أفضل الممارسات لاستراتيجية واجهات برمجة التطبيقات (API)

تُعد واجهات برمجة التطبيقات (APIs) عنصرًا أساسيًا في عمل المؤسسات الحديثة؛ فهي تُستخدم لربط التطبيقات والأنظمة وقواعد البيانات ودمجها، وتنظيم مهام سير العمل، وتسريع تطوير التطبيقات والخدمات الجديدة وتوزيعها، وتحديث واجهات التفاعل مع الأنظمة القديمة، وغير ذلك الكثير. تحتوي المؤسسة المتوسطة على ما يزيد عن 613 نقطة نهاية API في بيئات الإنتاج.

لكن إذا جرى إنشاء واجهات برمجة التطبيقات أو نشرها أو دمجها بشكل عشوائي ومن دون استراتيجية واضحة، فإن المؤسسة تخاطر بخسارة جزء كبير من القيمة الممكن تحقيقها، بل وقد تعرّض نفسها أيضًا لمخاطر الأمن الإلكتروني. ويساعد اعتماد استراتيجية متكاملة لواجهات برمجة التطبيقات في ضمان تحقيق أقصى استفادة منها، وأن تعمل هذه الواجهات في خدمة المبادرات والأهداف المشتركة للأعمال.

استراتيجية واجهات برمجة التطبيقات هي خطة عالية المستوى توضّح كيف ستستخدم المؤسسة واجهات برمجة التطبيقات لتحقيق أهدافها التجارية. وتضع هذه الاستراتيجية إرشادات وسياسات لتصميم واجهات برمجة التطبيقات وتطويرها ونشرها، وإدارة هذه الواجهات وتأمينها والجوانب الأخرى المرتبطة بها. وتضمن استراتيجية واجهات برمجة التطبيقات ألا تعمل هذه الواجهات في جزر معزولة داخل المؤسسة، بل تكون مترابطة وتخدم احتياجات الأعمال والأهداف الاستراتيجية الأشمل.

كما تأخذ هذه الاستراتيجية في الحسبان المتطلبات التقنية ومتطلبات الأمان والامتثال في المؤسسة، وتساعد في ترسيخ نهج مركزي ومستدام وقابل للتنبؤ لتنفيذ واجهات برمجة تطبيقات جديدة في المستقبل.

باختصار، تساعد استراتيجية واجهات برمجة التطبيقات المؤسسات على تصميم وإدارة واجهات أكثر كفاءة، وأعلى قيمة، وأكثر أمانًا. ونظرًا لاتساع وظائف واجهات برمجة التطبيقات وتنوعها وتسارع تطورها، تحتاج الأطراف المعنية إلى استراتيجية واضحة لواجهات برمجة التطبيقات تحافظ على التماسك والكفاءة والفعالية في مشاريع واجهات برمجة التطبيقات.

ومع تعدّد أنواع واجهات برمجة التطبيقات وتنوّع طرق استخدامها، ودورها الجوهري في المؤسسات الحديثة، تصبح الحاجة ملحّة إلى استراتيجية واضحة وشاملة لواجهات برمجة التطبيقات تحافظ على الانضباط داخل النظام البنائي الرقمي، وتجنّب هدر الموارد ومخاطر الأمن الإلكتروني، وتضمن تحقيق أقصى قيمة تجارية ممكنة من هذه الواجهات.

ويمكن لاستراتيجية متماسكة لواجهات برمجة التطبيقات أن توفّر تجربة أفضل للمطورين، وتحسّن قابلية التوافق وقابلية التوسّع، وتساعد المؤسسة على تحقيق الدخل من واجهاتها، إلى جانب مزايا أخرى عديدة. كما تُعد استراتيجية واجهات برمجة التطبيقات جزءًا أساسيًا من تحقيق الأهداف الشمولية مثل التحول الرقمي.

التحول الرقمي نهج يهدف إلى دمج التقنية الرقمية في مختلف جوانب المؤسسة. وهو تغيير جذري يعيد تشكيل العمليات والمنتجات وطريقة التشغيل ومجموعة التقنية، بما يتيح ابتكارًا مستمرًا وسريعًا يقوده احتياج العميل. ولا يقتصر الأمر على استبدال بعض العمليات أو تحديث بعض الخدمات؛ بل هو تحول كامل في نموذج الأعمال يضع التقنية في قلب المؤسسة.

