要是用户请求一个我们没有实现的方法的格式时，我们又该怎么办呢？你大可以抛出一些错误的类型。但我建议你将JSON格式作为你的标准响应格式，因为这是开发者想要的格式。没理由去支持其他的格式，除非你已经有一个可支持的API。

创建一个REST API

事实上，创建一个REST API是超出此教程范围的，因为它是有特定语言的。但我将以Ruby（一种为简单快捷的面向对象编程而创的脚本语言）的方式给出一个简易例子，它使用一个叫Sinatra的类库（不懂得可以自行百度）。

require'sinatra'
require'JSON'
require'widget'# our imaginary widget model
# list all
get'/widgets'do
Widget.all.to_json
end
# view one
get'/widgets/:id'do
widget=Widget.find(params[:id])
returnstatus404ifwidget.nil?
widget.to_json
end
# create
post'/widgets'do
widget=Widget.new(params['widget'])
widget.save
status201
end
# update
put'/widgets/:id'do
widget=Widget.find(params[:id])
returnstatus404ifwidget.nil?
widget.update(params[:widget])
widget.save
status202
end
delete'/widgets/:id'do
widget=Widget.find(params[:id])
returnstatus404ifwidget.nil?
widget.delete
status202
end

API授权认证

在一般的网页应用中，认证操作是经常要接收用户名和密码的，然后在session中保存用户ID。用户的浏览器就会保存会话中的ID到cookie中。当用户在网站上访问需要认证授权的页面时，浏览器就会发送cookie，应用程序就会查找seesion会话中的ID（如果它没有失效的话），由于用户的ID保存在seesion中，用户就可以浏览页面了。

用这个API，就可以使用seesion会话保存用户记录,但这毕竟不是最好的方法。有时候，用户想直接访问API，或是用户想自己授权其他应用程序去访问这个API。

解决方法是在认证的基础上使用秘钥。用户输入用户名和密码以登录，应用程序就以一个特殊秘钥返回给用户以备后续之需。这个秘钥可以通入应用程序，以至于如果用户想要选择拒绝应用更进一步的接入时，可以撤回这个秘钥。

其实，网上已经有一个做上面这件事的很流行的标准方式，叫做OAuth（开放授权：是一个开放标准，允许用户让第三方应用访问该用户在某一网站上存储的私密的资源（如照片，视频，联系人列表），与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息（如用户名与密码），即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权，因此OAUTH是安全的。），特别的，标准第二版的OAuth。网上有很多非常好的实现OAuth的资源，所以我才说那是超出此教程范围的。如果你正在使用Ruby，这里有一些帮你解决大多数工作的很好的类库，比如OmniAuth 。

花了那么多时间给你们讲解这个教程，希望对你们有所帮助。