API的就是程序员的UI，和其他UI一样，你必须仔细考虑它的用户体验！
Restful只是web api/Json传输接口通过http调，取到还要自己解。Rpc一般都是配套的，客户端直接像调本地函数一样调用(一般用在内网服务间调用，可以用rpc的框架thrift）
Swagger可以用来管理你的RESTful API

使用SSL(https)来提供URL

• 使用https可以在数据包被抓取时多一层加密

• 即使你使用了https，黑客抓不到你具体传输的数据，但是可以抓到你请求的URL啊！因此，使用https进行请求时，要采用POST、PUT或者HEAD的方式传输必要的数据

使用GET、POST、PUT、DELETE这几种请求模式

• curl请求支持这些请求方式

• get（select）从服务器抽取资源；

• post（create）在服务器创建一个资源；

• put（update）在服务器更新资源；

• delete（delete）从服务器删除资源。

在URI中体现资源，而非动作

• 每个网址代表一种资源，不能用动词只能有名词，多用复数名词

• URI的设计应该遵循可寻址性原则，具有自描述性，需要在形式上给人以直觉上的关联

• 使用?用来过滤资源，很多人只是把?简单的当做是参数的传递，很容易造成URI过于复杂、难以理解。？对应的是一些特定条件的查询结果或算法运算结果。

• ,或;可以用来表示同级资源的关系，有时候我们需要表示同级资源的关系时，可以使用,或;来进行分割。

版本

• 接口参数或返回值有变化

• 逻辑处理有变化

HTTP响应码

下面是一些参考的状态码：

• 200 OK - [GET]：服务器成功返回用户请求的数据，该操作是幂等的（Idempotent）。

• 201 CREATED - [POST/PUT/PATCH]：用户新建或修改数据成功。

• 202 Accepted - [*]：表示一个请求已经进入后台排队（异步任务）

• 204 NO CONTENT - [DELETE]：用户删除数据成功。

• 400 INVALID REQUEST - [POST/PUT/PATCH]：用户发出的请求有错误，服务器没有进行新建或修改数据的操作，该操作是幂等的。

• 401 Unauthorized - [*]：表示用户没有权限（令牌、用户名、密码错误）。

• 403 Forbidden - [*] 表示用户得到授权（与401错误相对），但是访问是被禁止的。

• 404 NOT FOUND - [*]：用户发出的请求针对的是不存在的记录，服务器没有进行操作，该操作是幂等的。

• 406 Not Acceptable - [GET]：用户请求的格式不可得（比如用户请求JSON格式，但是只有XML格式）。

• 410 Gone -[GET]：用户请求的资源被永久删除，且不会再得到的。

• 422 Unprocesable entity - [POST/PUT/PATCH] 当创建一个对象时，发生一个验证错误。

• 500 INTERNAL SERVER ERROR - [*]：服务器发生错误，用户将无法判断发出的请求是否成功。

返回值结构

使用JSON进行返回：

• JSON可以很好的被很多程序支持，javascript的ajax可以直接将JSON转换为对象。

• JSON的格式在容量上比xml小很多，可以减低宽带占用，提高传输效率。

• 字段的合理返回，数据的包裹。因为返回值中，我们常常要对数据进行区分分组，或者按照从属关系打包，所以，我们再返回时，最好有包裹的思想，把数据存放在不同的包裹中进行返回。

      {"error_code" : ,"data" : {"user_id" : ,"username" : "admin"},"server_time": 14939939}
  

鉴权

• 通行的是使用OAuth的方式，通过AccessToken来进行身份管理

自我保护能力

• 即使使用的人没仔细看API文档随便乱用也不会导致系统出问题，这种案例非常的多，例如对外提供了一个批量查询接口，结果用户一下传了一个里面有上千个用户id的数组，查询一下直接把内存耗光，像这种情况下不能怪使用的人，而应该怪实现API的这一端的保护做的不够好，按照这样的标准去看，会发现开源的很多东西的API都不太合格；