API, bir yazılımın başka bir yazılımla kontrollü şekilde konuşmasını sağlar. Bunu restoran menüsü gibi düşünebilirsin. Mutfakta ne olduğunu bilmezsin ama menüde hangi yemeği isteyebileceğin bellidir. Yazılım tarafında da API, "şu adrese şu bilgiyi gönderirsen sana şu cevabı dönerim" mantığıyla çalışır. Mesela bir uygulama kargo firmasından teslimat durumunu öğreniyorsa bunu genelde API üzerinden yapar. API sayesinde her sistemi sıfırdan yazmak yerine mevcut servislerle bağlantı kurarsın.
Bir kurye uygulaması yaptığını düşün. Kullanıcı haritadan adres seçiyor, sistem mesafeyi hesaplıyor, ödeme alıyor ve kuryeye bildirim gönderiyor. Burada harita için Google Maps API, ödeme için Stripe API, SMS için Twilio API kullanılabilir. Kullanıcı tek bir uygulama görür ama arkada farklı servisler API ile birbirine bağlanır. İyi tasarlanmış API, ürünün büyümesini kolaylaştırır çünkü her yeni özellikte tekerleği yeniden icat etmezsin.
API kullanırken en sık yapılan hata, güvenliği sadece frontend tarafında çözmeye çalışmaktır. API anahtarını mobil uygulamanın içine gömerersen biri uygulamayı analiz edip anahtarı çıkarabilir. Ayrıca rate limit, yetkilendirme, loglama ve hata cevapları doğru tasarlanmazsa sistem hem kötüye kullanıma hem de veri sızıntısına açık hale gelir. Hangi endpoint kime açık, hangi işlem hangi kullanıcı rolüyle yapılabilir, bunlar net olmalıdır.
