1. APIs bem desenhadas como
base para integrações

2. José Vahl
Gerente de Tecnologia
Ciclista, fotógrafo,
cervejeiro, gerente de
tecnologia e APIs addicted
jose.vahl@sensedia.com
@josevahl
Petterson Andrade
Arquiteto de Software
Palestrante, nerd,
arquiteto de software,
cruzeirense e confia na
tecnologia
petterson.andrade@sensedia.com
@pett4j

3. Applications Services
Enabling Digital Transformation
Quick Facts
Founded
in 2007
Campinas,
São Paulo,
Rio de Janeiro
and
US Incorporated
Strong SOA Background
(Gartner MQ SOA Gov, 2009)
+
● Services & API Strategy
● Architectural Solution
● API Platform

4. Agenda
Integração e evolução
Cenários de APIs
API First
Design de APIs
Mão na massa!
+

5. O Estado
Corrente das
Coisas
SOAP/XML
WS-*
Arquitetura de Serviços!
Legado ++
Integração!
Foco Total
Ênfase no
ESB

6. +
Arquitetura tradicional
ERPBillingCRM
ESB
(serviços)
Processos
Client
Aplicações
QualidadeeSegurança
GovernançaSOA

7. +
Novos elementos, novas abordagens...
Cloud
Mobilidade
Social
Analytics
Internet of
Things
Plataforma &
Ecossistema
Microservice
Connector-
less

8. Custom
Applications
CustomBillingERP
Aplicações
On Premise
Cloud

9. BillingCheckoutERP
ESB
(serviços)
Processos
Cliente
Aplicações
API
Gateway
QualidadeeSegurança
GovernançaSOA
Cloud

10. Mobilidade
Custom
Applications
CustomBillingERP
Aplicações
On Premise
Preocupações arquiteturais:
● Segurança
● Escalabilidade
● Limitações de banda

11. Social
Aplicações
BillingCRMERP

12. Social
Aplicações
BillingCRMERP
ProxyLayer
Monitoração
Unificação
da gestão de
chaves

13. Internet
of Things

14. Microservice #1 Microservice #2 Microservice #3 Microservice #4
Banco Relacional Banco Orientado
a Documentos
Key/Store Data
Base
Graph Database
HTTP HTTP HTTP HTTP
Microservice

15. Microservice
Microservice #1 Microservice #2 Microservice #3 Microservice #4
Banco Relacional Banco Orientado
a Documentos
Key/Store Data
Base
Graph Database
HTTP HTTP HTTP HTTP
API Gateway
HTTP HTTP HTTP HTTP
Service aggregation
Rate Limiting
Monitoring & Alerts
Authentication
Models
Policy Enforcement
Exception handling
Analytics on API
Consumption

16. Connector-
less
Adapter Adapter
Human Capital Supply Chain
HTTP HTTP HTTP HTTP
ERP CRM
Adapter
HTTP
Enterprise Resource
planning
HTTP
Enterprise
Performance

17. Connector-
less
Adapter
Human Capital Supply Chain
HTTP HTTP HTTP HTTP
API Gateway
Service aggregation
Rate Limiting
Monitoring & Alerts
Authentication
Models
Policy Enforcement
Exception handling
Analytics on API
Consumption
ERP CRM
Adapter
HTTP
Enterprise Resource
planning
HTTP
Enterprise
Performance
HTTP
Adapter

18. Uma avalanche de APIs
Arquitetura de Serviços!
Legado ++
Ênfase no
ESB
+
Formas de integração

19. Backend
APIs
The Digital Glue
Integrações com
Aplicações SaaS
Aplicações
Móveis
Internet
of Things
Inovação
Ecossistema
de Parceiros
Digitais

20. +
SSOCIAL
MMOBILE
AANALYTICS
CCLOUD
IoTINTERNET
OF THINGS
Transformações Digitais

