Índice

Introdução

Este documento define os padrões que devem ser adotados durante a implementação de novas APIs publicas ou privadas na plataforma do fluig incluido:

Definir práticas e padrões consistentes para todos os endpoints das APIs do fluig;
Garantir a utilização mais próxima possível das boas práticas estipuladas pelos padrões REST/HTTP;
Tornar os serviços da plataforma fluig acessíveis através de APIs mais fáceis e documentadas para desenvolvedores e consumidores;

Comitê

Criamos um comitê interno, formado com um integrante de cada squad, para discutir e garantir a execução dos padrões definidos neste documento.

Cada um dos membros deve obrigatoriamente ser incluído no pull request de novas APIs publicas e cadas um deles é responsável por garantir a correta disseminação e implementação dentro de seu próprio time das APIs privadas.

Squad	Membro
SDK	Marcelo De Aguiar
Identity / Portal	Paulo Roberto Francisco Junior
LMS	Diego Lopes
BPM	Gustavo Martins De Souza
PAAS / Fundação	Vanei Anderson Heidemann
ECM	Andre Felipe Joriatti
Integração	Danilo Pacheco Martins

Nomenclaturas

Cliente: Qualquer aplicativo que faça uma requisição para um endpoint do fluig.

Mensagem: Conteúdo enviado no corpo de uma requisição ou resposta do servidor.

Endpoint: Representa um método ou entidade que pode ser acessado através de uma requisição ao servidor do fluig.

Verbo: Tipo de requisição usada para acessar um endpoint (GET, POST, PUT, HEAD, etc).

API: Grupo de endpoints

APIs Privadas são todas as APIs acessíveis apenas pelos times do fluig

APIs Publicas são todas as APIs que podem ser acessadas por clientes externos aos times de desenvolvimento do fluig.

Estrutura de URLs

Os caminhos definidos para cada endpoint devem ser de fácil leitura e significativos para o cliente para facilitar a sua descoberta e adoção. Os pontos abaixo DEVEM ser considerados ao criar uma URL:

Ao referenciar uma entidade na URL ela DEVE estar no plural. Ex. /users ao invés de /user
Evite caminhos com mais de 3 parâmetros pois isso dificulta a leitura e normalmente indica um problema arquitetural.
O caminho DEVE apontar para um recurso e não para uma ação sobre a entidade, use os verbos HTTP para representar uma ação. Nos casos onde não exista um verbo apropriado a ação pode ser informada como parâmetro no caminho da url ou na url.

Exemplo de URLs amigáveis:

Colocar exemplo de filtro e expansíveis

Entidade apresentada no plural e uso correto do parâmetro na url.
- https://fluig.totvs.com/api/users/{id}
Ações sobre entidades no caminho da url e como parâmetro da url.
- https://fluig.totvs.com/api/workflows/{id}?action=execute
- https://fluig.totvs.com/api/workflows/{id}/send
Relacionando entidades diretamente no caminho
- https://fluig.totvs.com/api/users/{alias}/communities
- https://fluig.totvs.com/api/communities/{id}/users
URL com suporte a campos expansíveis (linkar para a sessão de campos expansíveis)
https://fluig.totvs.com/api/users/{alias}?expand=prop1.subprop,prop2

Exemplo de URLS NÃO amigaveis e que deve ser evitadas:

Redundância na definição da url
- https://fluig.totvs.com/api/communty/listCommunities
Ordenação especificada na url
- https://fluig.totvs.com/api/communty/listCommunitiesWithRelevance
Verbos definidos na url ao invés de usar o verbo HTTP e falta de pluralização no substantivo.
- https://fluig.totvs.com/api/correlationquestion/create
- https://fluig.totvs.com/api/user/create
- https://fluig.totvs.com/api/user/delete
Identificador da entidade definido como parâmetro e não como caminho (na url)
- https://fluig.totvs.com/api/document/permissions?documentId={id}

Apesar de o padrão definido no documento RFC 7230 da especificação do HTTP 1.1 não definir um tamanho maximo para a url nenhum endpoint do fluig deve ser identificado com uma url maior que 2000 caracteres para garantir que todos os navegares modernos sejam suportados

Mais informações sobre a escolha do valor máximo de caracteres pode ser consultada em:

http://stackoverflow.com/questions/417142/what-is-the-maximum-length-of-a-url-in-different-browsers/417184#417184

https://blogs.msdn.microsoft.com/ieinternals/2014/08/13/url-length-limits/

Métodos suportados

Endpoints devem usar os métodos HTTP adequados e devem respeitar a idempotência da operação.

