im/doc/api/overview.md

API

作者：Sand，2017.11.07

概述

本文档为REST API调用规范，旨在为第三方应用提供访统一的问平台调用与交互方式，通过这些接口可以访问患者的健康数据，医疗资源及医疗机构等数据。

所有API都是通过向平台的REST服务器发送HTTP请求来实现，REST服务器支持gzip，可有效降低网络开销，建议第三方应用加入gzip支持。

术语解释

• Client ID: 在平台注册App时，由平台提供的唯一App标识。
• Client Secret：在平台注册App时为其分配的应用密码。
• 用户名：在平台注册用户时，由平台提供的唯一用户标识。
• 用户密码：与用户ID相匹配的用户密码，由用户保管。
• 机构代码：在平台注册机构时，使用此机构在国家机构数据库中注册的代码。
• 机构公钥：在平台注册机构时，平台为机构提供的公钥。

版本

平台API均被版本化，当前版本为v1.0，版本号通过URL指定，例如：

api/v1.0/user?age=20

请务必在请求中包含版本号以便请求能够得到正确响应。

请求与响应通用模式

所有API请求均通过HTTPS协议。API服务器地址：

• 医生端
• 患者端

数据发送与接收均以JSON作为载体。例如：数组参数array。普通字符串直接使用URL。

curl -i https://ehr.yihu.com/api/v1.0/users

HTTP/1.1 200 OK
Server: nginx
Date: Fri, 12 Oct 2012 23:33:14 GMT
Content-Type: application/json; charset=utf-8
Connection: keep-alive
Status: 200 OK
ETag: "a00049ba79152d03380c34652f2cb612"
Content-Length: 5
Cache-Control: max-age=0, private, must-revalidate

JSON结构中字段为空的时候，使用null表示，而不是将其丢弃。所有时间戳数据均以ISO 8601格式返回：

YYYY-MM-DDTHH:MM:SSZ

资源摘要

当请求资源列表时，返回值是特定资源属性的一个子集，而非所有属性，即“资源摘要”（某些资源的属性会占用过多的系统资源）， 鉴于性能原因应用默认不返回这些属性。若要获取这些属性，通过资源的详细信息来获取。

例如，当请求用户列表的时候，你将得到用户列表，其中只有部分属性有返回值

GET /users

资源详情

当请求单个资源时，平台将会返回这个资源的所有属性，即“资源详情”（注意，用于不同的用户权限，其返回值可能有所不同）。

例如，当请求某个用户的详细信息时，将会返回这个用户的所有数据：

GET /users/1024

参数

很多API都含有可选参数。例如，对于GET请求，非路径变量参数可以通过HTTP查询参数指定：

curl -i "https://ehr.yihu.com/v1/users/1024?age=20"

在这个示例中，用户的年龄参数通过*:age*查询字符串来指定。

对于POST, PUT与DELETE请求，不在URL中指定的参数必须封装成JSON，并指定Content-Type为'application/json'：

curl -i -u username -d '{"age":["20"]}' https://ehr.yihu.com/users

全局入口

通过向根路径发送GET请求，将会得到平台所有支持的API列表：

curl https://ehr.yihu.com/api

可以从返回的JSON得到你所需要的API列表。入口处显示平台API列表可以点击进去。列表只显示各API的第一个GET方法链接。若含有多个GET方法会被忽略。 GET方法点击进去之后，根据方法的实际情况：

• 若方法不需要认证，可以修改URL中的查询参数就可以得到结果

• 若方法需要认证，此时返回API的错误信息。结构如下

  {

  message: "需要认证",
  documentation_url: http://ehr.yihu.com/docs/help.html
  

  }

另外，平台提供了Swagger工具，用户可以直接访问API列表。

客户端错误

客户端请求时，服务端可能会返回以下三种类型的API错误，具体的错误信息在响应体中：

• 若请求参数是一个无效的JSON，服务端将返回400错误：

  HTTP/1.1 400 Bad Request Content-Length: 35

  {"message":"Problems parsing JSON"}

• 若客户端发送的是一个错误的JSON值，服务端将返回400错误：

  HTTP/1.1 400 Bad Request Content-Length: 40

  {"message":"Body should be a JSON object"}

• 若客户端发送的数据包含无效的字段，服务端将返回422错误：

  HTTP/1.1 422 Unprocessable Entity Content-Length: 149

  { "message": "Validation Failed", "errors": [

  {
    "resource": "Issue",
    "field": "title",
    "code": "missing_field"
  }
  

  ] }

所有的错误对象都含有相应的资源与属性字段，用以告诉客户端可能的错误原因。另外，错误对象中还有一个错误代码，用于告诉哪个字段发生错误。 错误代码列表如下：

错误名称	描述
missing	资源不存在
missing_field	请求的资源不含请求的字段
invalid	字段的格式无效。请参考指定的资源文档以获取详细信息
already_exists	此资源的字段值与另一个资源一样。这种情况大多发生在资源的主键重复，例如：对象ID