21. Experiências digitais transformadas
Arquitetura de Serviços!
Legado ++
+
Cenários de uso das APIs
Inovação abertaPlataformas e
Ecossistemas
Clientes e Parceiros Múltiplos dispositivos

22. +
Plataformas e Ecossistemas
Planejamento de viagens”“

23. +
Clientes e Parceiros
Aproximação de
vendedores e compradores
“ ”

24. +
Clientes e Parceiros
Aproximação de
vendedores e compradores
“ ”

25. +
Múltiplos Dispositivos
Missão: Dar às pessoas
acesso a todas as músicas
que elas quiserem o tempo
todo, de forma simples e
legal.
“
”

26. +
Inovação Aberta
Aceleradora de Startups
focada em Apps para os
28M de usuários Nike
“
”

28. +
Multi-sided
Business Models
Platform
Power
Conceitos em comum

29. +
The Magnet:
- Design of Incentives
- Pricing Models
- Reputation Systems
The Matchmaker:
- Rich Data Collection
- Data-oriented Match
- Curation (the best and the
rest)
Gravity
Flow
Connection
The Toolbox:
- Simple
- Open
- Agile

30. + API First

31. 78%

32. +
Compromisso com APIs
“Anyone who doesn’t do this will be fired. Thank you; have a nice day!”
- Jeff Bezos

33. +
Foco na informação ou na integração?
● Serviços projetados para
uso interno
● Código Legado
● SOAP Services
● Tabelas de Banco
API
(design problemático)
Foco na
informação
Foco na
integração
info:
version: 0.0.1
title: My API História para
contar

34. +
Design despriorizado +
Visão de curto prazo
Com “APIs”

35. +
Design de
APIs info:
version: 0.0.1
title: My API

37. 1966
Clint Eastwood
Lee Van Cleef
Eli Wallach
Sergio Leone
(Por um punhado de dólares e Por uns dólares a mais)

38. RESTSOAP vs.
JSONXML vs.
Valor RESTful Documentação Status
Codes
Otimização Hypermedia Segurança Instrum/zação
As primeiras decisões…

39. JSONREST +
And the winners are...

40. Muito confusa
?
Valor
Não “pegou”
http://www.infoq.com/news/2015/11/dropbox-deprecates-apis

41. 778 Pokémon
248 Habilidades
?
Valor

42. 778 Pokémon
248 Habilidades
?+55k calls / dia
Valor

43. “Você pode até passar batom num porco,
mas ele continuará sendo um porco!”
Foco no consumidor!

44. RESTful

45. REST
Representational State Transfer
Estilo arquitetural criado por Roy Fielding
RESTful
Design que respeita os conceitos REST

46. Coleção
/pedidos
Resources
Elemento
/pedidos/{id}

47. /getAccount
/getAllAccounts
/createDirectory
/updateGroupName
/findClientById
RPC?

48. URI: https://api.mycompany.com/name-of-api/resource
HTTP ou
HTTPS
Seu domínio Nome da API
(opcional)
Recursos e
Parâmetros
RESTful

49. GET POST PUT DELETE

50. Resource POST
(create)
GET
(read)
PUT
(update, create)
DELETE
(delete)
/pedidos Cria novo
pedido
Lista pedidos -- Apaga todos
os pedidos
/pedidos/3747 -- Mostra pedido
3747
Atualiza pedido
3747, se não
existir, cria
Apaga pedido
3747
RESTful

51. Método de Consulta
(Cachable, Safe, Idempotente)
GET /vendas/pedidos
GET /checklist/item/4
GET
POST
PUT
DELETE
PATCH
OPTIONS
HEAD

52. Método para “Criação”
(Unsafe, Não-Idempotente)
POST /clientes/98W33GJ201/enderecos
{
"endereco": "Av. Brigadeiro Faria Lima",
"numero": "3800",
"complemento": "18o. Andar",
"bairro": "Itaim Bibi",
"cidade": "São Paulo",
"estado": "SP",
"cep": "04538-132"
}
GET
POST
PUT
DELETE
PATCH
OPTIONS
HEAD

