Django REST Framework 简介与最佳实践 – wiki大全

作者: /

Django REST Framework 简介与最佳实践

随着Web应用的日益复杂,API(应用程序编程接口)在前后端分离架构中扮演着核心角色。Django REST Framework (DRF) 是一个强大而灵活的工具包,专为使用Python的Django Web框架构建Web API而设计。它扩展了Django的功能,极大地简化了创建健壮、可伸缩和可维护的RESTful API的过程。

DRF的核心目的是将Django模型转换为可供各种客户端(如Web应用、移动应用或其他服务)使用的RESTful API。它与Django的核心特性(包括模型、视图和URL)无缝集成,允许开发者利用其优势,同时获得构建现代API所需的灵活性和强大功能。

使用DRF,开发者可以显著提高开发效率,减少重复代码,并确保API的质量和一致性。它不仅提供了快速开发API所需的基础组件,还包含了许多高级功能,以满足复杂业务需求和性能优化。

DRF 的主要特性

DRF 提供了一系列强大的功能,使得 API 开发更加高效和便捷:

  1. 序列化器 (Serializers)
    DRF 的序列化器是其核心组件之一,用于将复杂的 Django 模型和查询集等数据类型转换为 Python 原生数据类型(如字典),然后可以轻松地渲染成 JSON、XML 等格式。反之,它也能处理数据的反序列化,在数据保存到数据库之前进行验证。这使得数据的输入输出和验证变得极其简单。

  2. 视图 (Views) 和视图集 (ViewSets)
    与 Django 的视图类似,DRF 视图负责处理 API 请求和响应。视图集 (ViewSets) 是一种更高级的抽象,它将多个相关操作(如列表、创建、检索、更新和删除,即 CRUD 操作)的逻辑合并到一个类中,从而大大减少了样板代码,并保持了 API 行为的一致性。

  3. 认证 (Authentication) 和权限 (Permissions)
    DRF 提供了一个全面的系统来保护 API,支持多种认证方案(例如 Token 认证、Session 认证、OAuth)和灵活的权限策略,以控制对资源的访问。这使得开发者可以精细地管理谁可以访问哪些数据和操作。

  4. 可浏览的 API (Browsable API)
    这是一个显著的可用性特性。DRF 提供了一个美观且功能丰富的Web界面,允许开发者和API使用者直接在浏览器中与API端点进行交互、测试和浏览。这极大地简化了API的调试和理解过程。

  5. 分页 (Pagination) 和过滤 (Filtering)
    对于处理大量数据集的API,DRF 提供了强大的分页功能,可以将数据分解成可管理的块,以及灵活的过滤功能,允许根据特定条件限制查询集。这有助于提高API的性能和用户体验。

  6. URL 路由 (URL Routing)
    DRF 的路由器可以自动为视图集生成 URL 模式,从而简化了 URL 到 API 视图的映射过程。这进一步减少了手动配置的复杂性,并有助于保持URL结构的一致性。

最佳实践:项目结构与代码组织

良好的项目结构是构建可扩展、可维护DRF应用的基础。

  1. 模块化:将功能划分为独立的 Django 应用程序,确保每个应用都有清晰的单一职责。例如,将认证功能与产品功能分开,分别放置在不同的应用中。
  2. 职责分离:将模型 (models)、序列化器 (serializers)、视图 (views)、权限 (permissions) 和路由器 (routers) 放置在各自独立的文件中。这有助于代码的清晰度和可维护性。
  3. 业务逻辑:复杂的业务逻辑应抽象到 services.pyutils.py 等文件中,而不是直接嵌入到视图或序列化器中。这可以避免视图和序列化器变得过于臃肿,并提高代码的可重用性。
  4. 专用文件夹:在每个应用内部,为序列化器和视图创建专门的文件夹(例如 app_name/serializers/app_name/views/),以便更好地管理文件。

