Praktik terbaik strategi API

Antarmuka pemrograman aplikasi (API) sangat berharga bagi organisasi modern, digunakan untuk menghubungkan dan mengintegrasikan aplikasi, sistem dan database, mengatur alur kerja, mempercepat pengembangan dan distribusi aplikasi dan layanan baru, membuat antarmuka modern untuk sistem lama dan banyak lagi. Rata-rata perusahaan memiliki lebih dari 613 titik akhir API dalam produksi.

Namun, jika API dibuat, diterapkan atau digabungkan secara ad hoc, organisasi berisiko meninggalkan nilai di atas meja atau lebih buruk, membuat organisasi rentan terhadap risiko keamanan siber. Strategi API yang komprehensif membantu memastikan bahwa organisasi memanfaatkan sepenuhnya API-nya dan bahwa API berfungsi untuk melayani inisiatif bisnis bersama.

Strategi API adalah rencana tingkat tinggi yang menguraikan bagaimana organisasi akan menggunakan API untuk mencapai tujuan bisnis. Ini menetapkan pedoman dan kebijakan untuk desain API, pengembangan dan penerapan, API management, keamanan, dan banyak lagi. Strategi API membantu memastikan bahwa API organisasi tidak ada secara terpisah tetapi bekerja bersama dalam melayani kebutuhan dan tujuan bisnis yang lebih besar.

Strategi API menjelaskan kebutuhan teknis, keamanan, dan kepatuhan organisasi, sekaligus membantu mempromosikan sistem yang berkelanjutan, dapat diprediksi, dan terpusat untuk menerapkan API baru di masa depan.

Singkatnya, strategi API membantu organisasi merancang dan mengelola API yang lebih efisien, berharga, dan aman. Fungsionalitas API sangat luas, bervariasi, dan berkembang pesat sehingga pemangku kepentingan perlu memiliki strategi API yang konkret untuk menjaga kekompakan, efisiensi, dan efektivitas dalam proyek API.

Karena ada banyak jenis API — dan bahkan lebih banyak cara penggunaannya) —dan mereka memainkan peran integral dalam perusahaan modern, organisasi harus memiliki strategi API yang jelas dan komprehensif untuk menjaga ketertiban dalam ekosistem digital mereka, menghindari sumber daya yang terbuang dan risiko keamanan dan memastikan bahwa API mereka memberikan nilai bisnis sebanyak mungkin.

Strategi API yang kuat dapat memberikan pengalaman yang lebih baik bagi pengembang, meningkatkan kompatibilitas dan skalabilitas, membantu organisasi memonetisasi API mereka, dan banyak lagi. Strategi API juga merupakan bagian penting dalam mencapai tujuan holistik seperti transformasi digital.

Transformasi digital adalah strategi yang bertujuan untuk menggabungkan teknologi digital di seluruh organisasi. Ini adalah perombakan lengkap proses, produk, operasi, dan tumpukan teknologi untuk memungkinkan inovasi yang berkelanjutan, cepat, dan digerakkan oleh pelanggan. Ini bukan hanya tentang mengganti proses tertentu atau memperbarui layanan; ini adalah transformasi bisnis penuh yang menempatkan teknologi di jantung organisasi.

API — dan strategi API yang terbentuk dengan baik — memainkan peran besar dalam mendorong transformasi ini. Dengan teknologi menjadi pusatnya, API-lah yang sangat sering digunakan untuk menghubungkan teknologi di seluruh perusahaan dan untuk menghubungkan pengguna ke aplikasi, sistem, dan layanan perusahaan.

API memungkinkan organisasi untuk memberikan lebih banyak layanan kepada lebih banyak pengguna (membuka aliran pendapatan baru), untuk membuat layanan ini lebih cepat dan meningkatkan pengalaman pengguna secara keseluruhan, untuk memfasilitasi pertukaran data antara sistem internal, basis data dan aplikasi, untuk menghubungkan sumber daya yang dihosting di penyedia cloud yang berbeda, untuk memodernisasi infrastruktur TI lama dan banyak lagi. 

Strategi API perusahaan yang kuat mencakup dokumentasi API menyeluruh (baca lebih lanjut tentang bagaimana organisasi dapat menemukan API di sini) yang menjelaskan dengan jelas bagaimana API organisasi dibangun dan digunakan. Portal pengembang dapat menjadi alat yang berharga untuk membuat API front-end dan back-end tersedia, terorganisir, dan dapat ditemukan oleh pengembang. Tanpa strategi API yang baik, pengembang mungkin kesulitan menemukan alat yang mereka butuhkan, yang dapat memperlambat produksi dan implementasi dan mengakibatkan redundansi API dan Sumber daya yang terbuang.