53. GET
POST
PUT
DELETE
PATCH
OPTIONS
HEAD
Método para “Atualização”
(Unsafe, Idempotente)
PUT /clientes/98W33GJ201/enderecos/1
{
"endereco": "Av. Brigadeiro Faria Lima",
"numero": "3800",
"complemento": "18o. Andar",
"bairro": "Itaim Bibi",
"cidade": "São Paulo",
"estado": "SP",
"cep": "04538-132"
}

54. GET
POST
PUT
DELETE
PATCH
OPTIONS
HEAD
Método para Remoção
(Unsafe, Idempotente)
DELETE /pedidos/98W33GJ201
DELETE /users/98S7726QV1/photos

55. GET
POST
PUT
DELETE
PATCH
OPTIONS
HEAD
Método para Atualização parcial
(Unsafe, Não-Idempotente)
PATCH /users/98W33GJ201
{
"email": "joao.silva@empresa.com"
}
PATCH /pedidos/39D0091B86
{
"status": "Cancelado"
}

56. GET
POST
PUT
DELETE
PATCH
OPTIONS
HEAD
OPTIONS
Quais métodos são permitidos?
OPTIONS /clientes
Allow: HEAD,GET,POST,OPTIONS
HEAD
Quero ver apenas o Header
HEAD /clientes
Date: …
Content-Type: application/json
Content-Length: 12345

58. Documentação

59. DocumentaçãoTHINGS
CHANGE!
v1
v2
v3
v4

60. Documentação
Versão
URI: https://api.mycompany.com/name-of-api/v2/resource
HTTP ou
HTTPS
Seu domínio Nome da API
(opcional)
Recursos e
Parâmetros
Outras alternativas:
• Twilio: /2010-04-01/Accounts/
• Salesforce.com: /services/data/v20.0/limits
Versionamento
Nunca quebre o cliente!!

61. UX
(Developer Experience)
DX

62. API Portal
Developers
https://developers.[you].com
Powered by
❖ Introdução, tutoriais e
exemplos de códigos
❖ Self-service Signup
❖ Documentação interativa
(API Browsing)
❖ Forum, Blog & Dev support
❖ Testes facilitados (Sandbox)
❖ Dev. Dashboard
API Developers Portal
Documentação

63. Documentação
Interativa
desenvolvedores.cnova.com

64. Getting
Started
www.twilio.com/api

65. Exemplos de
código na
linguagem
do developer
sendgrid.com/docs

66. Sign-up e Tokens
de acesso
automáticos
stripe.com/docs

67. REST Console ou
Sandbox / Playgroung
dev.transparencia.org.br

69. Hackathon & Open Innovation

70. Status Codes
200
400
500
Resultado OK
Erro no Cliente
Erro no Servidor
201 Criado
202 Aceito
401 Não Autorizado
405 Operação não permitida
413 Request muito grande
429 Muitas requisições
503 Servidor não disponível
204 Sem Conteúdo

71. STATUS OK 200

72. 200
400
500
Status &
Error Codes
200 OK
GET /candidatos?estado=SP&partido=PP
200 OK
[
{
"id": "1532962",
"apelido": "PAULO MALUF",
"nome": "PAULO SALIM MALUF",
"numero": "1111",
"cargo": "Deputado Federal",
"estado": "SP",
"partido": "PP",
"reeleicao": true
}
]

73. 200
400
500
Status &
Error Codes
201 Created
POST /items/1234/bids
{
"amount" : 602.99
}
201 Created
Location: /items/1234/bids/100001
{
"amount" : 602.99,
"current_bid" : 510,
"winning" : true
}

74. 200
400
500
Status &
Error Codes
400 Bad Request
GET /candidatos
400 Bad Request
{
"status" : 400,
"code" : 40377,
"message" : "Parâmetro 'estado' não
pode ser nulo ou vazio"
"more" : https://dev.empresa.com/errors/40377
}