最佳实践:视图和视图集

DRF 的视图和视图集是处理 API 请求的核心。合理使用它们可以减少样板代码,提高开发效率。

  1. DRY 原则 (Don’t Repeat Yourself)
    充分利用 ModelViewSet 和路由器来处理标准的 CRUD (创建、读取、更新、删除) 操作。这能显著减少重复代码,并确保API端点行为的一致性。
    “`python
    # views.py
    from rest_framework import viewsets
    from .models import MyModel
    from .serializers import MyModelSerializer

    class MyModelViewSet(viewsets.ModelViewSet):
    queryset = MyModel.objects.all()
    serializer_class = MyModelSerializer

    urls.py

    from rest_framework.routers import DefaultRouter
    from .views import MyModelViewSet

    router = DefaultRouter()
    router.register(r’mymodels’, MyModelViewSet)
    urlpatterns = router.urls
    2. **混合类 (Mixins) 和 `GenericViewSet`**:
    如果不需要完整的 CRUD 操作,或者需要更细粒度的控制,可以使用 DRF 提供的混合类(如 `ListModelMixin`、`CreateModelMixin`)配合 `GenericViewSet`。这允许你只组合所需的行为。    python
    from rest_framework import mixins, viewsets
    from .models import AnotherModel
    from .serializers import AnotherModelSerializer

    class AnotherModelListViewSet(mixins.ListModelMixin, viewsets.GenericViewSet):
    queryset = AnotherModel.objects.all()
    serializer_class = AnotherModelSerializer
    “`
    3. 单一职责原则
    设计视图时,应遵循单一职责原则,确保每个视图只负责一项特定的功能。避免在一个视图中处理过多的逻辑,这会使其难以理解和维护。

最佳实践:序列化器

序列化器是 DRF 中用于数据转换和验证的关键组件。高效和规范地使用序列化器对于API的性能和可维护性至关重要。

  1. 保持精简 (Keep Them Thin)
    序列化器应主要关注数据验证和转换。将复杂的业务逻辑从序列化器中分离出来,放置在模型方法或独立的 services.py 文件中。避免在 create()update() 方法中包含过多的业务逻辑。
    “`python
    # 避免在 serializer 中处理复杂的业务逻辑
    class BadItemSerializer(serializers.ModelSerializer):
    class Meta:
    model = Item
    fields = ‘all

    def create(self, validated_data):
    # 这里的业务逻辑应该移到别处
    if validated_data['quantity'] > 100:
        # do something complex
        pass
    return super().create(validated_data)

    更好的做法是将业务逻辑放在服务层或模型方法中

    services.py

    def create_item_with_complex_logic(data):
    if data[‘quantity’] > 100:
    # do something complex
    pass
    return Item.objects.create(**data)

    serializers.py

    class GoodItemSerializer(serializers.ModelSerializer):
    class Meta:
    model = Item
    fields = ‘all
    2. **使用 `ModelSerializer`**:
    对于与 Django 模型直接对应的序列化,优先使用 `ModelSerializer`。它可以自动创建字段,简化了常见的序列化任务,减少了冗余代码。    python
    from rest_framework import serializers
    from .models import Product

    class ProductSerializer(serializers.ModelSerializer):
    class Meta:
    model = Product
    fields = [‘id’, ‘name’, ‘price’, ‘description’]
    3. **谨慎使用 `SerializerMethodField`**:
    `SerializerMethodField` 允许你添加一个自定义字段,其值由序列化器中的一个方法获取。但如果使用不当,它可能导致额外的数据库查询(N+1查询问题),从而影响性能。在需要计算或获取非模型字段时使用,并注意优化其内部逻辑。    python
    class UserProfileSerializer(serializers.ModelSerializer):
    full_name = serializers.SerializerMethodField()

    class Meta:
    model = User
    fields = ['id', 'username', 'email', 'full_name']

def get_full_name(self, obj):
    # 确保这里的逻辑高效,避免额外的数据库查询
    return f"{obj.first_name} {obj.last_name}"

    4. **避免深层嵌套**:
    虽然 DRF 支持嵌套序列化器,但深层嵌套的序列化器会显著影响性能,并使管理对象关系变得复杂。考虑扁平化响应,或者只通过 ID 来引用相关对象,让客户端在需要时再获取详细信息。    python

    避免深层嵌套

    class OrderItemSerializer(serializers.ModelSerializer):
    product = ProductSerializer() # 深层嵌套可能导致性能问题

    class Meta:
    model = OrderItem
    fields = ['id', 'quantity', 'product']

