2023 年我做一个后端服务,对外提供 API。改接口这件事,我压根没多想。第一版我做得很省事:接口要改?直接在原来的函数上改——字段不好看就改个名,字段没用就删掉,反正都是我的代码,我想怎么改怎么改。本地开发时——真不错:接口和调它的前端都是我自己写的,我改完接口,顺手把前端也改了,两边一起更新,从来没出过岔子。我心里很踏实:"接口嘛,不就是一段返回 JSON 的代码?想改就改。"可等这个服务真正上线、接口被一群我控制不了的客户端用起来,一串问题冒了出来。第一种最先把我打懵:我给一个接口的响应删了一个字段,觉得它没用了——结果用户手机上那些还装着旧版本 App 的人,打开页面直接白屏崩溃。我这才反应过来:旧版 App 装在千千万万用户的手机里,我没有任何办法逼他们升级。第二种最致命:我把一个字段从 user_name 改名成 username,以为这是无足轻重的小事——结果接入我接口的好几个第三方,他们的代码里写死了 user_name,我这一改名,等于单方面撕毁了和他们的约定,他们的系统全挂了。第三种最隐蔽:我给一个接口收紧了入参校验,把一个原本可选的字段改成了必填——我自己测的时候都带着这个字段,毫无察觉;可线上一堆老客户端根本不传它,于是它们的请求成片地撞上 400。第四种最磨人:后来我学乖了,不敢删字段、不敢改名了,可新功能还得加——于是我在老接口里塞进一个又一个 if,用参数区分新老行为,一个接口越长越乱,最后长到谁都不敢动它。我盯着这一连串问题想了很久才彻底想明白,第一版错在一个根本的认知上:我以为"接口就是一段我自己的代码,想改就改"。这句话把 API 当成了纯粹的内部实现。可它不是。一个 API,一旦发布出去、一旦有人开始依赖它,它就不再只是你的代码了——它变成了一份"契约":你向所有调用方承诺"我会返回这样的字段、这样的结构,接受这样的入参"。客户端正是基于这份承诺,写下了它们的代码。你单方面改接口,改的不是代码,是契约——而毁约的后果,要由那些你根本控制不了、没法逼着升级的客户端来承担。所以"改一个已发布的接口"这件事,从来不是"改代码"那么简单,它是"在不毁约的前提下,让契约平滑地演进"——这件事有一整套方法,核心就是 API 版本管理。真正做好 API 版本管理,核心不是"想改就改",而是理解 API 是契约不是代码、分清兼容变更与破坏性变更、破坏性变更要开新版本、给老版本留出迁移期再下线。这篇文章就把 API 版本管理梳理一遍:为什么"接口直接改"是错的、兼容变更和破坏性变更怎么分、版本号放在哪、客户端解析为什么要宽容、旧版本怎么有节奏地废弃,以及契约测试、错误响应、默认版本这些把版本管理真正做扎实要避开的坑。
问题背景
先把那串问题的现象和我的误判讲清楚,后面所有的设计都是冲着纠正这个误判去的。
现象:一套"接口想改就直接改"的对外服务,上线后冒出一串问题:删了个响应字段,装着旧版 App 的用户直接白屏;把字段改了个名,第三方集成方的系统全挂;收紧了入参校验,老客户端的请求成片撞 400;为了不敢动老接口,往里塞满 if,接口烂到谁都不敢碰。
我当时的错误认知:"接口就是一段我自己的代码,想改就改。"
真相:这个认知错在它搞错了 API 的归属。在接口还没发布、只有你自己在用的时候,它确实纯粹是你的代码:你改它、调它的地方都在你手里,一起改就行。但接口一旦发布、一旦有第一个你之外的客户端开始依赖它,情况就根本性地变了:这个接口的"形状"——它返回哪些字段、字段叫什么名、是什么类型、接受什么入参——已经被客户端的代码"焊"了进去。客户端写下 resp["user_name"] 这一行时,它就赌定了你会一直返回 user_name。从这一刻起,这个接口就不再由你独自拥有了——它是你和每一个客户端共同拥有的一份契约。而契约的特点是:它不能被一方单方面修改。你删一个字段、改一个名字,对你是"改了行代码",对客户端却是"你承诺过的东西突然没了"。更要命的是这种"毁约"的不对称:你能瞬间部署你的新代码,客户端却不能瞬间升级——用户手机里的旧版 App、第三方排期几个月才动一次的系统,都在你掌控之外。一旦你接受"已发布的 API 是一份不能单方面修改的契约"这个定位,那串问题的答案就全有了:有些改动天然不破坏契约(加个新字段),可以直接做;有些改动必然撕毁契约(删字段、改名),就不能在原接口上做,只能开一个新版本;而老版本不能说删就删,得给客户端留足迁移的时间。
