ozaki25’s diary

「Postman API Night Tokyo 2024 Fall」に参加してきました

勉強会メモ

2024/10/15
https://postman.connpass.com/event/328772/

さくっと実践！Postmanを活用した高品質で持続可能なAPI管理

川崎庸市さん(Postman)
https://speakerdeck.com/yokawasa/sakututoshi-jian-postmanwohuo-yong-sitagao-pin-zhi-dechi-sok-ke-neng-naapiguan-li

API管理

なぜAPI管理するか
- いいAPIを持続的に効果的に開発するため
いいAPI
- 目的設計文脈が明確
- 柔軟性があって完全性がある
- すぐに理解できてドキュメントが提供されている
Time to First Call
- APIを見つけてから最初に呼び出せるまでの時間
- すぐに試せる方がいい

APIファースト

APIをプロダクトとして扱う
- ソフトウェアのようなライフサイクル
- 開発運用する体制
APIファースト開発
- APIの設計が焦点になる
- コードを書く前に設計してモック、ドキュメント、テストも作る

Postmanによる管理

コレクション
- APIアクセスの情報をフォルダ管理みたいなことができる
- 複数のAPIを呼んだり
- テストもできる？
- OpenAPIのようにPostmanの仕様がある
  - APIの実行やテストの焦点を当てている
  - OpenAPIから変換できる
設計ステージ
- API仕様を作ってそれを元にコレクションを生成
  - OpenAPIから生成
  - PostmanのAPIビルダー
  - 直接画面からつくる
- コレクションは実行可能なドキュメントになる
- モックサーバー
  - クラウドサービス
  - モックを作成するとURLが発行される
  - サンプルデータを元にレスポンスが返ってくる
テストステージ
- APIリクエストごとにJSでスクリプトを書いて期待結果になってるかチェックできる
- 複数リクエストをまとめたテストもできる
  - コレクションランナー
  - パフォーマンステストもできる
- トラフィックのキャプチャを保存できる
  - ブラウザ拡張で
    - Postmanインターセプター
  - プロキシで
    - Postmanプロキシ

API Lifecycle Management with Kong

橋谷信一さん(Kong)
https://speakerdeck.com/hashitokyo/kongniyoruapiraihusaikuru-manezimento

APIの状況

APIはどんどん増えている
APIファースト
- サービスのコントラクトを明確に定義することからはじめる
- APIを一級成果物として扱う
APIの多様化複雑化
APIを取り巻く環境
- 数が増えて管理が困難
- 攻撃対象に
- APIの処理がクリティカルに
- 異なる環境下での展開

Kong

Kong
- APIGatewayの製品
- OSS
- サービスメッシュもOSSである
シングルバイナリなので構築が楽
- ベースはnginx
プラグイン
- キャッシュ
- 認証認可
- バリデーション
- アタックに対する防御
- 流量制限
- 用途に応じて組み合わせて作っていく
API Ops
- APIの定義もCDで連携して最新化する
- APIGatewayが知っておくべきAPIの情報とOpenAPIの情報はかなり近い

Postmanを活用したAPI開発の品質保証の向上

菅谷佑司さん(マネーフォワード)

認証フローの自動化

OAuth2.0で認証時にアクセストークンが必要
- 60分で失効
- API叩く時にトークン取得してセットするのも手間
- テストの時面倒
PostmanでAutorizationを設定
- PostmanのUI上でいろいろ設定するとトークン取得してセットするところが楽になる
- 60分置きに自動で更新もしてくれる
- 複数のトークンを管理できる
  - 環境ごと
  - アカウントごと

APIテスト

変数を活用して自動で一連の流れをテスト
- レスポンスの特定の値を次のAPIのパラメータにセットするとか
- URLに変数を設定できる
- 複数APIを叩くためにスクリプトを書く
  - Postmanが提供する変数にレスポンス情報とかが詰まってる

OWASP ZAPと連携したセキュリティテスト

OWASP ZAPでプロキシの設定をする
- Postmanでのプロキシの設定で連携するようにする