API harus dipantau dan diperbarui untuk mengimbangi pembaruan perangkat lunak dan perangkat lunak baru. Strategi API yang dikembangkan dengan baik umumnya mencakup rencana untuk siklus hidup API penuh: ide, desain API, pengujian, implementasi, pemeliharaan dan, jika diperlukan, penghentian. Proses semacam itu mendorong konsistensi dalam kompatibilitas API dengan versi perangkat lunak terbaru dan mengurangi risiko crash terkait kompatibilitas atau perilaku yang tidak dapat diprediksi.

Evolusi teknologi yang sangat mengejutkan berarti bahwa hampir setiap organisasi bergantung pada beberapa jenis layanan lama, perangkat lunak, atau basis data. Memperbarui sumber daya ini seringkali mahal dan memakan waktu.

Sementara upaya modernisasi maju, organisasi dapat menggunakan API untuk memodernisasi antarmuka ke sistem dan basis data ini. Hal ini memungkinkan organisasi untuk mengintegrasikan sumber daya lama—and memanfaatkan data berharga di dalamnya—tanpa harus menunggu seluruh sistem diperbarui.

Misalnya, toko besar catatan akun pelanggan mungkin disimpan dalam database yang tidak lagi digunakan oleh seluruh perusahaan. Alih-alih dengan susah payah memigrasikan semua data itu ke sistem baru (atau saat migrasi sedang berlangsung), API dapat digunakan untuk memungkinkan bagian lain dari sistem berkomunikasi dengan database dan meminta informasi.

Strategi API memastikan bahwa API dirancang, diterapkan, dan didokumentasikan dengan cara yang mengarahkan bisnis ke arah tujuan yang dinyatakan dan sesuai dengan strategi bisnis yang lebih luas. Strategi API membantu membuat peta jalan untuk pengembangan dan distribusi API dan rencana yang menghasilkan model bisnis yang lebih kohesif dan efisien serta nilai API yang lebih besar.

API sering digunakan sebagai vektor serangan dan memperkenalkan risiko keamanan yang harus ditangani. Strategi API yang merinci standar keamanan organisasi dan bagaimana organisasi akan mencegah penyalahgunaan API-nya dapat mengurangi risiko ini. Alat seperti API Gateway dan teknik seperti otentikasi atau pembatasan kecepatan sering digunakan untuk melakukannya.

Pembatasan tingkat digunakan untuk mengurangi risiko brute force atau serangan penolakan layanan terdistribusi (serangan DDoS). Pembatasan laju memblokir atau membuang permintaan yang menimbulkan risiko volume dan mencegah sistem dibanjiri permintaan. Ada fungsi otomatis yang bisa lebih tepat juga. Misalnya, organisasi dapat menetapkan batas tarif untuk alamat IP tertentu dengan aktivitas permintaan tinggi yang telah ditandai sebagai mencurigakan. 

Teknik otentikasi juga dimasukkan ke dalam strategi keamanan API untuk memastikan bahwa hanya permintaan yang aman dan disetujui yang dipenuhi. OAuth, atau otorisasi terbuka, adalah protokol yang menggunakan token akses yang memberi pengguna akses ke data atau layanan yang disetujui sebelumnya tanpa perlu masuk. Kunci API, yang merupakan string karakter unik yang hanya diketahui oleh klien dan server, adalah alat populer lain yang digunakan organisasi untuk menjaga keamanan API.

Organisasi dapat menggunakan platform pengujian otomatis yang terus memeriksa keamanan sistem untuk melengkapi dan meningkatkan pemeriksaan dan pengujian manual.

Dalam arsitektur layanan mikro, aplikasi terdiri dari banyak komponen atau layanan yang lebih kecil yang digabungkan secara longgar dan dapat diterapkan secara independen. Komponen ini sering berkomunikasi melalui API.

Layanan mikro memungkinkan fleksibilitas dan fleksibilitas yang lebih besar, tetapi juga dapat menambah komplikasi, termasuk masalah kompatibilitas, masalah latensi karena jumlah koneksi jaringan yang lebih besar dan peningkatan pencatatan data. Akibatnya, arsitektur layanan mikro membawa lebih banyak kebebasan, tetapi juga peningkatan kompleksitas.

Strategi API perusahaan membantu membangun konsistensi API dan kemampuan ditemukan yang diperlukan untuk aplikasi layanan mikro yang cepat dan efisien.