要把 API 版本管理做对,需要几块认知:
- 为什么"接口直接改"是错的——已发布的 API 是契约,不是你独占的代码;
- 区分兼容变更与破坏性变更——前者可直接做,后者必须开新版本;
- 版本怎么放——URL 路径、请求头,各有取舍;
- 容忍性设计——服务端只做加法,客户端解析要宽容;
- 废弃节奏、契约测试、错误响应这些工程坑怎么处理。
一、为什么"接口直接改"是错的
先把这件最根本的事钉死:判断一个接口能不能"想改就改",只问一个问题——除了你自己,还有没有别人在依赖它。没有,它就是你的私有代码,随便改;只要有一个,它就成了契约,你就失去了单方面修改它的权利。这里的关键,是"依赖"这件事是隐形的、不可见的:你看不到那个第三方的代码里写着 resp["user_name"],你看不到用户手机里那个三个月没更新的旧版 App——但它们真实存在,并且正赌定了你不会变。"接口直接改"这个想法,本质是把"我看不见的依赖"当成了"不存在的依赖"。可契约的约束力,从不因为你看不见对方就消失。你删掉一个字段,损失不会落在你这边——你的代码跑得好好的;损失会精确地落在每一个你看不见、却真实依赖着那个字段的客户端身上。
下面这段代码,就是我那个"一改就毁约"的第一版:
# 反面教材:接口要改?直接在原函数上改
def get_user(user_id):
user = db.find_user(user_id)
return {
"id": user.id,
# "user_name": user.name, <- 嫌名字不好,直接改成 username
"username": user.name, # 灾难:所有读 user_name 的老客户端全挂
"email": user.email,
# "phone": user.phone, <- 嫌字段没用,直接删掉
}
# 破绽一:老 App 装在用户手机上,你没法逼他们升级。
# 破绽二:第三方集成方的代码写死了 user_name,改名等于单方面毁约。
# 破绽三:删字段、改类型,客户端拿到的结构和它预期的对不上,直接崩。
这段代码在本地开发时表现不错,因为本地的接口和客户端都是你一个人写的:你改接口的那一刻,顺手就把唯一的客户端也改了,两边永远同步——你根本体会不到"客户端不受你控制"是什么感觉。它的问题不在某一行代码上——改名、删字段单看都没语法错误——而在一个被忽略的前提:它默认"所有调用这个接口的代码,都能和接口一起被我改掉"。可线上恰恰相反:客户端四散在你够不着的地方。于是那串问题就有了解释:旧 App 白屏,是因为它装在用户手机里,你改了接口它却没法跟着改;第三方全挂,是因为他们的代码写死了旧字段名,你改名就是毁约;请求撞 400,是因为你收紧了校验,等于改了"我接受什么入参"这半边的契约。问题的根子清楚了:做好版本管理的工程量,全在"承认已发布的 API 是一份你不能单方面改的契约"之后——你把它当成私有代码,它就会在每一次"想改就改"时,替你向看不见的客户端违一次约。而契约能不能改,第一步要分清:你这个改动,到底破不破坏契约。
二、区分兼容变更与破坏性变更
"已发布的接口不能改"这句话太绝对了——接口当然要随业务演进。准确的说法是:有些改动不会破坏契约,有些会;前者随便做,后者要特殊对待。所以版本管理的核心一步,是把所有改动,分成两类。第一类叫"兼容变更"(向后兼容):它的特征是"只做加法"——给响应新增一个字段、新增一个接口、给入参加一个可选参数。这类改动老客户端完全无感:它要的字段还在、还是原来的名字和类型,你多给的它忽略掉就是了。第二类叫"破坏性变更":删字段、改字段名、改字段类型、收紧入参校验、改变接口的行为语义——这类改动会让老客户端原本好好的代码突然出错。先看一个兼容变更该长什么样:
# 兼容变更:只做加法 —— 加一个新字段,老客户端根本不会受影响
def get_user_v1(user_id):
user = db.find_user(user_id)
resp = {
"id": user.id,
"user_name": user.name, # 老字段:名字、类型,一个都不能动
"email": user.email,
"phone": user.phone,
}
resp["avatar_url"] = user.avatar # 安全:新增字段,老客户端忽略它即可
return resp
