O que é um ecossistema de API?

O foco no ecossistema da API é útil tanto como parte da transformação digital de uma organização quanto na formação da estratégia de API e dos modelos de negócios com foco em API. Ao desenvolver com o ecossistema de APIs como foco central, em vez de apenas a própria API, as organizações podem criar vantagens estratégicas e de negócios, incluindo melhor experiência do cliente e do desenvolvedor, redução da expansão de APIs, maior segurança de TI e maior eficiência no desenvolvimento de aplicações.

Os principais componentes de um ecossistema de API geralmente podem ser divididos em três categorias principais: tecnologias (APIs e infraestrutura associada), pessoas (fornecedores, consumidores e comunidade) e governança (normas, políticas, sistemas de suporte e ativos).

Existem diversos componentes na infraestrutura técnica de um ecossistema de API, todos conectados de várias maneiras, como uma teia de aranha. As próprias APIs são os fios radiais que conectam partes da web, enquanto API Gateways, bancos de dados, aplicações e serviços e outras infraestruturas formam interseções, hubs e quadros da web.

Uma API é um conjunto de regras ou protocolos que permite que programas de software se comuniquem entre si para trocar dados, recursos e funcionalidades. As APIs permitem que os proprietários de aplicações disponibilizem de forma simples e segura seus dados e serviços para consumidores internos e externos.

As APIs são cada vez mais vitais para os usuários corporativos atualmente; as empresas têm, em média, mais de 600 endpoints de API em produção, e empresas inteiras começaram como APIs, incluindo empresas de processamento de pagamentos, empresas de enriquecimento de dados de e-mail e empresas de serviços financeiros.

Um API gateway é uma camada de software que apresenta um único ponto de entrada para os clientes (como aplicações da web ou móveis) acessarem vários serviços de back-end, ao mesmo tempo em que gerencia as interações cliente/servidor.

O API Gateway recebe uma chamada de API, às vezes conhecida como solicitação de API, e a roteia para um ou mais serviços de back-end, dependendo da natureza da solicitação. Com isso, o gateway compila os dados solicitados e os retorna ao cliente em uma única resposta. Os gateways permitem que os clientes consultem vários recursos em uma única chamada, em vez de terem que consultar vários endpoints com várias chamadas.

Por exemplo, um API gateway que orquestra serviços em um sistema de saúde pode permitir que uma aplicação voltada para o usuário extraia dados de vários recursos, como registros médicos de um paciente, histórico de pagamentos e agendamento atual, com uma única chamada de API.

O API Gateway também centraliza outras tarefas críticas, como:

• Balanceamento de carga: distribuição de tráfego para evitar sobrecarregar qualquer servidor único.
  
  
• Limitação de taxa: restrição do número de solicitações por usuário para reduzir o risco de certos tipos de ataques, como ataques de distributed denial-of-service (DDoS), que dependem de um excesso de tráfego para sobrecarregar os protocolos de segurança.
  
  
• Autenticação: uso de métodos e protocolos de verificação como o OAuth (Open Authorization) para atribuir tokens de acesso, permitindo acesso temporário e específico.

Os bancos de dados são parte integrante de um ecossistema de API – eles armazenam os dados brutos de que as aplicações precisam para funcionar. As APIs servem como intermediárias e, portanto, permitem que as aplicações interajam com os bancos de dados de maneira estável e segura. As APIs fornecem a interface que permite que as aplicações executem operações, como criar, ler, atualizar ou excluir (CRUD), no banco de dados.

As APIs também fornecem uma camada de segurança autenticando e validando o acesso para ajudar a garantir que os recursos possam ser acessados somente por clientes autorizados. E as APIs trazem interoperabilidade ao sistema, permitindo que aplicações escritas em diferentes linguagens de programação ou desenvolvidas em diferentes plataformas acessem os mesmos bancos de dados.

As aplicações representam o front-end tecnológico de todo o ecossistema de APIs; são as aplicações, como aplicativos móveis, aplicativos da web ou software de desktop, com as quais um usuário, seja digital ou humano, interage (e não a própria API).

Dentro da aplicação, um usuário pode selecionar uma ação que exige que a aplicação acesse uma fonte externa de dados ou serviços para concluir a ação. Essa troca é concluída por meio da API. Uma solicitação, geralmente chamada de chamada de API ou consulta, é enviada para a API, que encaminha a solicitação para o serviço de back-end responsável pelo recurso solicitado. Então, os dados solicitados são retornados ao cliente por meio da API.