以上是通用的错误对象，资源也可能返回一些自定义错误消息，自定义错误消息包含一个message字段描述该错误，且大多数错误消息都 含有一个documentation_url字段指向可能对解决问题有帮助的页面。

HTTP重定向

平台API在适当的时候会使用HTTP重定义功能。客户端应该假设所有的请求都有可能发生重定向。客户端接收到HTTP重定向时， 这不是一个错误并且客户端需要跟随重定向链接。重定向链接包含在URI资源的返回头*Location*字段中。

HTTP状态码	描述
301	永久重定向。所请求的资源已被永久转移到*Location*指定的位置，客户端应该使用该URI重新请求该资源。
302，307	临时重定向。所请求的资源暂时转移到*Location*指定的位置，客户端应该使用该URI重新请求该资源。

HTTP动词

平台使用HTTP动词代表一个操作，目前支持以下动词

动词	描述
GET	获取资源
POST	创建资源
PUT	更新一个或多个资源
DELETE	删除资源

授权

平台API有以下两种鉴权模式。大多数情况下，若不请求中不包含token会返回 *403 Forbidden*，但有些API出于保护资源的目的可能会返回*404 Not Found*错误。

• OAuth2 Token（包含在请求头中）

  curl -H "Authorization: token OAUTH-TOKEN" https://ehr.yihu.com/api

• OAuth2 Token（作为请求参数的一部分）

  curl https://ehr.yihu.com/api/resource?access_token=OAUTH-TOKEN

更多关于OAuth2的信息，请参考(OAuth2规范)[https://developer.github.com/v3/oauth/]。OAuth2 Token获取请查询授权接口。

• OAuth2 Id/Secret获取

  curl 'https://ehr.yihu.com/api/users/whatever?client_id=xxxx&client_secret=yyyy'

该请求返回的Token仅能用于服务端-服务端的场景，请不要部署两个一样的应用，然后分别向服务端请求Token，会互相覆盖。 请保管好应用Secret，不要泄露。

• 登录失败处理

使用非法凭据来请求资源将会返回*401 Unauthorized*错误：

curl https://ehr.yihu.com/api/resource?access_token=OAUTH-TOKEN
HTTP/1.1 401 Unauthorized

{
  "message": "Bad credentials",
  "documentation_url": "https://ehr.yihu.com/api"
}

如果在短时间内，服务端接收到多个使用非法凭据的请求，后续该开发者的所有API请求在一段时间内都将被拒绝（包括使用合法凭据的请求），返回的错误为403 Forbidden

curl -i https://ehr.yihu.com/api/resource?access_token=INVALID-OAUTH-TOKEN
HTTP/1.1 403 Forbidden

{
  "message": "Maximum number of login attempts exceeded. Please try again later.",
  "documentation_url": "https://ehr.yihu.com/api"
}

超媒体

所有的资源都含有一个或多个*_url的属性，以链接到其他资源。这样做可以帮助客户端减少自己构建其关联资源的构建代码。强烈建议客户端使用这些URL。 这样做对以后开发者升级API会有帮助。所有的URL都符合 RFC 6570URI 模板。

>> tmpl = URITemplate.new('/notifications{?since,all,participating}')
>> tmpl.expand
=> "/notifications"

>> tmpl.expand :all => 1
=> "/notifications?all=1"

>> tmpl.expand :all => 1, :participating => 1
=> "/notifications?all=1&participating=1"

分页

当请求的资源过多时，会默认以15条/页的数据返回。可以指定新的页码*page*与页大小*size*以返回更多的数据。

curl 'https://aehr.yihu.com/api/users?page=2&per_page=100'

注意，分布起始值为1，若请求中不提供page参数，默认返回第一页的数据。

Link头

分页信息包含在响应头的Link字段中。建议使用此字段的值作为资源导航，而不是自己构建URL。某些情况下，分页信息会使用SHA1并且不提供页码。

Link: <https://ehr.yihu.com/api/user/repos?page=3&per_page=100>; rel="next",
  <https://ehr.yihu.com/api/repos?page=50&per_page=100>; rel="last"

Link字段包含一个或多个超媒体链接关系。*rel*可能值如下：

名称	描述
next	下一页结果
last	最后一页结果
first	第一页结果
previous	前一页结果

请求频率与限制

对认证过的请求，客户端每个小时的请求频率限制为5000次，对于未认证过的请求，客户端的请求频率限制为60次/小时。未认证的请求与IP绑定而不是与用户名绑定。

此情况对于搜索类型的API不适用，其频率限制有自身的规则。

通过检查HTTP响应头可以得到当前的请求频率限制：

curl -i https://ehr.yihu.com/api/users/whatever
HTTP/1.1 200 OK
Date: Mon, 01 Jul 2013 17:27:06 GMT
Status: 200 OK
X-RateLimit-Limit: 60
X-RateLimit-Remaining: 56
X-RateLimit-Reset: 1372700873

