El objetivo es que la información, las funcionalidades y los productos de una compañía estén disponibles en un repositorio de acceso autenticado, tanto para los propios empleados -equipos de producto, desarrollo y TI- como clientes, partners o proveedores.
La idea es que terceras empresas puedan aprovechar todo ese potencial, de forma rápida y ágil, para lanzar otros productos y servicios al mercado en un tiempo que reduzca los costes y aumente la probabilidad de éxito.
En cambio, para que una empresa utilice una API, no son necesarios unos requisitos excesivos. Hoy en día la mayoría de desarrolladores del mundo tiene experiencia en el manejo de APIs, en gran medida porque forman parte de su día a día.
Sí que es cierto que las interfaces de desarrollo de aplicaciones no suelen, por temas de seguridad, permitir el acceso descontrolado a la información. Es indispensable la autenticación mediante un token, normalmente bajo protocolo OAuth, y que los profesionales de TI tengan identificadas y autorizadas esas llamadas a la API.
Las APIs son un instrumento clave en el desarrollo de negocio, sobre todo por su capacidad de personalización y escalabilidad. Son el vehículo más eficiente y óptimo para solicitar y recibir información y, además, bajo autenticación es relativamente sencillo personalizar ad hoc el tipo de datos que se reciben en cada llamada.
Es habitual que partners y proveedores hagan uso de una API de la que no necesitan todo su contenido, de ahí que solo reciban una parte. Eso es lo que se conoce como scope (‘alcance’, en español), que viene definido para cada cliente gracias al proceso de autenticación incorporado a la API a través del protocolo OAuth.
Por tanto, las APIs son una herramienta flexible, personalizable, segura y que, por su potencial, siempre debe estar en evolución. Son un terreno abonado para la innovación, desde un punto de vista de diseño de producto, técnico y de negocio.
En ocasiones, el uso de APIs lleva a las compañías a entender su valor y a potenciar desde dentro el lanzamiento de interfaces de desarrollo de aplicaciones propias.
Puntos clave
- Detectar una necesidad de negocio
Una API nunca puede ser un fin en sí mismo. Existe porque cumple una necesidad de negocio interna o de cara a clientes, partners o proveedores. Detectar esa necesidad es esencial porque sirve para preparar toda la estrategia de conceptualización y desarrollo.
- Viraliza tus APIs, viraliza tu negocio
Si no tienes APIs, crea tu negocio a través de ellas. Si las tienes, enséñalas de forma abierta para que la comunidad de desarrolladores las conozca, las pruebe, las mejore… En el mejor de los casos, usarás APIs de terceros y crearás APIs para terceros.
- La API se convierte en un bien monetizable
Hoy en día existen distintos modelos de monetización de las APIs en el mundo. Algunos cobran por el acceso, otros por el volumen de llamadas, otros, además, por el soporte… Es importante entender que el concepto abierto no es lo mismo que gratuito.
Requisitos de implementación y recursos de TI
Toda la infraestructura de TI necesaria para operar con APIs se puede resumir, sin entrar en excesivos detalles técnicos, en tres capas y dos procesos distintos, todos ellos operando con los datos y la información como materia prima del negocio.
COMO CAPAS DE LA INFRAESTRUCTURA
Esta capa es la que rodea y, en cierta forma protege, los datos y la información que la empresa distribuye a través de su API. Es la capa que interactúa con ellos y establece todos los procesos necesarios para aumentar su disponibilidad y velocidad a la hora de servir información y garantizar su escalabilidad y flexibilidad. Hay que tener en cuenta que, en sectores como el bancario, la información que se utiliza como materia prima en las APIs son datos altamente sensibles.
- Capa de arquitectura de la API
Esta es la capa que se encarga de definir cómo serán todos los servicios de los que se servirá la API, hoy en día en su mayoría servicios REST con APIs REST. Cada uno de esos servicios dispone de endpoints desde los que clientes, partners o proveedores se pueden conectar para hacer las peticiones. Todo ese proceso debe cumplir con todos los requisitos de seguridad, garantizados por proceso de autenticación y autorización para esas llamadas. Aquí reside la parte de la seguridad.
- Capa de gestión de la API
El mejor escenario posible en una empresa apificada es la existencia de un API Manager, desde donde monitorizar el uso de las interfaces, controlar el volumen de llamadas a esos servicios, cumplir con todos los requisitos de seguridad… Al final lo que se pretende alcanzar es un modelo de negocio de Datos como Servicio (DaaS), donde las APIs y todo lo que les rodea son el centro de toda la operativa empresarial.
COMO PROCESOS
Los procesos de autenticación con una API se pueden producir, normalmente, a través de tres procedimientos diferentes y alternativos. El primero de ellos y más habitual es mediante una API Key, un identificador único con clave y contraseña que permite identificar quién desea conectarse a la API en un momento determinado. La segunda forma de acceso a una API es a través de una regla clave/valor. Y el tercero mediante OpenID Connect, un protocolo abierto que forma parte de las especificaciones de OAuth 2.0 y que apuesta por la autenticación única de usuarios en sitios web a través del navegador (con JavaScript) y en aplicaciones nativas sin necesidad de almacenar y gestionar contraseñas.
El protocolo estándar más utilizado para la gestión de autorización distribuida es OAuth 2.0, que realiza el proceso a través de un token de acceso para facilitar la petición sobre un recurso concreto. Es decir, cada token establece qué se puede hacer y a qué recursos se pueden acceder. Se pueden, por tanto, tener cientos de accesos distintos con un token diferente cada uno, donde cada cliente, partner o proveedor recibe exclusivamente la información de la API para la que tiene permisos (scope).
¿Te interesan las APIs financieras? Descubre todas las que te ofrece BBVA