LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@purojyu

【API設計】押さえておきたいポイントまとめ

Posted at

はじめに

アプリケーション同士のやり取りに欠かせない「API」。
モバイルアプリやWebフロントエンドとの通信では、RESTfulなHTTP APIが依然として主流ですが、GraphQLやgRPCなど新しい技術も活発に使われています。
いずれにせよ、**「使いやすくて保守しやすいAPI」**を提供するには、ある程度の設計指針やベストプラクティスを押さえておくことが重要です。

本記事では、API設計で気をつける代表的な事項を列挙し、ポイントごとに簡単に解説します。

1. リソース設計 (RESTの場合)

1.1 リソース(URL)の命名規則

  • できるだけ名詞を使う
    • 例: /users, /orders, /articles など。
  • 複数形/単数形の一貫性を確保
    • /user と /users を混在させると混乱の元。
  • ネストはなるべく浅く
    • 例: /users/{user_id}/posts まではOKでも、それ以上深くする必要があるか検討。

1.2 HTTPメソッドの適切な利用

  • GET: リソース取得
  • POST: リソース作成
  • PUT: リソースの全更新 (基本的にリソース全体が確定している場合)
  • PATCH: リソースの部分更新
  • DELETE: リソース削除

メソッドによって同じURLでも違う操作を意味するので、混同しないようにメソッドを正しく選択する。

2. APIバージョニング

2.1 なぜバージョン管理が必要か

  • 既存のクライアントを破壊しないために、後方互換性を担保しつつAPIを進化させる必要がある。
  • 変更の度に古いクライアントを強制アップデートさせるのは現実的でない場合も多い。

2.2 バージョン付けの方法

  1. URLに含める
    • 例: /v1/users, /v2/users
    • 比較的わかりやすい反面、URLの変更が必要なので運用がやや煩雑になる場合がある。
  2. HTTPヘッダを使う
    • 例: Accept: application/json; version=2
    • URLがスッキリするが、クライアント実装でヘッダ指定が必要。
  3. クエリパラメータ
    • 例: /users?version=2
    • 適用範囲が限定される場合があるので注意。

どの方式を採用するかはチームや組織の方針次第だが、大幅に非互換な変更がある場合はURLバージョンがシンプルという意見も多い。

3. リクエスト・レスポンスの形式

3.1 JSONが主流

  • 現在、多くのRESTful APIでJSONが主流。
  • XMLやMessagePack、Protobuf(gRPC)なども使われるが、フロントエンドではJSONがやはり扱いやすい。

3.2 JSON SchemaやOpenAPIによる仕様の可視化

  • OpenAPI (旧Swagger) などでAPIのインタフェースを定義しておくと、
    • 自動ドキュメント生成
    • クライアントコード生成
    • テストツール連携
      などがスムーズになる。
  • JSON Schemaを使うと、レスポンスやリクエストの構造がはっきりする。

3.3 ネスト構造はなるべく分かりやすく

  • 深すぎるネストは可読性が下がり、クライアント側のパース処理も複雑になる。
  • 必要以上の入れ子が発生していないかチェックする。

4. 認証・認可

4.1 一般的な認証方式

  • OAuth 2.0 / OIDC
    • Webアプリやモバイルアプリで広く用いられる。
    • 自前の認証基盤を作る場合にも採用検討する価値大。
  • APIキー (トークン) 認証
    • シンプルだが、鍵の管理や権限スコープの設定が重要。
  • Basic認証やDigest認証
    • テスト用や簡易保護には使われるが、実サービスでは脆弱な場合もある。
    • HTTPSを前提にしても、機能面で不足があることが多い。

4.2 認可(権限管理)

  • 誰がどのリソースにどの操作をできるのか、ロールや権限の仕組みをAPI側でどの程度管理するか要検討。
  • ロールベース/ポリシーベースなどの方式を整理して、ソースコードやDBで実装方法を統一する。

5. エラー処理・ステータスコード

5.1 HTTPステータスコードの活用

  • 200 OK: 成功
  • 201 Created: 新規リソース作成成功(POST)
  • 400 Bad Request: リクエストに問題がある(パラメータ不備など)
  • 401 Unauthorized: 認証が必要、または認証に失敗
  • 403 Forbidden: 認証は通ったが権限が無い
  • 404 Not Found: リソースが存在しない
  • 500 Internal Server Error: サーバー側のエラー

意味に応じてなるべく適切なステータスコードを返却し、クライアントが状況を把握しやすいようにする。

5.2 エラーレスポンスの共通化

  • 同一フォーマットでエラー情報を返すことで、クライアント処理を単純化する。
  • 例:
{
  "error": {
    "code": "INVALID_PARAM",
    "message": "Parameter 'xxx' is required."
  }
}
  • コード・メッセージ・詳細などを決めておき、全APIで統一する。

