分离关注点”的设计原则，而且保持了作语义的可见性。

缺点：这类基于简单用户名+密码机制的安全性不可能高于基于非对称密钥的机制（例如数字证书）。

对敏感的数据做加密，并且防止篡改，常见的做法有：

部署SSL基础设施（即HTTPS），敏感数据的传输全部基于SSL。

仅对部分敏感数据做加密（例如预付费卡的+密码），并加入某种随机数作为加密盐，以防范数据被篡改。

身份认证之后的授权，主要是由应用来控制。通常应该实现某种基于角色+用户组的授权机制，这方面的框架有不少（例如Spring Security），不过大多数开发团队还是喜欢自己来实现相关功能。

李建业：我不认为安全是RESTful API需要考虑的问题，事实上我觉得这是两个正交的问题。当然，如果使用RESTful API来提供认证、授权和身份管理，那也算是双方有关系，但是这和其它风格的API设计所要考虑的问题似乎没什么区别，不值得特别注意。

但是在具体设计层面，这两者的“正交点”上似乎确实有些问题，因为REST是一个推崇状态无关原则的架构风格，而认证和授权通常基于第三方解决方案，所以往往会出现违背有状态约束的问题，这个地方我也没有特别的想法，当然这个困难和原问题关系不大。

至于WS-族的协议，我不太了解，不太能参与讨论。

丁雪丰：对于RESTful API，常见的安全措施都是可以继续使用的。例如，为了防篡改，可以对全部参数进行签名；为了防范重放攻击可以在请求中增加一次性的Token，或者短时间内有效的Token；对内容加密可以实现数据防泄露……；对于DDoS攻击，各种HTTP流量清洗策略，都可以继续发挥作用，因为这就是基本的HTTP请求。

在授权和认证方面，OAuth 2.0已经基本成熟了，并且得到了广泛地应用。如果可以，接入第三方账户体系是个不错的选择，比如Google和Facebook的，国内的当然也有几个候选。

InfoQ：如何对RESTful API进行版本控制，请分享您认为实用的做法？

李锟：一个比较简单实用的做法是直接在URI中插入版本号，这样做允许多个版本的API并行运行。

另一个做法是在HTTP请求中加入自定义头信息，标明使用的版本号。不过这个做法其实对浏览器不够友好，简单地使用浏览器+HTML无法测试。

丁雪丰：个人认为的版本化，就是没有明显的版本。在对已发布的服务进行变更时，要尽量做到兼容，其中包括URI、链接和各种不同的表述的兼容，最关键的就是在扩展时不能破坏现有的客户端。例如，要变更一个参数，可以选择同时兼容新旧两种输入，或者保持老参数不动，提供一个新的参数，在文档中必须做出说明，不新用户再继续使用之前的参数。

如果必须要进行不兼容的变更，那么可以选择标记不同的版本号，这时可以选择在路径或参数中增加版本信息。也有做法是增加HTTP标头，只是在调用时会稍有不便，前两种方法。

马钧：RESTfulAPI的版本升级，尽量兼容之前的版本，保证原有的API都能正常工作，可以通过HTTP 301转跳到新的资源。另外一种实用的做法就是在中保留版本号，同时提供多个版本供客户端使用，如 v1.rest 或者 这样。

InfoQ：HTTP1.1规范中给出的动词对于设计RESTful API够用吗？您在实际项目中会扩展自己的动词吗？在什么情况下需要扩展？

李锟：这个问题取决于设计者如何看待和设计资源。如果资源抽象做的很好，对于某个资源的任何作，通常都能够映射到CRUD四个类别中。CRUD四个类别对于作资源来说，绝大多数情况下是完备的。HTTP的GET/POST/PUT/DELETE四个方法，对于CRUD四个类别的作来说是足够的，映射关系是Create-POST/Retri-GET/Update-PUT/Delete-DELETE。

我们通常不会选择创建自己的动词，这样做对于客户端开发者来说，需要更多的学习成本。如果在资源上定义的作过多，我们会选择拆分出更多的资源。

李建业：一般是够用的，有时一些“不够用”的场景是由于我们没有设计出合理的资源，比如批量作。但是，正如之前所说的那样，对于某些内部的、传统的（因此模型稳定且已知）系统，API提供者和调用者会有自已的固定动词表，此时没必要拘泥。另外，我不建议扩展动词，一旦扩展了动词，其实已经破坏了我之前说的“尽可能少的先验信息”，那么，扩展动词和重新设计动词的成本别不大。基于这个考虑，我建议尽可能保持动词不变，除非你想重新设计动词表。

丁雪丰：一般情况下，常用的HTTP动词是够用的，并没有出现一定要自己扩展动词的情况。其实，最常用的也就是GET、POST、DELETE和PUT，而HEAD、OPTIONS、TRACE则基本用不太到。如果出现一时找不到合适的动词，安全幂等的作用GET，其他都可以用POST，在设计资源时稍加考虑即可。

