22 条 API 设计技巧，总结得很好( 二 ) _API

在某些情况下，它还有助于减少响应大小。
15. 不要在URL中通过认证令牌这是一种非常糟糕的做法，因为url经常被记录，而身份验证令牌也会被不必要地记录。
不应该：
GET /shops/123?token=some_kind_of_authenticaiton_token相反，通过头部传递它们：
Authorization: Bearer xxxxxx, Extra yyyyy此外，授权令牌应该是短暂有效期的。
16. 验证内容类型服务器不应该假定内容类型。例如，如果你接受
Application/x-www-form-urlencoded，那么攻击者可以创建一个表单并触发一个简单的POST请求。
因此，始终验证内容类型，如果你想使用默认的内容类型，请使用：
content-type: application/json17. 对CRUD函数使用HTTP方法HTTP方法用于解释CRUD功能。
GET：检索资源的表示形式。
POST：创建新的资源和子资源。
PUT：更新现有资源。
PATCH：更新现有资源，它只更新提供的字段，而不更新其他字段。
DELETE：删除已存在的资源。
18. 在嵌套资源的URL中使用关系以下是一些实际例子：

GET /shops/2/products：从shop 2获取所有产品的列表。
GET /shops/2/products/31：获取产品31的详细信息，产品31属于shop 2 。
DELETE /shops/2/products/31：应该删除产品31，它属于商店2 。
PUT /shops/2/products/31：应该更新产品31的信息，只在resource-URL上使用PUT，而不是集合。
POST /shops：应该创建一个新的商店，并返回创建的新商店的详细信息。在集合url上使用POST 。

19. CORS（跨源资源共享）一定要为所有面向公共的API支持CORS（跨源资源共享）头部。
考虑支持CORS允许的“*”来源，并通过有效的OAuth令牌强制授权。
避免将用户凭证与原始验证相结合。
20. 安全在所有端点、资源和服务上实施HTTPS（tls加密）。
强制并要求所有回调url、推送通知端点和webhooks使用HTTPS 。
21. 错误当客户端向服务发出无效或不正确的请求，或向服务传递无效或不正确的数据，而服务拒绝该请求时，就会出现错误，或者更具体地说，出现服务错误。
例子包括无效的身份验证凭证、不正确的参数、未知的版本id等。