1. RESTful APIとは

REST（Representational State Transfer）は、Webアーキテクチャの原則に基づいたAPI設計のスタイルです。

RESTの6つの原則

1. 統一インターフェース: 標準的なHTTPメソッドを使用
2. ステートレス: 各リクエストは独立している
3. キャッシュ可能: レスポンスをキャッシュできる
4. クライアント・サーバー分離: クライアントとサーバーが独立
5. 階層化システム: プロキシやロードバランサーを介在可能
6. コードオンデマンド: サーバーからクライアントにコードを送信可能（オプション）

参考リンク： REST - Wikipedia

2. リソースの設計

RESTful APIでは、すべてのものが「リソース」として扱われます。

リソースの命名規則

✅ 良い例
GET    /api/users
GET    /api/users/123
POST   /api/users
PUT    /api/users/123
DELETE /api/users/123

GET    /api/posts
GET    /api/posts/456/comments
POST   /api/posts/456/comments

❌ 悪い例
GET    /api/getUsers
POST   /api/createUser
GET    /api/user/123/delete
POST   /api/user/123/update

リソース名のベストプラクティス

- 名詞を使用: 動詞は使わない
- 複数形を使用: コレクションは複数形（/users、/posts）
- 小文字とハイフン: スネークケースやキャメルケースは避ける
- 階層構造: 関連リソースは階層的に表現

# 良い例
/api/users
/api/users/123/posts
/api/users/123/posts/456/comments

# 悪い例
/api/user_list
/api/userPosts
/api/user_posts

3. HTTPメソッドの使い方

HTTPメソッドは、リソースに対する操作を表現します。

基本的なHTTPメソッド

| メソッド | 用途 | べき等性 | 安全性 |
|---------|------|---------|--------|
| GET | リソースの取得 | あり | あり |
| POST | リソースの作成 | なし | なし |
| PUT | リソースの更新（全体） | あり | なし |
| PATCH | リソースの部分更新 | なし | なし |
| DELETE | リソースの削除 | あり | なし |

実践例

// GET - リソースの取得
GET /api/users          // ユーザー一覧を取得
GET /api/users/123      // ID 123のユーザーを取得
GET /api/users?page=1&limit=10  // ページネーション

// POST - リソースの作成
POST /api/users
Body: {
  "name": "田中太郎",
  "email": "tanaka@example.com"
}

// PUT - リソースの全体更新
PUT /api/users/123
Body: {
  "name": "田中太郎",
  "email": "tanaka@example.com",
  "age": 30
}

// PATCH - リソースの部分更新
PATCH /api/users/123
Body: {
  "age": 31
}

// DELETE - リソースの削除
DELETE /api/users/123

4. エンドポイント設計のベストプラクティス

バージョニング

APIのバージョンを管理することで、後方互換性を保ちながら進化できます。

# URLパスでバージョン管理（推奨）
/api/v1/users
/api/v2/users

# ヘッダーでバージョン管理
Accept: application/vnd.api+json;version=1

フィルタリング、ソート、ページネーション

# フィルタリング
GET /api/users?status=active&role=admin

# ソート
GET /api/users?sort=name&order=asc

# ページネーション
GET /api/users?page=1&limit=20&offset=0

# 複合クエリ
GET /api/users?status=active&sort=created_at&order=desc&page=1&limit=10

ネストされたリソース

# ユーザーの投稿を取得
GET /api/users/123/posts

# 特定の投稿のコメントを取得
GET /api/posts/456/comments

# コメントを作成
POST /api/posts/456/comments
Body: {
  "content": "素晴らしい記事ですね！"
}

5. HTTPステータスコード

適切なHTTPステータスコードを使用することで、APIの動作を明確に伝えられます。

成功レスポンス（2xx）

200 OK              # リクエスト成功（GET, PUT, PATCH）
201 Created         # リソース作成成功（POST）
204 No Content      # 成功だが返すコンテンツなし（DELETE）

クライアントエラー（4xx）

400 Bad Request     # 不正なリクエスト
401 Unauthorized    # 認証が必要
403 Forbidden       # 権限がない
404 Not Found       # リソースが見つからない
409 Conflict        # 競合（例：重複するメールアドレス）
422 Unprocessable Entity  # バリデーションエラー

サーバーエラー（5xx）

500 Internal Server Error  # サーバー内部エラー
503 Service Unavailable    # サービス利用不可

実践例

// 成功レスポンス
GET /api/users/123
Response: 200 OK
{
  "id": 123,
  "name": "田中太郎",
  "email": "tanaka@example.com"
}

// 作成成功
POST /api/users
Response: 201 Created
Location: /api/users/124
{
  "id": 124,
  "name": "佐藤花子",
  "email": "sato@example.com"
}

// エラーレスポンス
GET /api/users/999
Response: 404 Not Found
{
  "error": {
    "code": "NOT_FOUND",
    "message": "ユーザーが見つかりません",
    "details": "ID 999のユーザーは存在しません"
  }
}

// バリデーションエラー
POST /api/users
Response: 422 Unprocessable Entity
{
  "error": {
    "code": "VALIDATION_ERROR",
    "message": "バリデーションエラー",
    "errors": [
      {
        "field": "email",
        "message": "メールアドレスの形式が正しくありません"
      }
    ]
  }
}