75. 200
400
500
Status &
Error Codes
Outros Comuns
401
403
404
413
429
Unauthorized
Forbidden
Not Found
Request is too Large
Too Many Requests

76. 200
400
500
Status &
Error Codes
500 Internal Server Error
PUT /vendas/v1/pedidos/9940382
{
”status" : canceled
}
500 Internal Server Error
{
"status" : 500,
"message": ”Oops. Algo saiu errado”
}
http://en.wikipedia.org/wiki/List_of_HTTP_status_codes

77. Otimização
Filtros e
paginação
Callbacks
Caching

78. FiltrosGET /vendas/v2/pedidos?status=concluido
GET /pedidos/123AF15J?_fields=numero,data,valor
Busca com escopo (subconjuntos):
Respostas parciais:
GET /search?q=macbook+air
Busca Global:

79. Paginação
GET /pedidos?_offset=50&_limit=25
Recomendação:
Outras opções:
Linkedin:
Instagram:
?start=50&count=25
?min_id=3091&max_id=3245&count=25

80. Caching
Evite tráfego desnecessário
Latência de rede
Sobrecarga nos servidores
Atenção
❖ Tempo de invalidação do cache
❖ Sincronização em clusters

81. Já chegamos?
Já chegamos?
Já chegamos?
Já chegamos?
Já chegamos?
Stop Pooling Me

82. Marketplace API
❖ Consulta estoque
❖ Cálculo de frete
❖ Novo pedido recebido
https://api.mywebstore.com/v1/estoque
https://api.mywebstore.com/v1/frete
https://api.mywebstore.com/v1/pedido
Chamadas Reversas:

83. Hypermedia
*POX = Plain Old XML, Richardson Maturity Model
HATEOAS = Hypermedia as the
Engine of Application State
http://martinfowler.com/articles/richardsonMaturityModel.html

84. GET /items?q=macbook+air+new
{
"results" : [
{
"id" : 123,
"name" : "Macbook Air 2010 LIKE NEW",
"price" : "499"
}
]
}
SEM
Hypermedia

85. COM
Hypermedia
GET /items?q=macbook+air+new
{
"results" : [
{
"_links" : [
{"rel": "self","uri": "/items/123" },
{"rel": "bids","uri": "/items/123/bids" },
{"rel": "win","uri": "/items/123/bids?q=win" }
],
"name" : "Macbook Air 2010 LIKE NEW",
"price" : "499"
}
]
}

86. Segurança
❖ Acesso não autorizado
❖ Ataques
❖ Sobrecarga
❖ Confidencialidade
❖ Implementações
desastradas em clients

87. Acesso não autorizado Segurança baseada na obscuridade
A prova de hackers Canal inseguro (hijacking)

88. Níveis de
CRITICIDADE

89. Básico
Intermediário
Crítico
❖ Quanto você conhece
dos Client Apps?
❖ As APIs dão acesso a
informações sensíveis?
❖ As APIs alteram dados
importantes?

90. Básico
Intermediário
Crítico
❖ Quanto você conhece
dos Client Apps?
❖ As APIs dão acesso a
informações sensíveis?
❖ As APIs alteram dados
importantes?
API totalmente pública,
potencialmente centenas de
Apps externos
Alguns Apps externos de
parceiros bem conhecidos
Somente Apps desenvolvidos
pela própria empresa

91. Básico
Intermediário
Crítico
Registros médicos, transações
financeiras ou dados vitais ao
negócio
Informações sociais,
Internet das coisas
Informações acessórias não
relacionadas a usuários
❖ Quanto você conhece
dos Client Apps?
❖ As APIs dão acesso a
informações sensíveis?
❖ As APIs alteram dados
importantes?

92. Básico
Intermediário
Crítico
Todas as operações (inclusive
DELETEs) em elementos e
coleções de recursos
GETs e alguns POSTs e PUTs em
recursos não vitais
Somente GETs
❖ Quanto você conhece
dos Client Apps?
❖ As APIs dão acesso a
informações sensíveis?
❖ As APIs alteram dados
importantes?

