¿Qué es una API (interfaz de programación de aplicaciones)?

¿Cómo funcionan las API?

Las API se componen de la siguiente relación de elementos:

• Una especificación que describe cómo se intercambia información entre programas –en forma de una solicitud de procesamiento– y una devolución de los datos necesarios.
• Una interfaz de software escrita según esa especificación y publicada de alguna manera para su uso.

Esta arquitectura se describe típicamente en términos cliente-servidor. La aplicación que envía una solicitud es el cliente, y la aplicación que envía la respuesta es el servidor. La API establece la conexión entre ambos.

Se dice que el cliente que desea acceder a las características y capacidades de la API la llama, y ​​se dice que el servidor que crea la API la publica.

Las API autorizan y otorgan acceso a los datos que los usuarios y otras aplicaciones solicitan. El acceso a un servicio o a una parte de su funcionalidad se autentica mediante roles predefinidos que determinan quién o qué servicio puede acceder a acciones y datos específicos. Las API también proporcionan un registro de auditoría que detalla quién y qué accedió al sistema y cuándo.

Las aplicaciones que invocan APIs se escribían tradicionalmente en lenguajes de programación específicos. Las API web pueden invocarse mediante cualquier lenguaje de programación, pero las páginas web creadas en lenguaje de marcado de hipertexto (HTML) o con herramientas de generación de aplicaciones también pueden acceder a ellas.

Las arquitecturas más comunes para las API son la Transferencia de Estado Representacional (REST) ​​y el Protocolo Simple de Acceso a Objetos (SOAP), que define una especificación de protocolo de comunicación estándar para el intercambio de mensajes basado en el Lenguaje de Marcado Extensible (XML). SOAP requiere menos código de infraestructura de bajo nivel que REST. Sin embargo, las API REST son más fáciles de escalar y reimplementar, y más sencillas de implementar e integrar con sitios web y servicios. Las API REST son las más utilizadas hoy en día, especialmente para interacciones web.

Las API de WebSocket son otro tipo de API. Utilizan objetos de notación de objetos JavaScript para transferir datos. También proporcionan funciones de devolución de llamada para facilitar la comunicación bidireccional entre clientes y servidores. Suelen estar escritas en JavaScript, Python, C#, Go, Ruby y otros lenguajes.

Las API de Llamada a Procedimiento Remoto (RPC) permiten a los clientes llamar a otros procesos en sistemas remotos como si el proceso fuera un sistema local. Las API de RPC suelen estar escritas en C++, Java, Python, Go, Ruby y .NET.

Por qué las API son importantes para las empresas

Las API han mejorado la calidad y la entrega de software y servicios. El software personalizado, desarrollado para un propósito específico, suele escribirse para hacer referencia a API que ofrecen funciones útiles en diversos contextos. Esto reduce el tiempo de desarrollo, el costo y el riesgo de errores.

El creciente número de servicios web que los proveedores de la nube exponen a través de API también ha fomentado la creación de aplicaciones específicas de la nube, esfuerzos de IoT y aplicaciones para dar soporte a dispositivos y usuarios móviles.

Las API añaden una capa digital que permite presentar los datos y activos empresariales de una empresa con la gobernanza y la seguridad necesarias. Este enfoque optimiza las interacciones con clientes, empleados y socios. Una mayor funcionalidad y alcance de los servicios aumenta el valor ofrecido a los usuarios y mejora la experiencia del cliente.

Las API permiten a los desarrolladores ahorrar tiempo al crear aplicaciones al integrar datos, servicios y otras funcionalidades de otras aplicaciones, evitando así la necesidad de crearlas desde cero. Además, generan nuevas oportunidades de monetización para las empresas, como la productización de datos con paquetes y planes personalizados para socios comerciales.

¿Cuáles son los beneficios de utilizar API?

Las API son un conjunto de reglas. Estandarizan la forma en que los desarrolladores escriben el código de las aplicaciones, mejorando así los procesos internos de desarrollo de software de una organización.

Usar las mismas reglas y formatos optimiza el código, haciéndolo más transparente. La estandarización también facilita la colaboración entre desarrolladores al crear componentes de software con la intención de integrarlos con las API. Esto, a su vez, facilita el desarrollo de funcionalidades y reduce el tiempo de comercialización.