# 规则:加可选字段 / 加新接口 / 加可选入参 = 兼容,可直接做;
# 删字段 / 改名 / 改类型 / 收紧校验 / 改语义 = 破坏,必须开新版本。
下面这张图,把"要改一个接口"时的决策路径完整画出来:
这里的认知要点是:"兼容"和"破坏"的分界线,判断标准只有一个,而且要站在客户端的角度去问:一个一行代码都没改的老客户端,在你这次改动之后,还能不能正常工作?能,就是兼容变更;不能,就是破坏性变更。这个判断必须严格、必须保守——很多看起来"无害"的改动其实是破坏性的:把字段从字符串改成数字,是破坏;给一个返回列表的接口加了分页、于是它不再返回全部数据,是破坏;甚至把一个错误码的含义改了,也是破坏。一旦判定为破坏性变更,就只剩一条路:不要去动老接口,而是开一个新版本,让新需求在新版本里实现,老版本原封不动地留给老客户端。记住:破坏性变更不是"不能做",而是"不能就地做"。判定了"要开新版本",那紧接着的问题就是:这个版本号,放在哪里?
三、版本怎么放:URL 路径与请求头
既然破坏性变更要开新版本,那"版本号"这个信息,得有个地方放,让客户端能指明"我要哪个版本"。最主流的放法有两种。第一种是放在 URL 路径里,比如 /v1/users、/v2/users——它的好处是极其直观:版本号肉眼可见,在浏览器里、在日志里、在 curl 命令里都一目了然:
from fastapi import FastAPI
app = FastAPI()
# 版本放在 URL 路径里:/v1 和 /v2 是两个独立的接口,各自独立演进
@app.get("/v1/users/{user_id}")
def get_user_v1(user_id: int):
user = db.find_user(user_id)
return {"id": user.id, "user_name": user.name, "email": user.email}
@app.get("/v2/users/{user_id}")
def get_user_v2(user_id: int):
user = db.find_user(user_id)
# v2 改用新字段名、新结构 —— 但 v1 原样保留,老客户端继续走 /v1
return {"id": user.id, "username": user.name,
"contact": {"email": user.email}}
第二种是放在请求头里,比如一个自定义的 API-Version 头——它的好处是 URL 保持干净,同一个资源永远是同一个 URL,版本只是"怎么请求它"的一个细节:
from fastapi import Header
# 另一种版本放法:放在请求头里,URL 保持干净
@app.get("/users/{user_id}")
def get_user(user_id: int, api_version: str = Header(default="v1")):
"""同一个 URL,靠 API-Version 请求头分流到不同版本的逻辑。"""
user = db.find_user(user_id)
if api_version == "v2":
return {"id": user.id, "username": user.name,
"contact": {"email": user.email}}
return {"id": user.id, "user_name": user.name, # 默认与 v1
"email": user.email}
这里的认知要点是:两种放法没有绝对的优劣,但对大多数对外提供的 API,URL 路径版本是更稳妥的默认选择——因为它最"显眼"。版本号摆在 URL 里,意味着任何人、任何时候,只要看一眼请求,就知道它打的是哪个版本:排查问题时一目了然,写文档时清清楚楚,客户端也很难"不小心用错版本"。请求头版本更"优雅",URL 更干净,但它的代价是版本变成了一个隐藏信息——你看一条访问日志,不翻请求头就不知道它是 v1 还是 v2。无论选哪种,有一个原则不变:不同版本之间,要做到代码上的隔离。v1 的逻辑和 v2 的逻辑,不能在同一个函数里用 if version == 缠在一起——那样你改 v2 时,一不小心就动了 v1,版本隔离形同虚设。但版本一多,马上撞上一个新麻烦:同样的业务逻辑,难道每个版本都重写一遍?