وتضطلع واجهات برمجة التطبيقات، إلى جانب استراتيجية ناضجة لإدارتها، بدورٍ محوري في دفع هذا التحول. وما دامت التقنية في مركز المشهد، تصبح واجهات برمجة التطبيقات الأداة الأساسية لربط التقنيات عبر المؤسسة وربط المستخدمين بتطبيقاتها وأنظمتها وخدماتها.

وتمكّن واجهات برمجة التطبيقات المؤسسات من تقديم مزيد من الخدمات لعدد أكبر من المستخدمين (وفتح مصادر دخل جديدة)، وتسريع تقديم هذه الخدمات وتحسين تجربة المستخدم الكلية، وتيسير تبادل البيانات بين الأنظمة الداخلية وقواعد البيانات والتطبيقات، وربط الموارد المستضافة لدى مزودي خدمات سحابية مختلفين، وتحديث البنية التحتية القديمة لتكنولوجيا المعلومات، وغيرها.

تتضمّن استراتيجية قوية لواجهات برمجة التطبيقات على مستوى المؤسسة توثيقًا شاملًا لواجهات برمجة التطبيقات، يوضح كيفية بناء واجهات برمجة التطبيقات في المؤسسة وكيفية استخدامها (يمكنك قراءة المزيد حول كيفية اكتشاف المؤسسات لواجهات برمجة التطبيقات هنا). يمكن أن تكون بوابة المطوّرين أداة قيّمة لإتاحة واجهات برمجة التطبيقات للواجهتين الأمامية والخلفية وتنظيمها وجعلها سهلة الاكتشاف للمطوّرين. ومن دون استراتيجية فعّالة لواجهات برمجة التطبيقات، قد يواجه المطوّرون صعوبة في العثور على الأدوات التي يحتاجون إليها، مما قد يبطئ وتيرة التطوير والتنفيذ ويؤدّي إلى تكرار واجهات برمجة التطبيقات وهدر الموارد.

يجب مراقبة واجهات برمجة التطبيقات وتحديثها بانتظام لمواكبة البرمجيات الجديدة وتحديثات البرمجيات القائمة. تتضمّن استراتيجية واجهات برمجة التطبيقات المُحكَمة عادةً خططًا لدورة حياة واجهة برمجة التطبيقات كاملة: توليد الأفكار، وتصميم واجهة برمجة التطبيقات، والاختبار، والتنفيذ، والصيانة، وإذا لزم الأمر، الإيقاف. تسهم هذه العملية في تحقيق قدر أكبر من الاتساق في توافق واجهات برمجة التطبيقات مع أحدث إصدارات البرمجيات، وتقلّل من مخاطر الأعطال المتعلقة بالتوافق أو السلوك غير المتوقَّع.

وتعني وتيرة تطوّر التقنية المتسارعة أن كل مؤسسة تقريبًا تعتمد على شكلٍ ما من الخدمات أو البرمجيات أو قواعد البيانات القديمة. وغالبًا ما يكون تحديث هذه الموارد مكلفًا ويستغرق وقتًا طويلًا.

وفي أثناء تقدّم جهود التحديث، يمكن للمؤسسات استخدام واجهات برمجة التطبيقات لتحديث واجهة هذه الأنظمة وقواعد البيانات. يُتيح ذلك للمؤسسات دمج الموارد القديمة والاستفادة من البيانات القيّمة الموجودة فيها، من دون الحاجة إلى الانتظار حتى يُحدَّث النظام بالكامل.

فعلى سبيل المثال، قد تُخزَّن كمية ضخمة من سجلات حسابات العملاء في قاعدة بيانات لم تَعُد بقية الشركة تستخدمها. وبدلاً من ترحيل كل تلك البيانات بصعوبة إلى نظام جديد (أو في أثناء عملية الترحيل)، يمكن استخدام واجهة برمجة تطبيقات لتمكين أجزاء أخرى من النظام من التواصل مع قاعدة البيانات وطلب المعلومات.