Strategi API-first menempatkan prioritas tinggi pada API sebagai aset bisnis. Dalam konsepsi ini, API adalah batu kunci di mana pengembang menulis kode, bukan fitur yang akan ditambahkan setelah perangkat lunak dikembangkan. Ini adalah pendekatan populer dalam Strategi Utamakan-Digital karena menekankan Integrasi dan komunikasi antara sistem perusahaan, database, dan aplikasi.

Strategi yang mengutamakan API memberikan beberapa manfaat:

• Mengurangi risiko redundansi API
  
  
• Mempromosikan penggunaan kembali API
  
  
• Membuat API dapat ditemukan di lokasi terpusat untuk pencarian dan adopsi yang mudah
  
  
• Membuat ekosistem API lebih efisien
  
  
• Mengurangi jumlah waktu pengembang menghabiskan kode debugging
  
  
• Memungkinkan skalabilitas yang lebih besar
  
  
• Memungkinkan pemeliharaan dan pembaruan API yang lebih mudah
  
  
• Memberikan keunggulan bisnis yang kompetitif di dunia yang semakin padat API
  
  
• Memungkinkan tim pengembangan bekerja secara paralel pada beberapa API sekaligus, berkolaborasi secara real-time.

Strategi API terlihat sangat berbeda tergantung pada tujuan bisnis dan kebutuhan setiap organisasi. Tetapi ada beberapa konsep dan komponen yang lebih besar yang membuat strategi API kuat dan banyak strategi API dibangun menggunakan langkah-langkah berikut:

Pengembangan strategi dimulai dengan pertanyaan sederhana: apa yang coba dicapai oleh organisasi dengan API-nya?

Tujuan ini harus sesuai dengan tujuan lain yang ditetapkan oleh organisasi, apakah itu menerapkan transformasi digital, mengoptimalkan alur kerja untuk pengembang, meningkatkan metrik seperti basis pengguna, pengalaman pelanggan atau monetisasi, meningkatkan efisiensi operasional - atau, tentu saja, semua hal di atas.

Sebuah katalog menyeluruh dari contoh penggunaan potensial dapat memberikan arahan untuk Strategi API yang efektif.

Apakah organisasi ingin berbagi data dengan mudah di antara tim internal? Memudahkan pengembang untuk membuat dan meningkatkan perangkat lunak dengan cepat? Menghubungkan pelanggan atau pengguna dengan data dan layanan? Strategi API berubah berdasarkan kebutuhan yang tepat dari suatu organisasi, jadi masuk akal untuk memulai dengan pertanyaan sederhana: bagaimana API akan digunakan?

Tata kelolaAPI mengacu pada seperangkat standar, kebijakan, dan praktik komprehensif yang mengarahkan bagaimana organisasi mengembangkan, menerapkan, dan menggunakan API.

Idealnya, organisasi menguraikan tata kelola terlebih dahulu dan kemudian merancang API sesuai dengan aturan tersebut, bukan sebaliknya. Dalam menyusun tata kelola ini, tim mempertimbangkan faktor-faktor seperti tujuan organisasi, teknologi yang ada, dan teknologi apa yang mungkin diterapkan organisasi di masa mendatang.

Kerangka kerja juga dapat menguraikan jenis API apa yang digunakan untuk contoh penggunaan yang berbeda. Ada beberapa protokol API yang berbeda, gaya arsitektur dan bahasa, masing-masing dengan kekuatan dan kelemahan. Ini termasuk¹:

Remote procedure call (RPC) adalah protokol yang memungkinkan program untuk meminta layanan dari program lain pada komputer yang berbeda menggunakan kode yang pada dasarnya sama seolah-olah meminta layanan secara lokal.

RPC menyediakan paradigma komunikasi tingkat tinggi yang digunakan dalam sistem operasi. RPC mengasumsikan adanya protokol transport tingkat rendah, seperti protokol kontrol transmisi/protokol internet (TCP/IP) atau protokol datagram pengguna (UDP), untuk membawa data pesan di antara program-program yang saling berkomunikasi.

RPC mengimplementasikan sistem komunikasi klien-ke-server logis yang dirancang khusus untuk mendukung aplikasi jaringan. ²

Jenis protokol RPC termasuk XML-RPC, JSON-RPC dan gRPC.

Representational state transfer (REST) adalah seperangkat prinsip arsitektur API web. REST API—juga dikenal sebagai RESTful API—adalah API yang mematuhi batasan arsitektur REST tertentu. REST API menggunakan permintaan HTTP seperti GET, PUT, HEAD dan DELETE untuk berinteraksi dengan sumber daya. REST membuat data tersedia sebagai sumber daya, dengan setiap sumber daya diwakili oleh URI unik. Klien meminta sumber daya dengan menyediakan URI-nya.