四、容忍性设计:服务端只做加法,客户端要宽容
版本一多,一个现实问题就来了:get_user 的核心业务逻辑(查数据库、算权限)是不变的,变的只是对外那层"形状"。如果 v1、v2 各把业务逻辑抄一遍,以后改一处业务,要改 N 个版本,迟早改漏。正确的做法是:业务逻辑只写一份,每个版本只负责"把结果塑造成自己那个形状":
# 业务逻辑只写一份,各版本只在"出口"按自己的契约塑形
def load_user_core(user_id):
"""纯业务:取数据、算权限,完全不关心对外长什么样。"""
return db.find_user(user_id)
def to_v1(user):
"""v1 的对外契约:这个形状,一经发布就被冻结,永不改动。"""
return {"id": user.id, "user_name": user.name, "email": user.email}
def to_v2(user):
"""v2 的对外契约:新字段名、新结构,独立演进。"""
return {"id": user.id, "username": user.name,
"contact": {"email": user.email, "phone": user.phone}}
版本管理不只是服务端的事,客户端也有一份责任——它要写得"宽容"。这条原则叫 Postel 法则(健壮性原则):"对自己发出的要严格,对接收的要宽容"。落到客户端解析响应上,就是:对响应里多出来的、没见过的字段,不要报错,直接无视;对自己要的字段,用"带默认值"的方式取,别硬取:
# 客户端要"宽容":多出的字段无视,缺失的字段有兜底
def parse_user(resp: dict):
"""容忍性解析:服务端加了新字段不会让我崩,少给字段我也有兜底。"""
return {
"id": resp["id"], # 核心字段:缺了就该报错
"name": resp.get("user_name", "(未知)"), # 用 get + 默认值,不硬取
"email": resp.get("email", ""),
# 关键:resp 里多出来的、我不认识的字段,直接无视 —— 绝不能报错。
}
# 一个宽容的客户端:服务端做"兼容变更"(加字段)时,它根本不需要动。
这里的认知要点是:版本管理是服务端和客户端"两头一起使劲"才成立的。服务端这头的纪律是"只做加法"——已发布版本里的字段,只增不删、不改名、不改类型;真要做减法或改动,就去开新版本。客户端这头的纪律是"宽容解析"——把响应当成一个"可能比我知道的更丰富"的东西来对待,多了的不慌、用 get 取自己要的。这两条纪律是配合的:正因为客户端宽容,服务端的"加字段"才成为一个安全的、无需协调的兼容变更;也正因为服务端只做加法,客户端的宽容才不会反过来掩盖真正的问题。一个脆弱的客户端——拿到没见过的字段就抛异常的那种——会把服务端本来人畜无害的"加字段",硬生生变成一次破坏性事故。服务端做加法、客户端够宽容,新版本就能平滑地长出来——可老版本呢?它不能永远赖着不走。
五、废弃旧版本:不是删掉,而是有节奏地下线
开新版本不是终点。v2 上线后,v1 还有一群老客户端在用,你不能说删就删——但也不能让它永远活着(后面第六节会讲为什么)。正确的做法是"废弃"(deprecate),它是一个有节奏的过程,而不是一个"删除"动作:第一步,明确宣告 v1 进入弃用状态,并给出一个确切的下线日期;第二步,在这个日期之前,持续给老客户端发信号,催促它们迁移;第三步,等迁移期满、且确认没人调用了,才真正下线。这些信号,有标准的 HTTP 响应头可以用:
from fastapi.responses import JSONResponse
# 旧版本不是"说删就删",而是先挂"弃用"标记,给客户端迁移的时间
@app.get("/v1/users/{user_id}")