تضمن استراتيجية واجهات برمجة التطبيقات أن يتم تصميم واجهات برمجة التطبيقات ونشرها وتوثيقها بطريقة توجّه الأعمال نحو الأهداف المُعلَنة وتنسجم مع الاستراتيجية الأوسع للمؤسسة. تساعد استراتيجية واجهات برمجة التطبيقات في وضع خارطة طريق لتطوير وتوزيع واجهات برمجة التطبيقات، وخطة تؤدي إلى نماذج أعمال أكثر تماسكًا وانسيابية وقيمة أكبر لواجهات برمجة التطبيقات.

تُستخدم واجهات برمجة التطبيقات غالبًا كمتجه للهجوم وتنطوي على مخاطر أمنية يجب معالجتها. يمكن لاستراتيجية واجهات برمجة التطبيقات التي توضّح معايير الأمان على مستوى المؤسسة وكيف ستمنع المؤسسة إساءة استخدام واجهات برمجة التطبيقات أن تقلّل هذا الخطر. غالبًا ما تُستخدم أدوات مثل بوابات واجهات برمجة التطبيقات (API gateways) وتقنيات مثل المصادقة أو تحديد المعدّل لتحقيق ذلك.

يُستخدم تحديد المعدّل لتقليل خطر الهجمات بأسلوب التجربة والخطأ (Brute-force) أو الهجمات الموزعة لحجب الخدمة (هجمات DDoS). يقوم تحديد المعدّل بحظر الطلبات التي تمثّل خطرًا من حيث الحجم أو تجاهلها، ويمنع إغراق الأنظمة بالطلبات. كما توجد وظائف مؤتمتة يمكن أن تكون أكثر دقة أيضًا. على سبيل المثال، يمكن للمؤسسات تعيين حدود للمعدّل لعناوين IP معيّنة ذات نشاط طلبات مرتفع تمّ تصنيفه على أنه مريب.

تُدرج تقنيات المصادقة أيضًا ضمن استراتيجية أمان واجهات برمجة التطبيقات لضمان تلبية الطلبات الآمنة والمعتمدة فقط. OAuth، أو التفويض المفتوح، هو بروتوكول يستخدم رمز وصول يمنح المستخدمين إمكانية الوصول إلى البيانات أو الخدمات المعتمدة مسبقًا دون الحاجة إلى تسجيل الدخول. مفاتيح واجهة برمجة التطبيقات (API keys)، وهي سلسلة فريدة من الأحرف لا يعرفها إلا العميل والخادم، أداة شائعة أخرى تستخدمها المؤسسات للمحافظة على أمان واجهات برمجة التطبيقات.

يمكن للمؤسسات استخدام منصات اختبار مؤتمتة تفحص أمان النظام باستمرار لتعزيز وتحسين الفحص والاختبار اليدويَّين.

في بنية الخدمات المُصغَّرة، تتكوّن التطبيقات من العديد من المكوّنات أو الخدمات الصغيرة المترابطة بشكل غير محكم والقابلة للنشر بشكل مستقل. غالبًا ما تتواصل هذه المكوّنات فيما بينها عبر واجهات برمجة التطبيقات.

توفّر الخدمات المصغّرة قدرًا أكبر من المرونة والقدرة على التكيّف، لكنها قد تضيف أيضًا طبقة من التعقيد، من بينها مشكلات التوافق، ومشكلات زمن الانتقال الناتجة عن زيادة عدد الاتصالات عبر الشبكة، وارتفاع حجم تسجيل البيانات. باختصار، تمنحك بنية الخدمات المصغّرة حرية أكبر، لكنها تأتي أيضًا بمستوى أعلى من التعقيد.

وتساعد استراتيجية واجهات برمجة التطبيقات على مستوى المؤسسة في ترسيخ الاتساق في واجهات برمجة التطبيقات وتعزيز سهولة اكتشافها، وهو ما تحتاج إليه تطبيقات الخدمات المصغّرة السريعة والفعّالة.