Na tabela abaixo serão listados os métodos que DEVEM ser suportados. Nem todos os endpoints devem suportar todos os métodos, mas os que usarem DEVEM respeitar a utilização conforme descrita.

Método

Descrição

Idempotente

GET

Retorna o valor corrente do objeto.

Sim

PUT

Sobrescreve o objeto quando aplicável. Por exemplo: O cliente gostaria de sobrescrever o usuário com novos valores:

POST http://fluig.totvs.com/api/users/10

{
  name: "",
  age: 20,
  ...
}

Caso o cliente NÃO informe alguma propriedade para ser atualizada está DEVE ser considerada nula. Está informação DEVE estar clara na documentação do método para que o cliente não há utilize inadvertidamente, ou pode-se optar por não implementá-la.

Sim

DELETE

Exclui o objeto.

Sim

POST

Cria um novo objeto ou submete um comando ao objeto.

Não

HEAD

Retorna os metadados da requisição em casos em que o cliente não precisa do corpo das requisições do tipo GET.

Sim

PATCH

PATH foi padronizado pelo IETF como o método usado para atualizar um objeto de forma incremental (ver RFC 5789), ou seja, apenas as propriedades informadas pelo cliente serão atualizadas. Por exemplo: O cliente gostaria de atualizar o nome do usuário e para isso vai usar o endpoint de atualização de usuários

POST http://fluig.totvs.com/api/users/10

{
  name: "Novo nome do usuário"
}

O servidor deverá implementar o serviço de modo que apenas o nome do usuário seja atualizado e todas as outras propriedades mantidas.

Não

OPTIONS

Retorna informações sobre um endpoint e sobre as operações suportadas por ele; ver abaixo para mais detalhes.

Sim

POST x PUT x PATCH

Deve-se atentar aos códigos de retorno para os tipos de operações definidos para usar estes métodos principalmente nos casos definidos abaixo:

Verbo

Usado para

Tipo de operação

Código de sucesso

Detalhes

POST

Criar uma entidade

Síncrona

201

Além do código de sucesso deve retorna a nova entidade criada.

PATCH ou PUT

Atualizar uma entidade

Síncrona

200

Além do código de sucesso deve retorna a nova entidade atualizada.

POST, PATCH, PUT

Criar ou atualizar entidade

Assíncrona

202

O código 202 informa ao cliente que o serviço aceitou a requisição para processamento e que isso pode levar um tempo para concluir. Nesse caso o endpoint DEVE retornar o campo Location no cabeçalho da resposta apontando para onde a nova entidade poderá ser encontrada. Por exemplo, considere o endpoint de cadastro assíncrono de usuários:

POST https://fluig.totvs.com/api/users
{
 ...
}

DEVE retornar como responta:

202 Accepted
Location: https://fluig.totvs.com/api/users/10

Padrões de cabeçalhos de requisição

A utilização destes cabeçalhos não é obrigatória para todos os endpoints mas os que os usarem DEVEM obedecer as regras descritas aqui.