def get_user_v1(user_id: int):
body = to_v1(load_user_core(user_id))
return JSONResponse(
content=body,
headers={
"Deprecation": "true", # 标准头:本接口已弃用
"Sunset": "Wed, 31 Dec 2025 23:59:59 GMT", # 明确的下线日期
"Link": '<https://api.example.com/v2/users>; rel="successor-version"',
},
)
# Deprecation 告诉客户端"该挪窝了",Sunset 给出死线,Link 指明搬去哪。
这里的认知要点是:废弃一个 API 版本,是一场"沟通",不是一个"操作"。它最忌讳两件相反的事。一是"突然删除"——某天直接把 v1 关了,所有还没迁移的客户端集体崩溃,这是把毁约的代价又一次甩给了客户端。二是"永不删除"——宣布弃用之后就再没下文,v1 又赖着活了三年,弃用形同虚设。正确的废弃,介于两者之间:它有一个明确的、提前足够久公示的时间表;在这段迁移期里,你用 Deprecation、Sunset 这些标准信号持续提醒,甚至主动联系那些还在调用老版本的大客户;时间一到、流量归零,才平静地下线。废弃的本质,是用"足够长的迁移期 + 足够清楚的沟通",把一次破坏性的下线,拆解成一个让所有客户端都来得及反应的平滑过程。版本管理的主干到这就齐了,最后是几个真正维护起多版本 API 才会撞见的工程坑。
六、工程坑:契约测试、错误响应与默认版本
五块设计之外,还有几个工程坑,不处理就会让你的版本管理要么悄悄毁约、要么烂尾。坑 1:用"契约测试"把已发布版本的形状锁死。"不要改动 v1 的字段"这条纪律,光靠人自觉守不住——总有人某天重构时顺手就把 v1 改了。要把这条纪律变成自动化的关卡:写一组契约测试,断言 v1 的响应结构,谁改坏了它,CI 当场变红:
# 契约测试:把"v1 的响应结构"用测试锁死,谁动了它 CI 就报红
def test_v1_user_contract():
"""v1 一旦发布,这组断言就是不可违反的契约。"""
resp = client.get("/v1/users/1").json()
# 这些字段必须在、名字必须对、类型必须一致 —— 少一个都是破坏性变更
assert set(resp.keys()) >= {"id", "user_name", "email"}
assert isinstance(resp["id"], int)
assert isinstance(resp["user_name"], str)
# 这个测试的价值:把"破坏 v1"这件事,
# 从"上线后被客户端骂",提前到"改代码时被 CI 拦下"。
坑 2:错误响应,也是契约的一部分。很多人只把"正常返回的字段"当契约,却忘了出错时返回什么,客户端同样写死在代码里。客户端常常靠一个错误码来分支处理(是该提示用户、还是该重试)。所以错误响应的结构、错误码的取值,都要稳定,要像对待正常字段一样统一、不可随意改:
# 错误响应也是契约:结构要统一,错误码要稳定
def error_response(code: str, message: str, status: int):
"""所有接口的错误都用同一个结构 —— 客户端只需写一套错误处理。"""
return JSONResponse(
status_code=status,
content={
"error": {
"code": code, # 稳定的机器可读码,如 USER_NOT_FOUND
"message": message, # 给人看的描述,这个可以改
}
},
)