تمنح استراتيجية "واجهات برمجة التطبيقات أولًا" واجهات برمجة التطبيقات أولوية عالية باعتبارها من أصول الأعمال. في هذا التصوّر، تُعد واجهات برمجة التطبيقات حجر الأساس الذي يكتب المطوّرون حوله التعليمات البرمجية، بدلاً من أن تكون مجرد ميزات تُضاف بعد الانتهاء من تطوير البرنامج. ويُعد هذا النهج شائعًا في الاستراتيجيات الرقمية أولًا، لأنه يركّز على التكامل والتواصل بين أنظمة المؤسسة وقواعد البيانات والتطبيقات.

وتوفّر استراتيجية "واجهات برمجة التطبيقات أولًا" العديد من المزايا:

• يقلّل من مخاطر تكرار واجهات برمجة التطبيقات
  
  
• يعزّز إعادة استخدام واجهات برمجة التطبيقات
  
  
• يجعل واجهات برمجة التطبيقات قابلة للاكتشاف في موقع مركزي لسهولة البحث واعتمادها
  
  
• يزيد من كفاءة النظام البنائي لواجهات برمجة التطبيقات
  
  
• يقلّل الوقت الذي يقضيه المطوّرون في تصحيح أخطاء التعليمات البرمجية
  
  
• يتيح مستويات أعلى من قابلية التوسّع
  
  
• يسهّل صيانة واجهات برمجة التطبيقات وتحديثها
  
  
• يوفّر ميزة تنافسية للأعمال في عالم يعتمد بشكل متزايد على واجهات برمجة التطبيقات
  
  
• يُتيح لفرق التطوير العمل بالتوازي على عدة واجهات برمجة تطبيقات في الوقت نفسه والتعاون في ما بينها في الوقت الفعلي.

تختلف استراتيجيات واجهات برمجة التطبيقات بشكل واضح من مؤسسة إلى أخرى تبعًا لأهداف الأعمال واحتياجاتها. ومع ذلك، هناك مجموعة من المفاهيم والعناصر الرئيسة التي تُسهم في بناء استراتيجية قوية لواجهات برمجة التطبيقات، إذ تُشيَّد كثير من هذه الاستراتيجيات بالاستناد إلى الخطوات التالية:

يبدأ تطوير الاستراتيجية بسؤال بسيط: ما الذي تحاول المؤسسة تحقيقه من خلال واجهات برمجة التطبيقات لديها؟

يجب أن تنسجم هذه الأهداف مع الأهداف الأخرى التي تحددها المؤسسة، سواء تعلّق الأمر بتنفيذ التحوّل الرقمي، أو تحسين مهام سير العمل للمطورين، أو رفع المقاييس مثل حجم قاعدة المستخدمين، أو تجربة العملاء، أو تحقيق الدخل، أو زيادة الكفاءة التشغيلية — أو بطبيعة الحال جميع ما سبق.

يمكن أن يوفّر إعداد فهرس شامل لحالات الاستخدام المحتملة توجيهًا واضحًا لوضع استراتيجية فعّالة لواجهات برمجة التطبيقات.

هل ترغب المؤسسة في مشاركة البيانات بسهولة بين الفرق الداخلية؟ هل تسعى إلى تسهيل قدرة المطوّرين على إنشاء البرمجيات وتحسينها بسرعة؟ هل تهدف إلى ربط العملاء أو المستخدمين بالبيانات والخدمات؟ تتغيّر استراتيجيات واجهات برمجة التطبيقات تبعًا للاحتياجات الدقيقة لكل مؤسسة، لذا من المنطقي أن نبدأ بسؤال واضح: كيف سيتم استخدام واجهات برمجة التطبيقات؟

تشير حوكمة واجهات برمجة التطبيقات إلى مجموعة متكاملة من المعايير والسياسات والممارسات التي تنظّم كيفية قيام المؤسسة بتطوير واجهات برمجة التطبيقات ونشرها واستخدامها.

ومن الناحية المثالية، تضع المؤسسة إطار حوكمتها أولًا، ثم تُصمَّم واجهات برمجة التطبيقات بما يتوافق مع تلك القواعد، وليس العكس. عند صياغة إطار الحوكمة هذا، تأخذ الفرق في الاعتبار عوامل مثل أهداف المؤسسة، والتقنيات المعتمدة حاليًا، والتقنيات التي قد تعتمدها المؤسسة في المستقبل.