Las API públicas y las compartidas con socios permiten que una organización haga lo siguiente:

• Controlar y administrar de forma segura cómo los usuarios y los sistemas acceden a los datos y a la funcionalidad del servicio.
• Permitir que terceros utilicen sus datos –incluso en un sentido limitado– lo que aumenta la exposición de la marca de una empresa.
• Hacer crecer su base de datos de clientes y aumentar su tasa de conversión alineando sus servicios con otras marcas confiables.
• Monetizar sus API para que se conviertan en una fuente de ingresos. Esta es una táctica común para las pasarelas de pago en línea. Por ejemplo, las empresas que usan las API de PayPal están dispuestas a pagar por usar un sistema de pago confiable.
• Las API separan la aplicación solicitante del servicio que responde, lo que proporciona seguridad adicional entre el cliente y los servidores.

Desafíos del uso de API

También existen desafíos y limitaciones asociados con las API, incluidos los siguientes:

• El desarrollo de API puede ser complejo y costoso de integrar con los sistemas y datos que representan. Ciertos tipos de funcionalidad podrían abordarse mejor mediante un enfoque como la automatización robótica de procesos.
• Debido a que están impulsadas por la estandarización, las API también son vulnerables a ciberataques relacionados con la exposición de datos, la autenticación de usuarios, la autorización a nivel de objeto y de función, la asignación masiva y los ataques de inyección.
• Las API se actualizan con frecuencia, lo que dificulta mantener la documentación de las API al día. Una gestión adecuada del ciclo de vida de las API y la descontinuación de las API antiguas pueden ayudar a mitigar este desafío.
• Los problemas de compatibilidad e integración, ya que algunas API utilizan formatos de datos diferentes, pueden dificultar el intercambio de datos, lo que ralentiza los tiempos de respuesta.
• Las API deben probarse para garantizar su correcto funcionamiento. El mejor enfoque es codificar las prácticas de prueba.

Tipos de API

Hay cuatro tipos de API:

• Las API privadas, o API internas, se publican internamente para que los desarrolladores de una empresa las utilicen para mejorar sus propios productos y servicios. No se exponen a terceros.
• Las API públicas, o API abiertas, se publican para que cualquiera pueda usarlas. No existen restricciones para estas API.
• Las API de socios solo pueden ser utilizadas por partes específicas con las que una empresa acuerda compartir datos. Estas API se utilizan a menudo en relaciones comerciales para integrar software entre empresas asociadas.
• Las API compuestas combinan varias API para abordar tareas relacionadas o interdependientes. Suelen mejorar la velocidad y el rendimiento en comparación con las API individuales.

Las API también se clasifican según su alcance y la naturaleza de las interacciones.

• Las API locales ofrecen servicios de sistema operativo o middleware a las aplicaciones. Algunos ejemplos de API locales son las API .NET de Microsoft, la API de telefonía para aplicaciones de voz y las API de acceso a bases de datos.
• Las API web están diseñadas para representar recursos como páginas HTML y se accede a ellas mediante un protocolo de transferencia de hipertexto (HTTP). Cualquier URL web activa una API web. Las API web se denominan a menudo API RESTful porque el editor de interfaces REST no guarda datos internamente entre solicitudes. Por lo tanto, las solicitudes de muchos usuarios pueden entremezclarse como en internet.
• Las API remotas interactúan a través de una red de comunicación para manipular recursos fuera del ordenador que realiza la solicitud. Esta categoría es más amplia e incluye, entre otras, las API web. No es necesario que las API remotas se diseñen según estándares web, aunque muchas sí lo están. La API de conectividad de bases de datos de Java y la API de invocación de métodos remotos de Java son dos ejemplos de API remotas.
• Las API de programa se basan en la tecnología RPC, que permite que un componente de programa remoto parezca local para el resto del software. Las API de arquitectura orientada a servicios (SOA), como la serie de API de servicios web de Microsoft, son API de programa.

Por qué es importante el diseño de API

Un buen diseño de API es fundamental para su uso exitoso. Los arquitectos de software dedican un tiempo considerable a revisar todas las posibles aplicaciones de una API y la forma más lógica de utilizarla.

Las estructuras de datos y los valores de los parámetros son de particular importancia, ya que deben coincidir entre el llamador de una API y su editor.

Una seguridad sólida de las API también es un aspecto importante de su diseño. La explotación de API mal configuradas es una práctica común para los ciberatacantes. Una API es una puerta de enlace que presenta los sistemas y datos de una organización a usuarios internos y externos. Cualquier vulnerabilidad puede generar graves y amplios problemas de seguridad.

Si una organización planea vender su API como una forma de monetización, entonces es importante que funcione como está previsto, para que pueda llegar a la mayor cantidad de personas posible.