    更好的做法是只包含相关对象的ID

    class FlatOrderItemSerializer(serializers.ModelSerializer):
    class Meta:
    model = OrderItem
    fields = [‘id’, ‘quantity’, ‘product_id’] # 只保留外键ID
    ``
    5. **优化验证**:
    在序列化器中使用    validate()` 方法进行更复杂的验证,而不是在每个字段上进行多次数据库查询,从而减少不必要的数据库交互。

最佳实践:认证和权限

API 的安全性至关重要。DRF 提供了灵活的认证和权限机制来保护你的数据。

  1. 选择合适的认证方案
    DRF 支持多种认证方式:

    • Token 认证: 简单且常用,适用于单页应用和移动应用。用户登录后获取一个 token,后续请求携带此 token 进行认证。
    • JWT (JSON Web Token) 认证: 适用于无状态 API,服务端不存储 session 信息,可扩展性好。通常通过第三方库实现,如 djangorestframework-simplejwt
    • Session 认证: 适用于与传统 Django 模板结合的 Web 应用,依赖于 Django 的 session 机制。
    • OAuth2: 适用于第三方应用访问用户数据等复杂场景。
      根据你的应用需求选择最合适的认证方式。

  2. 使用自定义权限类
    DRF 内置了 IsAuthenticatedIsAdminUser 等基础权限类。对于更复杂的访问控制逻辑,应创建自定义权限类。这使得权限规则清晰、可复用。
    “`python
    from rest_framework import permissions

    class IsOwnerOrReadOnly(permissions.BasePermission):
    “””
    Custom permission to only allow owners of an object to edit it.
    “””
    def has_object_permission(self, request, view, obj):
    # Read permissions are allowed to any request,
    # so we’ll always allow GET, HEAD or OPTIONS requests.
    if request.method in permissions.SAFE_METHODS:
    return True

        # Write permissions are only allowed to the owner of the snippet.
    return obj.owner == request.user

    “`
    3. 始终使用 HTTPS
    在生产环境中,务必为你的 API 启用 HTTPS。加密通信可以防止敏感数据(如认证凭据)在传输过程中被截获或篡改。
    4. 令牌过期机制
    如果使用 Token 认证或 JWT 认证,请实现令牌过期机制。短生命周期的令牌可以减少凭据泄露时的风险。同时,提供刷新令牌的机制以提升用户体验。
    5. 先认证后权限
    DRF 的处理流程是先进行认证,再进行权限检查。确保你的认证配置正确,以便后续的权限检查能够基于已认证的用户进行。
    6. 强制实施强密码策略
    如果你的系统管理用户密码,请确保实施强密码策略,包括长度、复杂度和定期更换要求。

最佳实践:性能优化

构建高性能的 API 对于用户体验和系统稳定性至关重要。

  1. 数据库查询优化

    • select_relatedprefetch_related:这是解决 “N+1” 查询问题的关键。select_related 用于一对一和多对一关系(外键),在单个查询中获取相关对象。prefetch_related 用于多对多和反向外键关系,通过单独的查询并在 Python 中拼接结果,避免多次查询。
      “`python
      # 避免 N+1 查询
      # for book in Book.objects.all():
      # print(book.author.name) # 每次访问 author 都会执行一次查询

      使用 select_related 优化

      for book in Book.objects.select_related(‘author’).all():
      print(book.author.name) # 只执行一次查询

      对于多对多关系

      for author in Author.objects.all():

      for book in author.books.all(): # 每次访问 books 都会执行一次查询

      print(book.title)

      使用 prefetch_related 优化

      for author in Author.objects.prefetch_related(‘books’).all():
      for book in author.books.all():
      print(book.title)
      * **`only()` 和 `defer()`**:仅加载模型中需要的字段,减少数据库查询的数据量和内存消耗。`only()` 指定要加载的字段,`defer()` 指定要延迟加载的字段。python

      只加载 name 和 price 字段

      products = Product.objects.only(‘name’, ‘price’)

