春秋航空的API实践.docVIP

春秋航空的API实践 　　春秋航空是一家低成本航空公司，自开航以来，已经初步探索出一条低成本航空发展的商业模式。截止到2015年，春秋航空已经拥有了52架空客A320飞机，飞抵84个国内和国际城市，航线数目达到114条，平均客座率保持在93%左右。春秋航空自成立以来，自主研发离港系统，以网络直销为主。春秋航空还自主研发了旅客自助离港系统、自助登机系统、收益管理系统、飞行管理的FOC系统、飞机维修管理的MISS系统，不断的创新令航空信息化建设成果丰硕。 　　春秋航空作为中国首批民营的航空公司之一，从2010 年起就洞悉了广阔的互联网市场所埋藏的无限机遇，从而做出了移动平台开发的战略规划。如今，春秋航空研发的航空电商APP得到人们的广泛关注和赞许。就API的相关问题，春秋航空IT部运行事业部技术总监刘文辉和电商事业部运营总监朱亮接受了《中国信息化周报》的独家专访。 　　200多个外部API 　　刘文辉向记者介绍，春秋航空目前内部API有1300多个，外部API有200多个。“我们对内提供两种类型的接口。一是dubbo接口，二是消息服务MQ接口。传统的Webservice接口一般使用soap协议，我们现在用的是dubbo框架，用hessian协议。由于dubbo采用了zookeeper来管理集群，能够动态感知服务器健康状态，保障系统稳健高效的运行。在消息服务MQ接口方面，我们通过消息来解耦系统，提供更加健壮的服务，适用于实时性要求较高的场景。”刘文辉详细地向记者介绍道，“我们对外提供的以restful接口为主，也提供MQ接口和Webservice soap接口。其中restful接口的目标是兼容各个平台开发语言包括移动端调用。当然对于一些特定的用户（如机场、空管局），我们也提供MQ接口，这些用户的实时性要求较高，比如飞机机号变更要及时发消息通知机场等。但现在线上还有一些老用户使用的还是我们之前提供的Webservice soap接口。” 　　“我们原来各个系统是各自做各自的安全，各做各的安全策略，我们现在统一的网关实现接入的安全，然后通过加密、签名技术去对接口调用人进行身份认证，加时间戳进行防篡改。”朱亮告诉记者，现在的互联网尤其对航空公司来说，安全是第一位的。“所以我们在安全方面有所加强，包括统一的身份认证、接口调用的频率监控、访问次数的限制等。目前主要是自己开发，接下来在监控方面考虑用第三方的工具，比如用zabbix做服务器的监控，做负载均衡，防止单点故障、性能故障、宕机等情况的发生。”春秋航空有专门的团队在做API的监控平台，在做数据中心的同时，同步完善API平台。 　　为什么要这么做的原因，刘文辉告诉记者：“我们内部出现过这种情况，业务部门没有外部数据统一的数据源，提供给不同部门的数据从不同的接口来，数据有时是不一致的。比如原来做飞行员飞行小时的统计时，给飞行部门的数据和给管理层的数据会存在出入，因为是分别来自不同系统的数据汇总出来的。为了解决上述问题，我们就建了数据中心，把数据汇总统一，再以API接口统一调用。”外部调用时，首先进入网关，身份验证通过之后进入API服务器。 　　春秋航空的航空电商APP涉及范围广泛，包括酒店、旅游、跨境电商，甚至是生鲜，所以就有很多外部调用。用户平台、支付的平台，多品类产品的平台，用户规则、费改签的、支付订单的取消很多的API接口的调用。虽然是调用第三方的接口，但对于春秋航空而言，API越来越多，越来越复杂，需要做很多基础工作。 　　实现API标准化、安全与监控 　　“以前效率比较低，在API的规范上，不同供应商做的API，接口规范、格式五花八门。”刘文辉介绍说，如果直接提供给用户调用的话，对春秋航空开发而言，难度很大。春秋航空做了API的平台，这个平台起到以下几个作用：第一是将各式各样的API格式做适配，转化成统一服务，统一标准，各种规范、规则相对统一，实现API标准化。 　　第二是保障API安全，不排除有人会恶意订票、注册、刷单等恶意攻击等，安全管理非常重要，做很多控制，攻击几次要断掉，通过用户访问次数、用户行为来判断是否为恶意，并加以处理，做好安全防御。“简单做Webservice传输的话根本就不会考虑这些问题，只要调通，保持业务的连续，数据正常返回就好。”朱亮补充说。但实际上像航空电商APP这种大量用户应用的系统，系统的稳定和安全都是非常重要的。“调用时，我们给下游系统分配APP key，对应这个key有密码，客户端生成签名和时间戳，后台验证之后，过了时间失效；针对key 访问频率和次数我们是可以控制的。对内的API安全策略，我们采用白名单IP地址限制。” 　　第三是API的监控，实现自动化监控，当接口访问次数突然增加，服务器压力就会增大。“我们需要监控