马钧：在我的实际项目中，只用到了POST，PUT，DELETE，GET这四个动词。

InfoQ：今年5月份发布的JAX-RS 2.0规范对于RSTfulAPI的设计最有价值的特性是哪个（些）? 它（们）用于解决什么问题？

李锟：REST开发框架RESTEasy项目负责人Bill Burke，去年写了一篇文章介绍JAX-RS 2.0。

我同意Bill在文章中的观点，在JAX-RS 2.0增加的内容中，最重要的三部分为：

a) API——用来规范化JAX-RS客户端的开发方式。

b) -side Asynchronous HTTP——用来实现端推送功能，而不需要依靠低效的轮询方式。

c) Filters and Interceptors——用来分离关注点，将鉴权、日志等逻辑与业务逻辑分离开，更好地实现代码重用。

这三部分的内容对于开发者来说都很有用。遵循JAX-RS规范做开发，可以确保端以及客户端代码的可移植性。

李建业：我个人关注异步API这部分，主要是因为流式服务将会越来越多，那将大量需要这类支持。

InfoQ：能否为InfoQ的读者一款实用的RESTful API开发框架，并说明您的推介理由。

李锟：这个问题我就不详细回答了。不同的编程语言有不同的REST开发框架，对于REST的支持程度也不同。开发RESTful API的需求范围很广，可选择的开发框架的范围也很广。保持多样性是繁荣生态环境的基础。像Ja就有支持JAX-RS规范的Jersey、RESTEasy、Restlet、Apache CXF，和不支持JAX-RS规范的Spring MVC等等很多框架。这些框架目前都做的不错。我对框架的选择没有倾向性。RESTful API设计的实践应该是通用的，而不是必须依赖某种特定的开发框架。

REST作为一个架构风格，对我们的系统开发有很大影响，但是这些影响一般是针对架构（例如状态无关）或者设计（例如资源识别）上的，所以一旦涉及到具体实现，主要工作就基本结束了，此时开发框架能做的事也就只有简化编程了（相较而言，有的框架还能起到设计的作用），而由于RESTful会抽象动词，所以实现层面中和API规范相关的工作本来就不多，那么框架的价值就更小了。

当然，我们也不可能直接基于servlet/rakc/wsgi来开发，不过一般的编程语言都会提供一些简单的 route/match策略，我们使用这些就足够了。另外，有些框架能帮我们生成全部的动词支持，但这也未必是好事，我一般倾向于按需实现——用到了再支持，这就更不需要太关注开发框架对RESTful的支持了。

丁雪丰：由于本人是Spring的拥护者，工作中也一直在使用Spring，所以在选择框架时会更多地倾向Spring MVC（并不是说别的框架不好，这里有些个人主观的成份）。如果一定要选择其他框架，也要选择能够方便与Spring集成的框架。如果在项目中已经使用了Spring，那么没有什么理由不选择Spring MVC，鉴于目前Spring在各种项目中的高出镜率，相信一般情况下都会选择Spring MVC。

REST的成熟度模型中，第三层就是HATEOAS，Spring目前还提供了Spring Hateoas子项目，对链接、资源等方面的支持都做了一定的增强。

马钧：我目前在实际项目中使用的是Spray，这是一个开源的 REST/HTTP 工具包和底层网络 IO 包，基于 Scala 和 Akka 构建。轻量级、异步、非堵塞、基于 actor 模式、模块化和可测试是Spray的特点。

InfoQ：HTTP2.0规范正在制定当中，您对它的期待是什么？

李锟：我的期待包括两个方面：应该做的和不应该做的。

HTTP/2.0规范应该做的：

与HTTP/1.1协议保持兼容。兼容的含义是说两者可以并存，客户端应用可以根据端的能力，自由地选择使用HTTP/2.0还是HTTP/1.1，而且选择过程对应用来说是透明的。

改进HTTP协议（作为资源的统一接口）之中作语义表达方式的语法，提高网络传输效率。

更好地模块化，这样HTTP/2.0协议的实现能够更好地模块化。应用程序可根据需要选择适当的模块，而不是要么全有、要么全无。

废弃掉HTTP/1.1协议中一些很少有人用到的部分，例如采用管道（pipelining）方式发送请求。

增加更多的动词，以适应除CRUD之外的其他场景。

HTTP/2.0规范不应该做的：

HTTP/2.0协议不应该背离REST架构风格的约束，尤其是要确保作语义对于中间组件的可见性。

在上面这两个方面，Roy Fileidng曾经与SPDY协议设计者Mike Belshe发生过激烈争论，详情请看：Roy Fielding谈Google SPDY协议

李建业：对此规范关注不多，不知道会不会有对于流的支持，目前我所知道的只有ck方式进行简单的支持，但是真正的流需要区分数据通道和控制通道——哪怕是逻辑上的区分，这样就直接对REST风格产生了很大冲击，考虑到流式服务在未来的发展潜力，我特别期待业界在这方面有所进展。

丁雪丰：HTTP 2.0很大程度上是借鉴了Google的SPDY，就我而言，首先，希望这个规范能做到与HTTP 1.1的兼容，使用者如果只认识1.1，那么2.0能优雅“降级”；其次，希望2.0能带来更好的性能，SPDY在这方面还是有所改进的，希望HTTP 2.0能再接再厉；，希望这个规范能在最终定稿时附带一个实践，正确人们合理地使用HTTP 2.0。