6. ページング・フィルタリング

6.1 大量データ取得をどう扱うか

  • 例: GET /users?limit=50&offset=100
  • limit と offset で指定するのがオーソドックス。
  • 大量レコードを一度に返すのは負荷が高いため、ページング必須になるケースが多い。

6.2 カーソルベースのページング

  • 大規模システムでは、カーソルベース(Next Tokenなど)の方がoffsetより性能面のメリットがある場合がある。
  • GET /users?cursor=abc123 として、次のページを取得する手段を設計する。

6.3 検索・フィルタリング

  • クエリパラメータで絞り込み条件を指定
  • 例: /users?gender=male&age_min=20&age_max=30
  • 複雑なフィルターを受け付ける場合は、JSONパラメータやGraphQLなどを検討する。

7. バッチ要求・非同期処理

7.1 同期か非同期か

  • 時間のかかる処理(レポート生成、画像変換など)は同期APIだとタイムアウトのリスクあり。
  • 非同期API設計(ジョブ登録→完了通知、WebSocketなど)や、サーバーサイドでキューやワーカーを使った実装を検討。

7.2 バッチAPI (一括操作)

  • 同じ種類の操作をまとめて実行したい場合は、バッチ用エンドポイントを用意する。
  • 例: POST /users/batch-delete にユーザーIDのリストを送信。

8. ログとモニタリング

8.1 追跡用ID(トレースID)の付与

  • HTTPヘッダ(X-Request-ID など)でクライアントから受け取る/サーバー側で生成するなど方法は様々。

8.2 ログの設計 (続き)

  • どの程度の情報をどのレベルで残すかを最初に決める。
  • 必要に応じてアクセスログ・アプリケーションログ・エラーログを分ける。
  • 個人情報や機密情報のログ記録はセキュリティ面に要配慮。

9. セキュリティ全般

9.1 HTTPSの利用

  • API通信は必ずHTTPS(TLS)を使用して暗号化する。
  • HTTPでAPIを運用するのは基本的にNG(内部ネットワークでも避けたい)。

9.2 CSRFやXSSへの対策(フロントエンドと連携する場合)

  • API側だけでなく、フロント側(ブラウザ)でのトークン管理やCookieのSameSite属性などに注意。
  • JWTを使う際はトークンの保管場所(Cookie or localStorage)と失効管理をきちんと考える。

9.3 レートリミットやDDoS対策

  • APIキーやユーザー単位でのレートリミットを設定する。
  • 過剰なリクエストや攻撃を検知し、ブロックする仕組み(例えばAPI Gateway)の導入も検討。

10. ドキュメント整備

10.1 自動生成が理想

  • OpenAPI/Swaggerなどを使ってソースコードから自動生成、もしくはドキュメントからクライアントコードを自動生成できると、常に最新の仕様を維持しやすい。
  • 「ドキュメントが更新されない」事故を防ぎやすい。

10.2 サンプルリクエスト/レスポンス

  • ドキュメントには具体的な例を載せると理解が進みやすい。
  • パラメータ一覧だけでなく、エラーケースの例も含めると親切。

まとめ

  1. リソース設計とURL/メソッドのルールを統一
  2. バージョニングで後方互換性を意識
  3. JSONを中心に、フォーマットを共通化 & OpenAPI活用
  4. 認証・認可を適切に実装し、セキュリティを強化
  5. ステータスコードとエラーフォーマットを統一
  6. ページングやフィルタリングの設計で大規模データもさばけるように
  7. 非同期処理やバッチ操作が必要な場合の設計
  8. ログとモニタリング、トレースIDで運用を円滑に
  9. HTTPS必須、レートリミットなどセキュリティ対策
  10. ドキュメントを自動生成 or 適切にメンテナンス

これらを踏まえてAPIを設計すると、クライアント実装がしやすいだけでなく、障害時のトラブルシュートや将来の拡張がずっと楽になります。

おわりに

API設計は「通信のプロトコルや認証方式」「ドメインモデルの分割」「セキュリティ要件」など、考慮すべきことが多岐にわたります。しかし、ポイントを整理しつつ、チームで合意したベストプラクティスやルールを運用することで、トラブルが少なく拡張性のあるAPIを提供できるはずです。

この記事が少しでも皆さんのAPI設計のお役に立てば幸いです。質問や追加で知りたい点があれば、ぜひコメントしてください!

以上、API設計で気をつけるべきポイントのまとめでした。ご覧いただきありがとうございました。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?