93. Separation of
CONCERNS
Web API
FAÇAD
E

94. Segurança
❖ Agrupamento de elementos com
responsabilidades semelhantes
❖ Simplificação de regras de negócio
Separation of
CONCERNS
Autenticação
Autorização
Privacidade
Disponibilidade
Auditoria
Integridade

95. APIs
Web API
FAÇADEUsers Apps
Partners/
Developers
Your Backend

96. Users Apps
APIs
Autenticação
Autorização
Disponibilidade
Privacidade
Auditoria
Integridade
API Gateway
Partners/
Developers
Your Backend
Web API
FAÇADE

97. Autenticação /
Autorização
Privacidade
Integridade Disponibilidade
Auditoria
❖ Acesso não autorizado
❖ Ataque Força Bruta
❖ Roubo de Credenciais
❖ Session hijacking
❖ DDoS
❖ Buffer Overflow
❖ Injection (SQL, XML, JSON)
❖ Information Disclosure
❖ Man-in-the-middle e
Network Eavesdropping
❖ Data Scraping
❖ Injection (SQL, XML, JSON)
❖ Cross-site Scripting (XSS) e
Request Forgery (XSRF)
❖ Repudiação
❖ Compliance (PCI-DSS, HIPAA)

98. App Token Basic HTTP OAuth 2.0 OpenID
http://downloads.sensedia.com/webinar-seguranca-de-apis

99. Instrum/zação
Eat your own
Dog Food

100. Trace de calls,
Monitoramento,
Rate Limiting e
Alertas
Compreenda o
padrão de uso
das APPs e APIs

101. status.aws.amazon.com
Status Page,
Release Notes,
Blog

102. Foruns de discussão e
Abertura de tickets
desenvolvedores.catho.com.br

104. Instrum/zação

106. REST + PHP

107. +
Rest + PHP

108. +
Silex
- Está entre os mais rápidos micro
frameworks de REST PHP
- Baseado nos componentes
Symphony
- Boa documentação e bom suporte
da comunidade.

109. +
Slim
- Está entre os mais rápidos micro
frameworks de REST PHP
- Boa documentação
- Integrado com implementações de
terceiros

110. +
Lumen
- Baseado no Laravel
- Boa documentação
- Não tão rápido quanto o Slim ou
Silex

111. +
Phalcon
- O mais rápido dos frameworks
REST PHP
- Extremamente otimizado e modular
- Não tão rápido quanto o Slim ou
Silex
- Boa documentação

112. Api na prática

113. Backend
APIs
The Digital Glue
Integrações com
Aplicações SaaS
Aplicações
Móveis
Internet
of Things
Aplicações
Web
Ecossistema
de Parceiros
Digitais

114. +
A mudança
Belo Horizonte Campinas

115. +
Visão de negócio
- Hub mudanças
- Juntar as duas pontas:
- Clientes
- Transportadoras
- Compartilhar mudanças / cargas

116. - Economia compartilhada
- Legislação
- Mercado estabelecido
- Barreira de entrada: Base de usuários
+
Oportunidades e Desafios

117. - API como estratégia fundamental
- Api com foco no cliente: Clientes
acessando apps
- Api com foco no parceiro: Transportadoras
e donos de caminhões
- Múltiplos dispositivos
+
Estratégia de API First

118. Code!

119. Swagger
+
Swagger

120. +
Geração de Sdk/Client

121. +
Geração do API Front

122. +
Postman

123. +
Mock / Server

124. +
Carregar Swagger no API Suite

125. +
Ionic

126. +
Take Away
A integração do seu sistema
deve ser pensada a partir do
dia zero!
APIs estão nas
agendas e no dia a dia
Quanto mais você
investir no desenho das
APIs, mais atalhos
poderá pegar no futuro