马钧：没研究过，估计即使出来，1.1还有很长的生命周期，不会很快被取代。

如何软件系统设计

异步接口：接口调用超时，调用方查询+补偿；接口内部服务超时，内部查询+补偿到成功，回调通知；接口回调通知超时，指数补偿回调；

一、善用UML工具

用例图

用例图

静态图：类图、对象图、包图

静态图

交互图-时序图（注重时间）

时序图

交互图-协作图（注重对象）

协作图

行为图-状态图（注重状态）

状态图

行为图-活动图（注重活动）

活动图

实现图-组件图

组件图

实现图-部署图

部署图

二、遵从设计原则

设计模式基础

单一职责：一个类只负责一个职能；

里氏转换：在子类中不应重写、重载父类的方法，子类要能替代父类；

接口隔离：不依赖不需要的接口，拆分大接口；

迪米特法则：一个对象应该对其他对象保持最少的了解（低耦合）；

开放封闭：对扩展开放，对修改关闭；

依赖倒置：抽象不应该依赖细节，细节应该依赖抽象，即针对接口编程，所有依赖关系都终止于抽象类或接口，不要对实现编程。

设计模式

创建型

结构型

行为型

分布式设计原则

高可用

高并发

业务设c) 身份认证之后的授权计

分布式理论

超时处理

两状态同步接口（OK/ERR）：接口调用超时，调用方查询+补偿；接口内部服务超时，内部快速失败+冲正；

三状态同步接口（OK/ING/ERR）：接口调用超时，调用方查询+补偿；接口内部服务超时，返回处理中，内部查询+补偿到成功，调用方轮询；

消息队列：生产者发送超时，持久化可靠发送+幂等消费；消费者消费超时，消息处理完偏移量增加。

缓存

三、画好架构图

4+1视图

场景视图：参与者与功能用例关系，用例图表示；

C4视图

语境图：梳理待建设系统用户和高层次依赖，在中间画出自己的系统，周围是用户与其它交互系统。

C4语境图容器图：展开语境图待建设系统，用框图表示，可包含名称、技术选择、职责、框图间交互，明确外部系统边界。

C4容器图组件图：展开某个容器，描述其内部模块组件组成、关系。

C4组件图类图：同UML静态图，此处不再展开。

系统接口设计的原则（续）

就看你的接口设计的是不是合理，是不是好用。这就是框架设计师。

昨天写到系统接口什么是接口：接口就是一些方法特征的------接口是对抽象的抽象。设计最重要的原则是：

很开心的是大家选了黎叔和Richardson的方案，因为这个方案是最 简单直观 的，并且满足了数据在两个系统的一致性。

还是举昨天的例子，数据在客户系统是这样的：

到我们系统也会生成一样的数据：

我们系统为了生成这条数据，还需要生成一些基础数据：

这个方案的问题是一个正常的SR(一装一卸)被分成了两个SR，一个是提货SR，一个是卸货SR，和我们之前对SR的认知十分不同，除了心里有些小担心之外，暂时也想不出这样会有什么问题。

抛开这个问题，我想用三个词来评价这个解决方案：

结构化程序设计原则

2、算法设计：在算法设计和优化过程中，可以运用结构化编程的模块化和层次化思想，将大问题划分为小问题，逐步求解和优化，从而提高算法的效率和可扩展性。

结构化程序设计是一种基于模块化和层次化的编程方法，其核心原则包括以下几点：

1、单一功能原则（Single Responsibility Principle, SRP）：每个模块或函数只应该负责一个单一的功能，以确保代码的清晰性和可维护性。

2、开放封闭原则（Open-Closed Principle, OCP）：软件实体（类、模块等）应该对扩展开放，对修改关闭，以便于系统的升级和维护。

4、接口隔离原则（Intece Segregation Principle, ISP）：应该将客户端不需要的接口来，以避免客户端对不必要的接口产生依赖。

5、依赖倒置原则（Dependency Inversion Principle, DIP）：高层模块不应该依赖低层模块，而应该通过抽象来依赖接口，以提高代码的灵活性和可复用性。

总之，结构化程序设计注重代码的可读性、可维护性和可扩展性，通过分解复杂问题为简单的模块和函数，并遵循一定的设计原则和规范，使得代码更加清晰、易懂、易于测试和调试。

结构化程序设计可以应用于多个领域和情境，包括但不限原则5：安全性的保障于以下几个方面：

1、软件开发：在软件开发过程中，可以采用结构化编程的思想和原则，通过分解复杂问题为简单的模块和函数，并尽可能地遵循一定的设计规范，使得代码更加清晰、易懂、易于测试和调试，从而提高软件的质量和可维护性。

3、数据库设计：在数据库设计和管理过程中，可以采用结构化编程的数据抽象和规范化思想，设计出更加规范、高效、可维护的数据库结构，以满足各种业务需求。

总之，结构化程序设计的思想和原则可以应用于各个领域和情境，帮助开发人员设计出更加清晰、高效、可维护的程序和系统。