قد يحدّد إطار الحوكمة أيضًا نوع واجهات برمجة التطبيقات التي تُستخدَم لكل فئة من حالات الاستخدام. هناك عدة بروتوكولات لواجهات برمجة التطبيقات، وأنماط معمارية، ولغات مختلفة، لكلٍ منها نقاط قوة ونقاط ضعف. ومن بينها ما يلي1:

يعد استدعاء الإجراء عن بُعد (RPC) بروتوكولًا يتيح لبرنامج يتيح طلب خدمة من برنامج آخر على كمبيوتر مختلف باستخدام الرمز نفسه بشكل أساسي كما لو كان يطلب خدمة محليًا.

يُعد استدعاء الإجراء عن بُعد RPC بروتوكولًا يتيح لبرنامجٍ ما طلب خدمة من برنامج آخر على كمبيوتر مختلف، باستخدام التعليمات البرمجية نفسها تقريبًا كما لو كان يطلب الخدمة محليًا. يفترض استدعاء الإجراء عن بُعد وجود بروتوكول نقل منخفض المستوى، مثل بروتوكول التحكم في الإرسال/بروتوكول الإنترنت (TCP/IP) أو بروتوكول مخطط بيانات المستخدم (UDP)، لنقل بيانات الرسالة بين البرامج المتصلة.

يقوم استدعاء الإجراء عن بُعد بتنفيذ نظام اتصالات منطقي من عميل إلى خادم مصمم خصيصاً لدعم تطبيقات الشبكة. ²

تشمل أنواع بروتوكولات RPC كلاً من: XML-RPC وJSON-RPC وgRPC.

نقل الحالة التمثيلية (Representational State Transfer - REST) هو مجموعة من مبادئ بنية واجهات برمجة تطبيقات الويب. واجهات برمجة تطبيقات REST—والمعروفة أيضًا باسم RESTful APIs—هي واجهات برمجة تطبيقات تلتزم بقيود بنية معينة لـ REST. تستخدم واجهات برمجة تطبيقات REST طلبات HTTP مثل GET وPUT وHEAD وDELETE للتفاعل مع الموارد. تتيح مجموعة مبادئ REST البيانات على شكل موارد، حيث يتم تمثيل كل مورد بـ URI فريد من نوعه. يقوم العملاء بطلب المورد من خلال توفير URI الخاص به.

تتميز واجهات برمجة تطبيقات REST بأنها بلا حالة—فهي لا تحفظ بيانات العميل بين الطلبات. من الممكن إنشاء واجهات برمجة تطبيقات RESTful مع بروتوكولات SOAP، لكن الممارسين عادةً ما ينظرون إلى المعيارين على أنهما مواصفات متنافسة.

GraphQL هي لغة استعلام مفتوحة المصدر وبيئة تشغيل على جانب الخادم، تمكِّن العملاء من استهداف الموارد التي يحتاجون إليها بدقة. على عكس REST، التي تستخدم عادةً عدة نقاط نهاية لجلب البيانات وتنفيذ العمليات على الشبكة، تستخدم واجهات برمجة تطبيقات GraphQL نقطة نهاية واحدة لتقديم استجابة بيانات دقيقة وشاملة للعميل في رحلة طلب واحدة، مما يلغي مشكلات جلب بيانات أكثر من اللازم أو أقل مما يلزم.³

ومع ذلك، قد تضيف GraphQL مستوى من التعقيد يفوق ما تحتاج إليه التطبيقات البسيطة.

بروتوكول الوصول البسيط إلى الكائنات (SOAP) عبارة عن مواصفات بروتوكول مراسلة خفيف قائم على XML يمكّن نقاط النهاية من إرسال واستقبال البيانات من خلال مجموعة من بروتوكولات الاتصال بما في ذلك SMTP (بروتوكول نقل البريد البسيط) وHTTP (بروتوكول نقل النص التشعبي). يعمل SOAP على نحو مستقل، مما يسمح لواجهات برمجة تطبيقات SOAP بمشاركة المعلومات بين مكونات التطبيقات أو البرامج التي تعمل في بيئات مختلفة أو مكتوبة بلغات مختلفة.

