问REST多根urls

EN

从减少风险的角度来看，备选案文2比备选案文1更可取。

如您所知，前端开发人员永远不能直接访问业务数据。如果您的CRUD API允许这样做，并且您的前端开发人员使用它，则可能导致不可逆转的数据损坏以及严重的声誉和财务损失。

任何访问业务数据的东西都需要经过严格的开发和测试过程。这种测试不是由前端开发人员执行的(相信我-我知道)。因此，业务逻辑开发人员应该是唯一使用CRUD API的人。如果前端开发需要业务逻辑目前没有提供的数据操作，则需要规划、开发和测试API中的新方法。

即使业务逻辑调用只执行一个CRUD API调用，前端开发人员也不需要知道。他们所感兴趣的是，他们所要求或提交的数据将以正确的方式处理。如果更改了数据库模式(例如，在数据库升级期间)，只需要更新一个API，而不需要搜索整个前端的API调用。如果您有引用最新版本的latest别名，并且业务逻辑使用它而不是v1等，则可以更新CRUD，而无需重写业务逻辑API。Atlassian为其应用程序开发的REST API使用这种别名。(请看一下这里。)查看'URI结构‘部分)

将不同URL上的两个API分离清楚地表明，它们针对的是不同的目标。不让前端开发人员知道CRUD会通过模糊的方式带来一定程度的数据安全性。他们不知道的东西不能咬他们。

你总是需要考虑未来。您说应用程序仅供“内部”使用，但如果您的公司收购了一家新业务并开始使用API，怎么办？你真的想让他们直接看数据吗？如果允许对API进行公共访问，该怎么办？你当然想让Joe和他的脚本-孩子朋友直接在你的数据库里闲逛。分离URL使这更容易实现，因为您可以阻止对CRUD API的访问，而不必担心是否有后门路径通过它。