6. リクエストとレスポンスの形式

JSON形式の統一

// リクエスト例
POST /api/users
Content-Type: application/json
{
  "name": "田中太郎",
  "email": "tanaka@example.com",
  "age": 30
}

// 成功レスポンス例
{
  "data": {
    "id": 123,
    "name": "田中太郎",
    "email": "tanaka@example.com",
    "age": 30,
    "created_at": "2024-01-28T10:00:00Z"
  }
}

// エラーレスポンス例
{
  "error": {
    "code": "VALIDATION_ERROR",
    "message": "バリデーションエラー",
    "errors": [...]
  }
}

コレクションのレスポンス

// リストレスポンス
GET /api/users
Response: 200 OK
{
  "data": [
    {"id": 1, "name": "田中太郎", ...},
    {"id": 2, "name": "佐藤花子", ...}
  ],
  "meta": {
    "total": 100,
    "page": 1,
    "limit": 20,
    "total_pages": 5
  }
}

7. 認証と認可

トークンベース認証

// ログイン
POST /api/auth/login
Body: {
  "email": "user@example.com",
  "password": "password123"
}

Response: 200 OK
{
  "data": {
    "token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...",
    "expires_in": 3600
  }
}

// 認証が必要なリクエスト
GET /api/users/me
Headers: {
  "Authorization": "Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."
}

APIキー認証

// APIキーをヘッダーで送信
GET /api/data
Headers: {
  "X-API-Key": "your-api-key-here"
}

8. レート制限

APIの過剰な使用を防ぐため、レート制限を実装します。

// レート制限のヘッダー
Response Headers:
X-RateLimit-Limit: 1000
X-RateLimit-Remaining: 999
X-RateLimit-Reset: 1640995200

// レート制限超過時
Response: 429 Too Many Requests
{
  "error": {
    "code": "RATE_LIMIT_EXCEEDED",
    "message": "レート制限を超えました",
    "retry_after": 60
  }
}

9. APIドキュメント

OpenAPI（Swagger）の使用

openapi: 3.0.0
info:
  title: User API
  version: 1.0.0
paths:
  /users:
    get:
      summary: ユーザー一覧を取得
      parameters:
        - name: page
          in: query
          schema:
            type: integer
      responses:
        '200':
          description: 成功
    post:
      summary: ユーザーを作成
      requestBody:
        required: true
        content:
          application/json:
            schema:
              type: object
              properties:
                name:
                  type: string
                email:
                  type: string

参考リンク： OpenAPI仕様

10. エラーハンドリングのベストプラクティス

統一されたエラーレスポンス形式

// エラーレスポンスの構造
{
  "error": {
    "code": "ERROR_CODE",
    "message": "人間が読めるエラーメッセージ",
    "details": "詳細な情報（オプション）",
    "errors": [
      // バリデーションエラーの場合
    ]
  }
}

// 実践例
{
  "error": {
    "code": "VALIDATION_ERROR",
    "message": "リクエストのバリデーションに失敗しました",
    "errors": [
      {
        "field": "email",
        "message": "メールアドレスの形式が正しくありません"
      },
      {
        "field": "age",
        "message": "年齢は0以上である必要があります"
      }
    ]
  }
}

11. 実践的なAPI設計例

ユーザー管理API

# ユーザー一覧取得
GET /api/v1/users
GET /api/v1/users?status=active&role=admin&page=1&limit=20

# ユーザー詳細取得
GET /api/v1/users/123

# ユーザー作成
POST /api/v1/users
Body: {"name": "...", "email": "..."}

# ユーザー更新
PUT /api/v1/users/123
PATCH /api/v1/users/123

# ユーザー削除
DELETE /api/v1/users/123

# ユーザーの投稿一覧
GET /api/v1/users/123/posts

# ユーザーの投稿作成
POST /api/v1/users/123/posts

12. パフォーマンス最適化

キャッシング

// キャッシュヘッダーの設定
Response Headers:
Cache-Control: public, max-age=3600
ETag: "33a64df551425fcc55e4d42a148795d9f25f89d4"

// 条件付きリクエスト
GET /api/users/123
If-None-Match: "33a64df551425fcc55e4d42a148795d9f25f89d4"

Response: 304 Not Modified  // 変更なし

フィールドの選択

# 必要なフィールドのみ取得
GET /api/users/123?fields=id,name,email

# ネストされたリソースのフィールド選択
GET /api/users/123/posts?fields=id,title,created_at

13. セキュリティのベストプラクティス

1. HTTPSを使用: すべての通信を暗号化
2. 入力検証: すべての入力を検証
3. SQLインジェクション対策: パラメータ化クエリを使用
4. CORS設定: 適切なオリジンを許可
5. 認証トークンの保護: 安全に保存・送信
6. レート制限: ブルートフォース攻撃を防止

参考リンク： OWASP API Security Top 10

14. ベストプラクティスまとめ

1. RESTful原則に従う: 統一インターフェース、ステートレス
2. 適切なHTTPメソッドを使用: GET, POST, PUT, PATCH, DELETE
3. 明確なエンドポイント命名: 名詞、複数形、階層構造
4. 適切なステータスコード: 2xx, 4xx, 5xxを適切に使用
5. 統一されたレスポンス形式: 成功・エラーともに統一
6. バージョニング: APIの進化に対応
7. ドキュメント化: OpenAPIなどでドキュメントを作成
8. セキュリティ: 認証、認可、入力検証を実装

参考リンク： RESTful API Design - Best Practices