Header	Tipo	Descrição
Authorization	literal	Cabeçalho usado para autorização das requisições
Date	data	Data e hora da requisição com base no calendário do cliente no formato estipulado em RFC 5322
Accept	enumerador de tipo de conteúdo	O tipo de conteúdo esperado para a resposta como por exemplo: application/xml text/xml application/json text/javascript De acordo com os padrões HTTP, este valor é apenas uma dica para o servidor e as respostas PODEM retornar valores em formatos diferentes dos informados.
Accept-Encoding	Gzip, deflate	Endpoints DEVEM suportar codificação GZIP e DEFLATE por padrão exceto em casos em que isso implique na performance.
Accept-Language	"en", "es", "pt"	Especifica o idioma preferencial da resposta. Endpoints DEVEM suportar e respeitar estes valores em casos em que uma mensagem é retornada ao usuário. Caso o idioma informado não seja suportado deve retornar no idioma padrão (pt).
Content-Type	tipo de conteúdo	Tipo do conteúdo sendo passado na requisição. O endpoint DEVE respeitar esta informação na hora de interpretar a informação passada pelo cliente ou retornar um erro apropriado caso o valor não for suportado.

Mensagens

Durante a construção das mensagens que serão transmitidas entre o cliente e endpoint deve-se garantir a consistência entre nomes de propriedades e objetos quando os mesmo fizerem parte de um mesmo grupo ou assunto.

Mensagens de retorno do endpoint para o cliente devem obedecer a estrutura definida para mensagens de erro ou mensagens de sucesso

Mensagem de erro

Todos as respostas de erro (códigos HTTP 4xx e 5xx) devem retornar uma mensagem contendo obrigatoriamente os campos a seguir:

{
    code: "Código identificador do erro",
    helpUrl: "link para a documentação do error",
    message: "Literal no idioma da requisição descrevendo o erro para o cliente",
    detailedMessage: "Mensagem técnica e mais detalhada do erro"
}

O campo code deve identificar unicamente o erro na documentação da API;
O campo helpUrl deve apontar para diretamente para documentação do erro na API;
O campo message deve descrever o erro de forma não técnica e pode ser usado pelos clientes para exibição ao usuário. O texto deste campo deve respeitar o idioma usado na requisição (definido pelo cabeçalho Accept-Language ou o padrão caso este não seja especificado);
O campo detailedMessage deve descrever o erro de forma mais técnica e pode conter referências que ajudem na correção / localização do erro no contexto do servidor do fluig.

Em alguns casos se faz necessário retornar mais campos do que os estipulados acima. Nestes casos a informação deve ser considerada opcional do ponto de vista do cliente, ou seja, o cliente não deve depender dela para o tratamento do erro.

Código 4xx versus 5xx

Dividimos os erros em duas categorias: Erros de negócio ou requisição e Erros não esperados.

Erros de negócio ou requisição são aqueles causados por dados inválidos na requisiçõe ou intencionalmente lançados do endpoint para o cliente. Todos os erros deste tipo devem obrigatoriamente retornar um código HTTP 4xx. Ex:

O cliente chamou um endpoint mas não estava devidamente autenticado. Deve ser retornado o código 401 - Unauthorized
O cliente chamou um endpoint mas mesmo estando autenticado não possui as permissões necessárias para efetuar a operação. Deve retornar o código 403 - Forbidden
O cliente chamou o endpoint para buscar um usuário (Ex: /users/{id}) mas o usuário não existe. Deve ser retornado o código de erro 404 - Not found
O cliente chamou o endpoint para efetuar alguma operação mas por alguma regra de negócio a operação não pode ser concluída e não existe um código de erro HTTP apropriado para descrevê-lo. Deve ser retornado o código de error 400 - Bad Request
O cliente chamou o endpoint passando no cabeçalho que aceita como retorno xml (Content-Type: text/xml) mas o serviço consegue retornar JSON. Deve retornar o erro HTTP 406 - Not Acceptable
O cliente chamou um endpoint para subir um documento mas o usuário logado passou o limite de espaço estipulado para seu perfil. Deve retornar o código 507 - Insufficiente Storage;

Erros não esperados são os erros não tratados ou não intencionais. Esse tipo de erro deve sempre retornar códigos HTTP 5xx. Ex:

O cliente chamou um endpoint mas o servidor não pode responder por que estava sobrecarregado. Deve retornar o código 503 - Service Unavailable;
O cliente chamou um endpoint para subir um documento mas não havia espaço em disco no servidor. Deve retornar o código 507 - Insufficiente Storage;

Dicas de como implmentar os métodos para tentar manter um padrão de implementação.