需遵循http方法语义、资源路径设计、状态码规范及数据格式统一等要求,具体包括:一、定义资源路由与http方法映射;二、实现json响应与内容协商;三、处理请求数据并验证输入;四、设置标准http状态码;五、添加基本身份认证与授权控制。

如果您希望使用PHP构建符合RESTful架构风格的API接口,则需要遵循HTTP方法语义、资源路径设计、状态码规范及数据格式统一等基本要求。以下是实现此类接口的具体步骤:
一、定义资源路由与HTTP方法映射
RESTful API的核心在于将URL视为资源标识,通过不同的HTTP动词表达操作意图。需避免在URL中嵌入动作名称(如do_login),而应使用标准路径如/users,并配合GET、POST、PUT、DELETE等方法区分读取、创建、更新与删除行为。
1、创建一个简单的路由分发文件(如api.php),使用$_SERVER['REQUEST_METHOD']获取当前请求方法。
2、通过$_SERVER['PATH_INFO']或parse_url($_SERVER['REQUEST_URI'], PHP_URL_PATH)提取请求路径,例如/api/users对应用户资源。
立即学习“PHP免费学习笔记(深入)”;
3、建立关联数组,将路径与支持的方法及其处理函数绑定,如['/api/users' => ['GET' => 'getUsers', 'POST' => 'createUser']]。
4、根据匹配结果调用对应函数,并确保未支持的方法返回405 Method Not Allowed状态码。
二、实现JSON响应与内容协商
客户端与服务端需就数据格式达成一致,RESTful API通常默认以application/json作为响应体格式,并依据Accept请求头做基础协商。服务端应主动设置Content-Type头,避免因编码或格式错误导致解析失败。
1、在输出前调用header('Content-Type: application/json; charset=utf-8')。
2、使用json_encode()序列化数组或对象,对中文字符需传入JSON_UNESCAPED_UNICODE选项。
3、检查json_last_error()返回值,若非JSON_ERROR_NONE则返回500 Internal Server Error并终止响应。
4、对空结果也应输出合法JSON,如[]或{},而非null或空字符串。
三、处理请求数据并验证输入
不同HTTP方法携带数据的方式不同:GET参数位于查询字符串,POST/PUT常使用application/json或application/x-www-form-urlencoded格式。服务端需统一提取并过滤原始输入,防止注入或非法值进入业务逻辑。
1、对于GET请求,使用$_GET获取参数;对于POST/PUT,先判断Content-Type,再从php://input读取原始JSON或使用$_POST解析表单数据。
2、对所有外部输入执行trim()和htmlspecialchars()(仅适用于HTML上下文)或更严格的白名单过滤,如使用filter_var()校验邮箱、整数等类型。
3、定义字段规则数组,例如['name' => 'required|string|max:50'],借助简易验证器判断是否缺失或超长。
4、验证失败时立即返回400 Bad Request及具体错误字段信息,如{"error": "name is required"}。
四、设置标准HTTP状态码
正确使用状态码是RESTful API可预测性的关键。状态码不应全部返回200,而应反映操作的真实结果,例如资源不存在返回404,权限不足返回403,冲突返回409。
1、成功创建资源后发送201 Created,并在Location头中提供新资源URI。
2、获取单个资源但ID不存在时,返回404 Not Found,不返回空对象。
3、执行更新操作时若资源已变更(如ETag不匹配),返回412 Precondition Failed。
4、所有错误响应均需包含status字段与message字段,便于前端统一捕获处理。
五、添加基本身份认证与授权控制
公开API需防止未授权访问,至少应实现基于Token的简单认证机制。无需引入完整OAuth2流程时,可采用Bearer Token配合服务端校验方式控制资源访问权限。
1、客户端在Authorization请求头中发送Bearer
2、将token与数据库或内存缓存中的有效会话比对,过期或无效则返回401 Unauthorized。
3、针对不同资源路径设定角色权限表,如/admin/users仅允许role = 'admin'的用户访问。
4、认证通过后,将用户ID或角色信息注入后续处理逻辑,避免重复查询数据库。