      延迟加载 description 字段

      products = Product.objects.defer(‘description’)
      2. **缓存 (Caching)**:
      对不经常变化但访问频繁的昂贵端点或 API 部分实施缓存。可以使用 Redis 等外部缓存系统,或 Django 内置的缓存机制(例如 `@cache_page` 装饰器用于视图缓存)。
      3. **分页 (Pagination)**:
      始终对返回大量数据的列表 API 实施分页。DRF 内置了多种分页器,如 `PageNumberPagination` 和 `LimitOffsetPagination`。这可以减少服务器负载,提高响应速度,并改善客户端的数据处理能力。
      4. **节流 (Throttling)**:
      实施节流策略以保护 API 免受滥用和过载。限制用户或客户端在特定时间段内可以发出的请求数量,有助于防止 DoS 攻击和 API 资源耗尽。      python
      # settings.py
      REST_FRAMEWORK = {
      ‘DEFAULT_THROTTLE_CLASSES’: [
      ‘rest_framework.throttling.AnonRateThrottle’,
      ‘rest_framework.throttling.UserRateThrottle’
      ],
      ‘DEFAULT_THROTTLE_RATES’: {
      ‘anon’: ‘100/day’,
      ‘user’: ‘1000/day’
      }
      }
      ``
      5. **序列化器优化**:
      避免在序列化器内部进行效率低下的计算或数据库查询。确保      SerializerMethodField中的逻辑是高效的。
      6. **验证优化**:
      在序列化器中使用      validate()` 方法进行更复杂的验证,而不是在每个字段上进行多次数据库查询,从而减少不必要的数据库交互。

最佳实践:错误处理

提供一致且有意义的错误响应是优秀 API 设计的关键。

  1. 一致的错误响应格式
    定制 DRF 的异常处理器,确保所有错误响应都遵循统一的 JSON 格式。这使得客户端能够更容易地解析和处理错误。
    json
    {
    "detail": "Authentication credentials were not provided."
    }
    或者更详细的:
    json
    {
    "errors": [
    {
    "code": "invalid_input",
    "message": "The provided data is invalid.",
    "fields": {
    "email": ["Enter a valid email address."]
    }
    }
    ]
    }
  2. 避免泄露敏感信息
    在生产环境中,绝不能在错误响应中暴露详细的数据库错误信息或堆栈跟踪。这可能会为攻击者提供有价值的信息。确保将详细的错误日志记录到后端日志系统,而不是直接返回给客户端。

  3. 使用标准 HTTP 状态码
    根据错误的性质,使用恰当的 HTTP 状态码。例如:

    • 200 OK:请求成功
    • 201 Created:资源创建成功
    • 204 No Content:请求成功,但没有返回内容
    • 400 Bad Request:客户端发送了无效请求
    • 401 Unauthorized:未认证,需要提供认证凭据
    • 403 Forbidden:已认证但无权限访问
    • 404 Not Found:资源不存在
    • 405 Method Not Allowed:请求方法不允许
    • 406 Not Acceptable:客户端请求的响应类型服务器无法提供
    • 429 Too Many Requests:请求频率过高(节流)
    • 500 Internal Server Error:服务器内部错误

  4. 自定义异常
    对于应用特有的错误,可以定义自定义异常,并在 DRF 的异常处理流程中捕获并转换为标准格式的响应。
    “`python
    from rest_framework.exceptions import APIException
    from rest_framework import status

    class ServiceUnavailable(APIException):
    status_code = status.HTTP_503_SERVICE_UNAVAILABLE
    default_detail = ‘Service temporarily unavailable, try again later.’
    default_code = ‘service_unavailable’
    “`

最佳实践:安全性(除认证外)