从请求头中你可以得知你所需要的信息：

字段名称	描述
X-RateLimit-Limit	每小时最大请求次数
X-RateLimit-Remaining	当前时间内剩余请求次数
X-RateLimit-Reset	下一次请求次数重置时间，UTC epoch秒数

若想要将X-RateLimit-Reset时间转换为可读的，可以使用以下代码转换：

new Date(1372700873 * 1000)
// => Mon Jul 01 2013 13:47:53 GMT-0400 (EDT)

一旦请求次数用完，你将得到以下错误消息：

HTTP/1.1 403 Forbidden
Date: Tue, 20 Aug 2013 14:50:41 GMT
Status: 403 Forbidden
X-RateLimit-Limit: 60
X-RateLimit-Remaining: 0
X-RateLimit-Reset: 1377013266

{
   "message": "xxx.xxx.xxx.xxx的API请求超过限制(好消息：认证提限优惠大酬宾，活动参见链接)",
   "documentation_url": "https://ehr.yihu.com/docs/api/v1/#rate-limiting"
}

• 增加未授权的应用请求次数

若想增加未授权的应用请求次数，你需要在查询字段串中传递客户端的Client Id与Secret：

curl -i 'https://ehr.yihu.com/api/v1/users/whatever?client_id=xxxx&client_secret=yyyy'
HTTP/1.1 200 OK
Date: Mon, 01 Jul 2013 17:27:06 GMT
Status: 200 OK
X-RateLimit-Limit: 5000
X-RateLimit-Remaining: 4966
X-RateLimit-Reset: 1372700873

这个方法应该仅用于服务端-服务端的请求，请务必不要泄漏App Secret。

使用User Agent

所有的API都需要在请求头中包含User-Agent。没有User-Agent的请求将被拒绝。请在此字段中使用您的用户名或Client名称。 这样做可以在出现问题的时候方便联系你们。

例如：

User-Agent: client 1FtXTrSL8D

User-Agent: user developer

如果提供的User-Agent是无效值，你将收到以下错误信息：

curl -iH 'User-Agent: ' https://ehr.yihu.com/api/v1/meta

HTTP/1.0 403 Forbidden
Connection: close
Content-Type: text/html

Request forbidden by administrative rules.
Please make sure your request has a User-Agent header.
Check https://ehr.yihu.com/api for other possible causes.

条件式请求

未实现。

跨域资源共享（Cross-Origin Resource Sharing，CORS）

未实现。

JSON-P回调

你可以在GET请求参数中添加?callback参数以将请求结果包装成JSON函数，这种方式经常用在向第三方Web页面中嵌入健康档案平台的内容（跨域）。 平台将会把回调结果中的HTTP头作为API返回值的一部分：

curl https://ehr.yihu.com/api/v1?callback=foo

foo({
  "meta": {
    "status": 200,
    "X-RateLimit-Limit": "5000",
    "X-RateLimit-Remaining": "4966",
    "X-RateLimit-Reset": "1372700873",
    "Link": [ // pagination headers and other links
      ["https://ehr.yihu.com/api/v1?page=2", {"rel": "next"}]
    ]
  },
  "data": {
    // 回调的实际响应值
  }
})

你可以编写JavaScript代码处理这种回调结果。以下是一个简单的示例：

<html>
<head>
<script type="text/javascript">
function foo(response) {
  var meta = response.meta;
  var data = response.data;
  console.log(meta);
  console.log(data);
}

var script = document.createElement('script');
script.src = 'https://ehr.yihu.com?callback=foo';

document.getElementsByTagName('head')[0].appendChild(script);
</script>
</head>

<body>
  <p>Open up your browser's console.</p>
</body>
</html>

所有的响应头内容均与原HTTP响应头一致，除了LInk字段。此处的Link字段已经提前为你解析好，并包装为*[url, options]*数组。

例如，正常的HTTP响应头中Link结构如下：

Link: <url1>; rel="next", <url2>; rel="foo"; bar="baz"

JSON-P中的Link结构如下：

{
  "Link": [
    [
      "url1",
      {
        "rel": "next"
      }
    ],
    [
      "url2",
      {
        "rel": "foo",
        "bar": "baz"
      }
    ]
  ]
}

时区

部分API需要提供时间戳参数，部分API会返回含时区的时间戳。我们根据以下规则（优先级从大到小）决定API的时区信息：

显示使用ISO 8601格式的时间戳，即包含时区信息的时间戳

对于允许显示指定时间戳的API，我们将使用指定的时区。这种时间戳看起像这样：*2016-04-26T08:25:07.504+0800*。

在HTTP请求头中使用Time-Zone参数

在HTTP请求头中附加Time-Zone参数，其值使用时区数据库中的名称。

curl -H "Time-Zone: Asia/Shanghai" -X POST https://ehr.yihu.com/linguist/contents/new_file.md

使用上一次的已知时区信息

如果找不到Time-Zone参数，并且你生成了一个授权请求，我们将使用上次授权用户所在的时区。每次你浏览健康档案的时候都会更新这个值。

UTC

如果上述几种情况中均不包含任何时区信息，我们将使用UTC。