REST API bersifat stateless—mereka tidak menyimpan data klien di antara permintaan. Sangat mungkin untuk membangun RESTful API dengan protokol SOAP, tetapi para praktisi biasanya melihat kedua standar tersebut sebagai spesifikasi yang bersaing.

GraphQL adalah bahasa kueri sumber terbuka dan waktu proses sisi server yang memungkinkan klien menargetkan sumber daya yang mereka butuhkan. Tidak seperti REST, yang biasanya menggunakan beberapa titik akhir untuk mengambil data dan melakukan operasi jaringan, GraphQL API menggunakan titik akhir GraphQL tunggal untuk memberi klien respons data yang tepat dan komprehensif dalam satu perjalanan pulang pergi dari satu permintaan, menghilangkan masalah kelebihan dan kekurangan pengambilan.³

Namun, GraphQL dapat memperkenalkan lebih banyak kompleksitas daripada yang dibutuhkan untuk aplikasi sederhana.

Simple object access protocol (SOAP) adalah spesifikasi protokol perpesanan berbasis XML ringan yang memungkinkan titik akhir untuk mengirim dan menerima data melalui berbagai protokol komunikasi termasuk SMTP (protokol transfer surat sederhana) dan HTTP (protokol transfer hypertext). SOAP bersifat independen, yang memungkinkan SOAP API untuk berbagi informasi antara aplikasi atau komponen perangkat lunak yang berjalan di lingkungan yang berbeda atau ditulis dalam bahasa yang berbeda.

API management adalah alat yang dirancang khusus untuk mengakses, mengontrol, mendistribusikan, dan menganalisis API, yang multi-fungsi. Platform API management memungkinkan perusahaan untuk berbagi dokumentasi dan alat di antara tim, dapat memperkuat keamanan data, memenuhi standar kepatuhan dan tata kelola, serta mendukung inisiatif Transformasi digital.

Platform API management sering menyertakan portal pengembang, yang bertindak sebagai toko serba ada bagi pengembang untuk menelusuri, mengakses, dan berbagi dokumentasi. Solusi ini dapat menghindari masalah beberapa repositori, perpustakaan yang tidak berfungsi, dan kredensial kepemilikan misterius dalam API dan pengembangan perangkat lunak: semuanya adalah solusi multi-fungsi.

Platform API juga menyertakan alat analitik yang berharga. Platform terpusat ini digunakan untuk memantau penggunaan API, waktu respons dan kinerja keseluruhan dan membantu deteksi kerentanan API.

Terakhir, penggunaan platform API management memungkinkan manajemen siklus hidup API penuh. Siklus hidup API melibatkan banyak tahapan berbeda: pembuatan, pengembangan, pengujian, penerbitan, pemeliharaan, pensiun. Platform API dapat menyusun semua tahapan tersebut di satu tempat, yang membantu memberikan organisasi visibilitas ke lingkungan API yang besar dan kompleks.

Karena API menyediakan akses ke data dan layanan, baik untuk klien internal maupun pihak ketiga, keamanan harus menjadi pertimbangan utama melalui semua tahap pengembangan strategi API. Keamanan API yang salah dapat mengakibatkan serangan siber, pelanggaran data, dan akses tidak sah lainnya. Strategi API harus membahas bagaimana organisasi akan memastikan bahwa API aman dan patuh, memerinci pendekatan untuk otentikasi, enkripsi, validasi, pemantauan, pembaruan rutin, dan banyak lagi.

Strategi API yang lengkap mencakup rencana tentang apa yang terjadi setelah API dibuat-bagaimana API akan dipantau, dipelihara, dianalisis, diuji, dan diperbarui.

Sangat penting untuk memantau penggunaan API karena beberapa alasan, termasuk untuk:

• Pastikan API berfungsi dengan baik dan bebas bug
  
  
• Analisis pola lalu lintas untuk memeriksa perilaku yang tidak biasa dan berpotensi berbahaya
  
  
• Konfirmasikan bahwa semua API sudah mutakhir
  
  
• Tetap waspada terhadap potensi duplikasi
  
  
• Hapus API yang tidak berfungsi atau telah diganti

Strategi API harus merinci bagaimana organisasi akan mempromosikan visibilitas di seluruh lingkungan API-nya, bagaimana wawasan dari analitik dan masukan pengguna akan dimasukkan untuk meningkatkan kinerja API, bagaimana pembaruan akan diimplementasikan dan didokumentasikan dan bagaimana, jika diperlukan, API akan dihentikan.