除了认证和权限,还有其他重要的安全措施可以保护你的 API。

  1. 输入验证和数据清洗
    始终对所有用户输入进行严格的验证和清洗,以防止 SQL 注入、跨站脚本 (XSS) 和其他常见的注入攻击。DRF 的序列化器内置了强大的验证功能,应充分利用。
  2. CSRF 保护
    如果你的 API 使用 Session 认证,确保启用了 Django 的 CSRF (Cross-Site Request Forgery) 保护。DRF 默认在 Session 认证下会启用,但仍需确保前端正确发送 CSRF token。
  3. 速率限制 (Rate Limiting)
    除了节流,更广义的速率限制可以防止暴力破解攻击和拒绝服务 (DoS) 攻击。DRF 的节流器 (throttling) 可以帮助实现这一点。
  4. 强密码策略
    如果你的应用程序管理用户密码,务必强制执行强密码策略,包括最小长度、复杂性要求(大小写字母、数字、特殊字符组合)和定期更换。
  5. 定期更新依赖
    Django 和 DRF 及其所有依赖项应定期更新到最新版本,以修补已知的安全漏洞。
  6. 环境变量管理敏感信息
    将数据库凭据、API 密钥等敏感信息存储在环境变量中,而不是直接硬编码到代码库中。这有助于防止敏感信息意外泄露。
  7. 内容安全策略 (CSP)
    对于面向 Web 的 API,考虑实施内容安全策略 (CSP) 以缓解跨站脚本 (XSS) 和其他内容注入攻击。

最佳实践:测试和文档

高质量的测试和清晰的文档是任何成功 API 项目不可或缺的一部分。

  1. 全面的测试
    为你的 DRF API 编写全面而细致的测试。这包括:

    • 单元测试 (Unit Tests):测试模型的行为、序列化器的验证逻辑和视图的特定功能。
    • 集成测试 (Integration Tests):测试不同组件(如视图与序列化器、数据库)之间的交互。
    • 端到端测试 (End-to-End Tests):模拟真实的用户请求,测试从请求到响应的整个流程。
      确保每次代码变更后运行测试,以防止回归。
      “`python

    Example for APIClient test

    from django.urls import reverse
    from rest_framework import status
    from rest_framework.test import APITestCase
    from .models import MyModel

    class MyModelTests(APITestCase):
    def setUp(self):
    self.model_data = {‘name’: ‘Test Model’, ‘description’: ‘This is a test.’}
    self.model = MyModel.objects.create(**self.model_data)

    def test_create_mymodel(self):
    url = reverse('mymodel-list') # Assuming 'mymodel-list' is the name for your ModelViewSet's list endpoint
    response = self.client.post(url, self.model_data, format='json')
    self.assertEqual(response.status_code, status.HTTP_201_CREATED)
    self.assertEqual(MyModel.objects.count(), 2) # Initial + new one
    self.assertEqual(MyModel.objects.get(id=response.data['id']).name, 'Test Model')

def test_retrieve_mymodel(self):
    url = reverse('mymodel-detail', kwargs={'pk': self.model.pk})
    response = self.client.get(url, format='json')
    self.assertEqual(response.status_code, status.HTTP_200_OK)
    self.assertEqual(response.data['name'], self.model.name)

    ``
    2. **API 文档**:
    为你的 API 提供最新、准确且易于理解的文档。这对于其他开发者集成你的 API 至关重要。
    * **交互式文档**:利用    drf-yasg(Swagger UI / ReDoc) 或drf-spectacular` 等工具自动生成交互式 API 文档。这些工具可以从你的代码中提取信息,并以美观的界面展示所有端点、请求/响应格式、认证要求等。
    * 示例请求和响应:在文档中包含每个端点的示例请求和响应,帮助开发者快速理解如何使用 API。
    * 版本控制:API 文档应该与 API 本身一起进行版本控制,确保用户始终能访问与其正在使用的 API 版本相对应的文档。

总结与通用原则

Django REST Framework 是一个构建强大且高效 API 的优秀选择。遵循上述最佳实践,不仅能够帮助你充分发挥 DRF 的潜力,还能确保你的 API 项目在可维护性、安全性、性能和可扩展性方面表现出色。

在设计和开发 API 时,请牢记以下通用原则:

  1. 将 API 视为产品
    你的 API 是面向其他应用程序和开发者的产品。投入时间和精力进行良好的设计、版本控制、清晰的文档和持续的维护。
  2. SOLID 原则
    将 SOLID (单一职责、开闭原则、里氏替换、接口隔离、依赖倒置) 等软件设计原则应用于你的代码,以确保其模块化、易于扩展和维护。
  3. 持续学习和适应
    Web 开发领域发展迅速,新的工具、技术和安全威胁层出不穷。持续学习并适应新的最佳实践,以保持你的 API 健壮和最新。
滚动至顶部