Microsserviços, ou uma arquitetura de microsserviços, é uma abordagem para a criação de aplicações que divide uma aplicação em muitos serviços independentes diferentes, que podem ser criados e operados separadamente. Os microsserviços não são "pequenos serviços", mas uma abordagem de arquitetura para integrar muitos serviços em uma aplicação. Os microsserviços são úteis por sua flexibilidade, permitindo que os serviços sejam escalados e reutilizados de forma independente.

Todos esses serviços trabalham juntos, muitas vezes comunicando-se por meio de APIs ou de uma malha de serviço. As APIs também são usadas para conectar microsserviços a aplicações e sistemas externos, permitindo interoperabilidade e integração perfeita.

Em muitos casos, um API gateway é usado na frente desses serviços para atender às solicitações de API recebidas, encaminhá-las para o(s) serviço(s) apropriado(s) e retornar ao cliente uma resposta abrangente.

Os pipelines de integração contínua/entrega contínua (CI/CD) fazem parte do ecossistema porque esses pipelines são frequentemente usados para desenvolver, implementar e atualizar APIs.

Um pipeline CI/CD é um fluxo de trabalho que automatiza o processo de escrita, integração, teste e implementação de código. Os desenvolvedores podem escrever código de forma independente, rastreando as alterações com ferramentas como o Git, e o código migra automaticamente pelo pipeline para testes e validação. O código validado é então integrado em ambientes de teste ou repositórios como o GitHub. O pipeline de CI/CD é uma forma de reduzir o tempo de desenvolvimento de API ou software, diminuir custos, detectar erros precocemente e melhorar a colaboração da equipe.

O pipeline de CI/CD não é visível para o usuário final; é uma metodologia comum usada para migrar o código do desenvolvimento para a implementação e melhorar continuamente o software e as APIs por meio de atualizações regulares.

O portal do desenvolvedor é um hub que contém tudo o que um desenvolvedor pode precisar para entender, usar, integrar e otimizar APIs. É uma parte fundamental do ecossistema geral de APIs. Um portal do desenvolvedor normalmente inclui a maioria ou todos os itens a seguir:

• Documentação da API: um repositório de todos os endpoints de APIs, métodos HTTP e parâmetros de solicitação, códigos de erro, exemplos de solicitação e resposta, credenciais de autenticação e outras informações sobre a API.
  
  
• Guias e tutoriais: uma seleção de documentos úteis para começar, geralmente incluindo exemplos e melhores práticas.
  
  
• Ferramentas interativas: um playground ou área de testes na qual os desenvolvedores podem experimentar a API sem precisar escrever nenhum código.
  
  
• Análise de dados: um dashboard para que os desenvolvedores acompanhem o uso de APIs, incluindo volume de chamadas, tempos de resposta, limites de taxas, cotas de uso e outras métricas.
  
  
• Suporte: uma seleção de documentos úteis, como perguntas frequentes, registros de alteração, white papers, webinars, notas de versão e informações de contato.

As plataformas de gerenciamento de API são como a versão interna do portal do desenvolvedor externo. Um sistema gerenciamento de API oferece controles para as equipes responsáveis pela supervisão de APIs, com ferramentas para implementação e desativação ao longo do ciclo de vida da API, gerenciamento de tráfego, rastreamento de erros, aplicação de políticas de segurança e governança e, frequentemente, gerenciamento de faturamento e assinaturas.

O elemento humano do ecossistema de APIs também pode ser dividido em três grupos:

Os provedores de API são as pessoas e equipes responsáveis por criar e publicar as APIs no núcleo do ecossistema. Eles podem incluir:

• Desenvolvedores que escolhem frameworks, escrevem o código, criam, configuram e constroem endpoints de API e encontram e corrigem bugs, entre outras tarefas.
  
  
• Gerentes de produtos que direcionam a equipe de desenvolvimento de API, perguntando e respondendo às grandes perguntas, como: "Para quem é isso?" "O que isso deve fazer?", "Como isso se encaixa no nosso ambiente de TI existente?" e "Quais funcionalidades ela deve ter?" Os gerentes de produtos de API geralmente gerenciam parcerias e operam como elos de ligação entre os desenvolvedores e outros stakeholders.
  
  
• Engenheiros de DevOps que ajudam a construir e automatizar pipelines de integração contínua/entrega contínua (CI/CD), fluxos de trabalho de DevOps automatizados usados para otimizar a entrega, teste e otimização de APIs. 
  
