§Design ressourcen
- 01Navngiv adressen efter tingen (navneord), ikke efter handlingen
- 02Vælg den rette metode efter hensigten — GET henter, POST opretter, PUT/PATCH ændrer, DELETE sletter
- 03Hold læsninger sikre og uden bivirkninger
- 04Aftal og dokumentér, hvilke felter forespørgsel og svar indeholder
§Sikr adgangen
- 01Kræv login, hvor det skal til, og tjek adgang på serveren ved hvert kald
- 02Kontrollér, at den aktuelle bruger faktisk må røre netop denne ressource
- 03Stol aldrig på, at klienten kun sender 'lovlige' kald
§Valider og svar korrekt
- 01Valider alt input på serveren, før det bruges eller gemmes
- 02Brug parametriserede forespørgsler mod databasen — adskil kode fra data
- 03Svar med en succes-kode (2-serien), når det lykkes
- 04Svar med 4-serien ved fejl hos klienten og 5-serien ved fejl på serveren
§Gør det brugbart for andre
- 01Giv fejlbeskeder, der kan handles på, uden at lække intern information
- 02Dokumentér endepunktet — adresse, metode, felter, mulige svar
- 03Versionér, så ændringer ikke knækker eksisterende klienter
- 04Overvej at begrænse antallet af kald, så endepunktet ikke kan overbelastes