Cómo crear una API

Los desarrolladores deben seguir estos pasos para crear una API:

1. Planificación. Los desarrolladores definen el propósito, el alcance y la funcionalidad de la API. Una documentación clara es fundamental para alinear los esfuerzos de desarrollo con las necesidades del negocio y del usuario. Una especificación de API como OpenAPI es un formato estándar que puede servir como modelo.
2. Construcción. Los desarrolladores comienzan a construir la API basándose en especificaciones previamente definidas. Este proceso implica crear la arquitectura, escribir código para gestionar solicitudes y respuestas, e integrar servicios de terceros o sistemas back-end.
3. Pruebas. Esta etapa se centra en validar la funcionalidad, el rendimiento y la seguridad de la API.
4. Documentación. Esta etapa se centra en crear explicaciones claras de los puntos finales, los parámetros de solicitud, los formatos de respuesta y los códigos de error. Una buena documentación ayuda a mejorar la experiencia de usuario de los desarrolladores externos. La documentación debe mantenerse clara y actualizada.
5. Publicación. Los desarrolladores publican la API en un portal para desarrolladores o en un mercado de API donde terceros pueden encontrarla y usarla. La monitorización y las actualizaciones continuas garantizan que la API siga utilizándose.
6. Descontinuación. Una API se retira del servicio cuando se interrumpe su soporte y desarrollo, incluyendo la corrección de errores. Podría ser reemplazada por una versión más reciente de la API o un nuevo producto de API.

¿Cuáles son algunos ejemplos de API?

Los sistemas operativos y las herramientas de middleware exponen sus funciones mediante conjuntos de API, generalmente denominados kits de herramientas. Dos conjuntos de herramientas diferentes que admiten las mismas especificaciones de API son intercambiables para los programadores y constituyen la base de las especificaciones de compatibilidad e interoperabilidad. Por ejemplo, las especificaciones de la API .NET de Microsoft son la base de un paquete de middleware equivalente a Linux de código abierto, ahora compatible con Microsoft.

Muchos productos y herramientas de software ofrecen funcionalidad mediante API, desde herramientas DevOps como Docker, GitLab y Jenkins hasta plataformas empresariales como Microsoft SharePoint. Las redes sociales, en particular, aprovechan las API abiertas para facilitar funcionalidades de terceros, como la posibilidad de crear canales de noticias y compartir fotos.

Internet es el principal impulsor de las API. Empresas como Meta, Google y Yahoo publican API para animar a los desarrolladores externos a aprovechar sus capacidades. Estas API han proporcionado desde nuevas funciones de internet que permiten navegar por los sitios de otros servicios hasta aplicaciones para dispositivos móviles que facilitan el acceso a recursos de aplicaciones web. Nuevas funciones, como la entrega de contenido, la realidad aumentada y las novedosas aplicaciones de tecnología wearable, se crean en gran medida a través de estas API.

Otro ejemplo de API es WeatherKit, también llamada API REST de WeatherKit. Este servicio web de Apple puede utilizarse para proporcionar datos meteorológicos a aplicaciones y servicios. Por ejemplo, una app meteorológica de terceros podría usar WeatherKit para obtener datos meteorológicos de Apple y proporcionarlos en su propia app. WeatherKit está disponible para apps de iOS, macOS, tvOS y watchOS.

Tendencias de API

La ubicuidad de internet, el uso extendido de la computación en la nube y la transición de aplicaciones monolíticas a microservicios han contribuido al aumento del uso de API. Entre las tendencias en torno a las API se incluyen las siguientes:

REST y la web. Las llamadas a las API web pueden provenir de cualquier lenguaje de programación, pero también pueden ser realizadas por páginas web creadas en HTML o herramientas de generación de aplicaciones. El creciente papel de internet y la nube en la vida diaria y las actividades empresariales ha expandido el uso de API y herramientas de programación sencillas, o incluso la ausencia total de programación, para acceder a ellas.

Tanto REST como SOAP pueden invocar, conectar, gestionar e interactuar con servicios en la nube. REST se prefiere cada vez más para las API web porque consume menos ancho de banda y ofrece más opciones para lenguajes de programación como JavaScript y Python. Grandes sitios web, como Amazon, Google, LinkedIn y Twitter, utilizan API RESTful.

API y la nube. La computación en la nube introduce nuevas capacidades para dividir el software en componentes reutilizables, conectar componentes a solicitudes y escalar el número de copias de software según la demanda.