  
• Engenheiros de segurança especializados em proteção contra violações de dados e outras ameaças à segurança. As APIs são projetadas para expor dados, embora de forma limitada, o que as torna um vetor comum para ataques. Os engenheiros de segurança de API desempenham um papel vital na proteção das APIs e das aplicações e sistemas a que elas se conectam.

Esses são os desenvolvedores que usam APIs para integrar aplicações e sistemas e criar novos produtos e serviços. Os consumidores de API são uma parte crucial do ecossistema; afinal, é para esse grupo que a API foi projetada.

Os consumidores podem ser internos, parte da mesma organização que fornece a API, externos com acesso limitado ou consumidores públicos com acesso total. O projeto e a documentação da API podem diferir dependendo de quem é o usuário pretendido.

Por exemplo, uma experiência de usuário mais autoexplicativa pode ser benéfica para uma API pública, pois a organização provedora pode preferir reduzir a necessidade de uma resolução de problemas e suporte extensos.

Especialmente para APIs públicas, a comunidade (um grupo mais amplo que inclui consumidores e outros stakeholders) pode ser uma parte vital do ecossistema geral das APIs. A comunidade normalmente consiste em desenvolvedores internos, colaboradores de código aberto e amadores, parceiros de negócios e usuários comuns das aplicações que dependem da API para acessar dados ou serviços. A comunidade pode desempenhar um papel na melhoria e inovação de uma API por meio de:

• Criação ou descoberta de novos casos de uso para uma API
  
  
• Monitoramento, localização de bugs, erros ou oportunidades de melhoria
  
  
• Criação de um sistema ad hoc de suporte e documentação em plataformas como Reddit, Stack Overflow e GitHub
  
  
• Ajudar a consolidar e perpetuar as melhores práticas e outros padrões
  
  
• Promoção de uma API para outros desenvolvedores, usuários e clientes

Governança de API refere-se aos padrões, políticas e práticas que orientam como uma organização desenvolve, implementa e utiliza suas APIs. O objetivo de criar uma governança de API é promover consistência, confiabilidade, segurança e eficiência.

A governança de API pode incluir guias de estilo, políticas de segurança, convenções de nomenclatura, estratégias de controle de versão, normas de qualidade, políticas de resposta a incidentes e desastres, entre outros. Para muitos setores, inclusive o de saúde, a governança também inclui decisões de conformidade legal, como os requisitos de HIPAA ou outras regulamentações específicas do setor ou região.

Um ecossistema de API bem-sucedido oferece benefícios significativos para empresas e desenvolvedores:

• Inovação mais rápida: as empresas podem aproveitar os serviços existentes, acelerando o tempo de colocação de novos produtos no mercado.
  
  
• Alcance estendido: desenvolvedores terceirizados criam integrações que apresentam serviços corporativos a novas plataformas e usuários.
  
  
• Mitigação da proliferação de APIs: bibliotecas de APIs organizadas e a documentação que as acompanham ajudam as equipes a encontrar e usar serviços existentes, impedindo a criação de serviços e APIs redundantes.
  
  
• Valor de negócios e monetização: as APIs podem se tornar geradoras de lucro por meio de taxas de uso, níveis premium ou impulsionando a adoção de produtos principais.
  
  
• Mais segurança: um ecossistema de API eficaz mantém a aplicação consistente dos padrões e protocolos de segurança da API, como o uso de OAuth. Um bom gerenciamento do ecossistema ajuda a reduzir a criação de APIs paralelas – APIs ad-hoc criadas sem a consideração ou mesmo o reconhecimento das equipes de TI.
  
  
• Vantagens competitivas e efeitos de rede: a integração de APIs empresariais por desenvolvedores externos aumenta os custos de mudança e cria efeitos de fidelização e dependência. Quanto mais os desenvolvedores constroem em uma plataforma, mais valiosa ela se torna, criando um ciclo de autorreforço que é difícil de ser superado pelos concorrentes.

• Complexidade reduzida: acesse funcionalidades sofisticadas por meio de interfaces simples, sem a necessidade de conhecimento profundo do domínio.
  
  
• Foco na diferenciação: concentre-se na criação de funcionalidades exclusivas em vez de uma infraestrutura genérica.
  
  
• Capacidade de composição: aproveite os serviços de diferentes provedores para criar aplicações inovadoras.
  
  
• Flexibilidade de carreira: transfira habilidades com APIs populares entre empresas e projetos.