# 关键:error.code 是契约 —— 客户端靠它做分支判断,绝不能随意改动;
# message 只是给人看的,改它不算破坏。
坑 3:客户端没指定版本时,要有一个稳定的默认版本。总有客户端不带版本信息就来请求,你得给它回落到一个默认版本。关键是:这个默认版本一旦定下,就要长期稳定,绝不能随便往上升——你今天把默认从 v1 偷偷升到 v2,等于让所有"没指定版本"的老客户端,一夜之间全部改用 v2 的行为,这是一次无声的、大面积的破坏:
DEFAULT_VERSION = "v1" # 默认版本:定下后长期不动
SUPPORTED_VERSIONS = {"v1", "v2"}
def resolve_version(requested):
"""解析客户端要哪个版本,带默认与校验。"""
if requested is None:
return DEFAULT_VERSION # 没指定:回落到稳定的默认版本
if requested not in SUPPORTED_VERSIONS:
# 给一个明确的错误,而不是默默用某个版本糊弄过去
raise ValueError(f"不支持的 API 版本: {requested}")
return requested
# 雷区:别"为了让大家用新版"就把 DEFAULT_VERSION 升上去 ——
# 那等于让所有没指定版本的老客户端,行为被你单方面改掉。
坑 4:版本不能无限增。每多一个版本,就多一份要测试、要维护、要排查的代码。如果你v1 到 v9 全都活着,维护成本会压垮你。所以版本管理必须和废弃配套:开 v3 的同时,就该推动 v1 走向下线。健康的状态是"同时存活的版本数"被控制在很小的范围(比如最多两到三个),靠的就是第五节那套有节奏的废弃。坑 5:版本变更必须同步到文档和变更日志。一个新版本、一次废弃,如果只改了代码、没更新文档,客户端根本无从得知。每次版本变动,都要同步更新 API 文档,并在变更日志(changelog)里写清楚:这一版改了什么、哪些是破坏性的、老版本什么时候下线——文档不同步的版本管理,等于没做。
关键概念速查
| 概念 / 手段 | 说明 |
|---|---|
| API 即契约 | 已发布并被依赖的接口是契约,不能由服务端单方面修改 |
| 兼容变更 | 加可选字段、加接口等只做加法的改动,老客户端无感 |
| 破坏性变更 | 删改字段、收紧校验、改语义,会让老客户端出错 |
| URL 路径版本 | 把版本号放进 URL,如 /v1/users,直观、易排查 |
| 请求头版本 | 版本放进请求头,URL 干净但版本信息不显眼 |
| Postel 法则 | 发出的要严格,接收的要宽容,客户端解析要容错 |
| 废弃 Deprecation | 宣告旧版本弃用并给出下线日期,而非直接删除 |
| Sunset 头 | HTTP 响应头,明确告知接口的下线时间 |
| 契约测试 | 用测试锁死已发布版本的响应结构,改坏即报红 |
| 默认版本 | 客户端未指定版本时的回落版本,定下后须长期稳定 |
避坑清单
- 已发布且被依赖的接口是契约,不能由服务端单方面修改。
- 判断改动破不破坏,只问:一行没改的老客户端还能否工作。
- 兼容变更只做加法,可直接做;破坏性变更必须开新版本。
- 破坏性变更不要就地改老接口,新需求在新版本里实现。
- 版本号建议放 URL 路径,直观易排查;不同版本代码要隔离。
- 业务逻辑只写一份,各版本只负责把结果塑造成自己的形状。
- 客户端要宽容解析:多出的字段无视,要的字段带默认值取。
- 旧版本要有节奏地废弃:宣告、给下线日期、催迁移、再下线。
- 用契约测试锁死老版本结构,错误响应和错误码也是契约。
- 默认版本定下后别随意升,版本数要控制,变更要同步文档。
总结