Estas capacidades de la nube han cambiado el foco de las API desde modelos simples centrados en el programador y basados ​​en RPC a modelos RESTful centrados en la web, e incluso a lo que se llama programación funcional o modelos lambda de servicios que pueden escalarse instantáneamente según sea necesario en la nube.

API como servicios. La tendencia de considerar las API como recursos generales ha cambiado. Muchas aplicaciones las utilizan como herramienta general, pero también se consideran servicios y normalmente requieren un desarrollo e implementación más controlados. Algunas organizaciones también optan por monetizar sus API para que otras organizaciones puedan usarlas a cambio de una tarifa.

SOA y los microservicios son ejemplos de API de servicios. Los servicios son la tendencia más popular en API, hasta el punto de que es posible que todas las API del futuro representen servicios.

Inteligencia artificial en las API. La IA y el aprendizaje automático se utilizan cada vez más para generar documentación automáticamente y monitorizar las tendencias de uso de las API.

OpenAPI también se está convirtiendo en una práctica recomendada para el desarrollo de API estándar. OpenAPI es una especificación que define y documenta las API RESTful. Describe las funcionalidades, operaciones y respuestas de las API, así como detalles para las API basadas en HTTP.

La automatización también ha adquirido un papel importante en el diseño de API, ya que ayuda a optimizar el desarrollo y las pruebas de API. Las herramientas de automatización también se utilizan para verificar el cumplimiento de las políticas de gobernanza y estándares.

Publicación y gestión de API

La empresa que publica la API controla todos los aspectos de su diseño y uso, incluyendo la seguridad, la fiabilidad y el cobro por uso. También controla la adición de funciones, ya sean desarrolladas por el editor o por terceros. Esto significa que la empresa debe garantizar el rendimiento de la API según sus términos de servicio, como lo haría con cualquier aplicación o servicio.

Los siguientes son aspectos clave de la gestión y publicación de API:

Pruebas de API. Como todo software, las API deben probarse. Esto valida la API publicada con respecto a las especificaciones que los usuarios utilizan para dar formato a sus solicitudes. Las pruebas de API también garantizan lo siguiente:

• Los puntos finales de la aplicación y las funciones de intercambio de datos funcionan como se espera.
• Las fuentes de datos de los socios envían los datos esperados, cómo, cuándo y dónde se esperan.
• Los datos basura no ingresan a una base de datos y crean problemas de aplicaciones o problemas de corrupción de datos.
• Una aplicación funciona en todas las plataformas, incluidas las de escritorio, la web y los dispositivos móviles.

Las pruebas de API suelen realizarse como parte de la gestión del ciclo de vida de las aplicaciones, tanto para el software que las publica como para todo el software que las utiliza. Las API también deben probarse en su formato publicado para garantizar un acceso correcto.

Gestión de API. La gestión de API se refiere al conjunto de actividades asociadas con la publicación de una API para su uso. Permite a los usuarios encontrar la API y sus especificaciones, y regular el acceso a ella según los permisos o políticas definidos por el propietario.

La gestión de API se ha vuelto predominante a medida que las empresas dependen cada vez más de ellas, las adoptan con mayor frecuencia y lidian con las complejidades administrativas que estas generan. Las organizaciones tienen diferentes necesidades de gestión, pero generalmente abarcan funciones básicas, como seguridad, gobernanza, análisis y control de versiones.

Las API requieren documentación rigurosa, niveles avanzados de seguridad, pruebas exhaustivas, control periódico de versiones y alta fiabilidad. Para satisfacer estos requisitos, las organizaciones utilizan software de gestión de API, ya sea como plataforma combinada o con herramientas individuales. Estas herramientas suelen incluir varios componentes principales: un portal para desarrolladores, la gestión del ciclo de vida, un gestor de políticas, análisis, un almacén de API y una puerta de enlace de API.

Puntos finales de API y seguridad. Los puntos finales de API son los puntos donde se comunican el cliente y el servidor, y donde la API recibe solicitudes de recursos. Suelen ser una URL expuesta por el servidor que permite que otros sistemas se conecten a ellos. Funcionan como puntos de entrada a la red corporativa. Los puntos finales son donde el código de un desarrollador interactúa con el código y los datos de una organización.

Los endpoints de API son objetivos atractivos para los atacantes y deben protegerse. Algunas medidas de seguridad son las siguientes:

• Utilice la limitación de velocidad para desalentar los bots y las amenazas distribuidas de denegación de servicio.
• Valide la entrada para garantizar que ingresen datos correctos y evitar ataques de inyección.
• Almacene las contraseñas como valores hash asimétricos.