منصات إدارة واجهات برمجة التطبيقات هي أدوات مُصمَّمة خصيصًا للوصول إلى واجهات برمجة التطبيقات والتحكّم فيها وتوزيعها وتحليلها من خلال منصة مركزية واحدة. تتيح منصات إدارة واجهات برمجة التطبيقات للمؤسسات مشاركة التوثيق والأدوات بين الفرق، وتعزيز أمان البيانات، والالتزام بمعايير الامتثال والحوكمة، ودعم مبادرات التحول الرقمي.

وغالبًا ما تتضمن منصات إدارة واجهات برمجة التطبيقات بوابة للمطورين تعمل كنقطة وصول موحّدة تمكّن المطورين من استعراض واجهات برمجة التطبيقات والوصول إلى توثيقها ومشاركته. يساعد هذا الحل في تجنّب مشكلات تعدّد المستودعات، والمكتبات غير المدعومة، وغموض صلاحيات الملكية في سياق تطوير واجهات برمجة التطبيقات والبرمجيات، إذ يصبح كل شيء متوفرًا في مكان واحد.

كما تتضمن منصات واجهات برمجة التطبيقات أدوات تحليلية قيّمة. وتُستخدَم هذه المنصة المركزية لمراقبة استخدام واجهات برمجة التطبيقات، وأزمنة الاستجابة، والأداء الكلي، والمساعدة في اكتشاف ثغرات واجهات برمجة التطبيقات.

وأخيرًا، يتيح استخدام منصات إدارة واجهات برمجة التطبيقات إدارة دورة حياة واجهات برمجة التطبيقات بالكامل. تشمل دورة حياة واجهات برمجة التطبيقات مراحل متعددة، من الإنشاء والتطوير والاختبار والنشر، مرورًا بالصيانة، وصولًا إلى الإيقاف عند انتهاء الحاجة إليها. يمكن لمنصّة واجهات برمجة التطبيقات جمع كل هذه المراحل في مكان واحد، مما يمنح المؤسسة رؤية أوضح لبيئات واجهات برمجة التطبيقات الكبيرة والمعقّدة.

ونظرًا إلى أن واجهات برمجة التطبيقات توفّر الوصول إلى البيانات والخدمات، سواء لعملاء داخليين أو أطراف خارجية، ينبغي أن يكون الأمان عنصرًا أساسيًا في جميع مراحل تطوير استراتيجية واجهات برمجة التطبيقات. فأي قصور في تأمين واجهات برمجة التطبيقات قد يؤدي إلى هجمات إلكترونية، وتسريب أو اختراق البيانات، وأشكال أخرى من الوصول غير المصرح به. ويجب أن تتناول استراتيجية واجهات برمجة التطبيقات كيفية ضمان أن تكون هذه الواجهات آمنة ومتوافقة مع متطلبات الامتثال، مع توضيح أساليب المصادقة، والتشفير، والتحقّق، والمراقبة، والتحديثات الدورية، وغير ذلك.

وتشمل الاستراتيجية المتكاملة لواجهات برمجة التطبيقات أيضًا خططًا لما بعد إنشاء الواجهات — أي كيفية مراقبتها وصيانتها وتحليلها واختبارها وتحديثها.

من الضروري مراقبة استخدام واجهات برمجة التطبيقات لعدة أسباب، من بينها:

• تأكيد أن واجهات برمجة التطبيقات تعمل بشكل سليم وخالية قدر الإمكان من الأخطاء
  
  
• تحليل أنماط حركة البيانات للتحقّق من السلوكيات غير المعتادة التي قد تنطوي على مخاطر
  
  
• التأكد من أن جميع واجهات برمجة التطبيقات محدَّثة
  
  
• رصد أي تكرار محتمل في واجهات برمجة التطبيقات
  
  
• إزالة واجهات برمجة التطبيقات التي توقّف استخدامها أو استُبدلت بواجهات أخرى

يجب أن توضّح استراتيجية واجهات برمجة التطبيقات بالتفصيل كيف ستعزّز المؤسسة الرؤية الشاملة لبيئة واجهات برمجة التطبيقات لديها، وكيف سيتم توظيف الرؤى المستخلَصة من التحليلات وتعليقات المستخدمين لتحسين أداء الواجهات، وكيف ستُنفَّذ التحديثات ويُوثَّق أثرها، وكيف — عند الحاجة — سيتم إيقاف استخدامها.