回头看那串"旧 App 白屏、第三方全挂、请求撞 400、接口烂到没人敢碰"的问题,以及我后来在版本管理上接连踩的坑,最该记住的不是某一种版本号的放法,而是我动手前那个想当然的判断——"接口就是一段我自己的代码,想改就改"。这句话错在它搞错了 API 的归属。我以为接口永远是我的私产,我说了算。可我忽略了一件事:一个 API,从被第一个外部客户端依赖的那一刻起,就不再由我独自拥有了。它变成了一份契约——我和每一个客户端共同持有。客户端基于"我承诺的字段、结构、入参"写下了它们的代码,而它们大多躲在我够不着的地方:用户手机里的旧版 App、第三方排期半年的系统。我单方面改接口,改的从来不是代码,是契约;而毁约的账单,会精确地寄到每一个我看不见、却真实依赖着我的客户端手上。
所以做好版本管理,真正的工程量不在"换个字段名、删个字段"那几下操作上。那几下,谁都会做。真正的工程量,在于你要承认"已发布的 API 是一份不能单方面修改的契约",并据此重新对待每一次改动:改动之前,你就先分清它是兼容的还是破坏性的;只做加法的,你就放心地在当前版本上加;会毁约的,你就开一个新版本,让老版本原样冻结;新版本的形状,你就用 URL 路径清清楚楚地标出来;老版本要退场,你就用足够长的迁移期和足够清楚的信号,把它平稳地送走。这篇文章的几节,其实就是顺着这条线展开的:先想清楚"接口直接改"为什么错,再讲兼容与破坏怎么分、版本号放哪、容忍性设计怎么做、旧版本怎么废弃,最后是契约测试、错误响应、默认版本这几个把版本管理守扎实的工程细节。
你会发现,API 版本管理,和现实里"一家公司修订它和客户签的合同"完全相通。一份合同还在草拟、没签字时,你想怎么改怎么改,反正只是一张纸(这就是接口还没发布、只有自己用)。可合同一旦签了字、客户照着它安排了自己的生产,它就不再是你一个人的纸了。这时一个蛮横的供应商会怎么做?他觉得某个条款不顺眼,自己偷偷把合同改了,也不通知对方——客户还按老条款办事,两边瞬间对不上,生产全乱(这就是"接口直接改"、单方面毁约)。而一个讲规矩的供应商怎么做?小的、不影响客户的补充——比如多送一项免费服务——他直接加上,客户只会高兴(这就是兼容变更);可真要动核心条款,他绝不在老合同上涂改,而是和客户重新拟一份新版合同,老合同对老客户继续有效(这就是破坏性变更开新版本);等到要让老客户都转到新合同,他会提前几个月发函通知、写明老合同的失效日期、留足过渡期,而不是某天直接宣布老合同作废(这就是 Deprecation 和 Sunset)。同样是修订合同,可蛮横的供应商让客户措手不及、信任尽失,讲规矩的供应商让每一次变更都平稳落地——差别不在"合同改不改"这件事本身,只在他认不认"签了字的合同是双方的契约,不能由我一个人说改就改"这件事。
最后想说,版本管理做没做对,差距永远不会在"本地开发、接口和客户端我一起写、一起改"时暴露——本地你改接口的同一秒就把唯一的客户端也改了,两边永远同步,你根本感觉不到"客户端不受你控制"这回事,你会觉得"想改就改"已经够用。它只在真实的、接口被一群你够不着的客户端依赖着——用户手机里的旧版 App、第三方排期半年的系统、你早已忘了存在的某个脚本——的时候才显形。那时候它会用最难堪的方式给你结账:做不好,你会因为删了个字段让一批用户的 App 集体白屏,会因为改了个名字让合作方的系统全线瘫痪,甚至把一个接口改到塞满 if、烂到全团队没人敢碰;而做对了,你的新功能在新版本里自由生长,老客户端在老版本里稳稳地继续跑,该退场的老版本体面地、有预告地下线,每一次演进都没有一个客户端在毫无防备中被你毁约。所以别等"一次改名把合作方全弄崩"那一刻找上门,在你写下每一个对外接口、想动每一个已发布字段的时候就该想清楚:这个改动会不会破坏那份契约——它该不该开新版本、老版本怎么退场、客户端够不够宽容、契约有没有测试守着,这一道道工序,我是不是都替它想过了?这些问题有了答案,你交付的才不只是一个"本地能调通"的接口,而是一套能持续演进、却从不在背后捅客户端一刀、经得起多版本长期共存考验的可靠 API。
—— 别看了 · 2026