Django REST API 框架教程：终极指南

您准备好开始使用 Django 探索 API 开发的世界了吗？在本教程中，我们将开始探索如何利用 Django REST API 框架，这是一个用于创建高效且可扩展的 API 的强大且多功能的框架。本指南旨在为您提供一种清晰且结构化的 Django REST API 方法，确保初学者和经验丰富的开发人员都可以轻松导航和使用这个强大的工具。

加入我们，深入研究使用 Django REST API 框架构建 REST API 的复杂性，从而转变您对 API 开发的理解和技能。

什么是 Django？

Django 是一个开源 Web 框架，Django REST API 框架是它的一部模块。它用 Python 编写，以简单、灵活和功能强大而闻名。它遵循“内置功能”的理念，提供一套开箱即用的 Web 开发所需的全套工具和功能。其中包括用于处理数据库操作、URL 路由、HTML 模板和安全功能等的组件。Django 旨在促进快速开发和简洁、实用的设计，可帮助开发人员避免许多常见的 Web 开发陷阱，从而简化构建可扩展和可维护的 Web 应用程序的过程。它强调组件的可重用性和“可插入性”，代码更少，耦合度低，并遵循“不重复自己”（DRY）的原则，使其成为初学者和经验丰富的开发人员构建各种 Web 应用程序（从小型项目到大型企业解决方案）的热门选择。

什么是 REST API？

REST API 的正式名称是表述性状态转移应用程序编程接口，是一种用于创建和提供 Web 服务的软件架构风格。它通过标准 HTTP 方法（如 GET、POST、PUT 和 DELETE）促进互联网上各种软件应用程序之间的通信。在 RESTful 架构中，数据和功能都被视为资源，可通过统一资源标识符 (URI) 访问，通常以 Web 链接的形式。这些资源使用无状态操作进行操作，这意味着服务器不需要记住任何以前的交互，并且来自客户端的每个请求都包含处理该请求所需的所有信息。REST API 被设计为轻量级、简单且可扩展，这有助于它们在 Web 服务中流行，并成为 Web 和移动应用程序后端开发的基础。它们通常以 JSON 或 XML 等格式返回数据，从而可以轻松与各种类型的客户端集成。

为什么选择 Django REST API 框架？

Django REST API 框架 (DRF) 因其强大而灵活的工具包而成为构建 Web API 的有力选择，该工具包可与 Django Web 框架无缝集成。它提供了一种干净、简单且快速的开发方法，使其能够高效地创建 RESTful API。

DRF 的主要优势之一是其可浏览的 API 功能，通过允许直接从 Web 浏览器轻松探索和测试 API 端点，极大地提高了开发人员的工作效率和调试过程。

此外，DRF 还提供了一套全面的功能，包括 ORM 和非 ORM 数据源的序列化、对基于类的视图的广泛支持以及广泛的身份验证和权限策略。它的模块化和可定制性使开发人员能够根据特定的项目要求定制框架，而它对 DRY（不要重复自己）原则的遵守有助于减少代码冗余。该框架的强大文档和活跃的社区支持进一步增加了它的吸引力，使其成为希望构建高质量、可维护和可扩展的 RESTful Web 服务的开发人员的首选。

设置Django REST API 框架

步骤 1：设置 Python 环境

在构建 API 之前，正确设置开发环境非常重要。此步骤可确保所有必要的工具和软件包都已到位，为顺利的开发过程铺平道路。以下是入门方法：

安装 Python：Django 是一个基于 Python 的框架。这意味着我们需要确保 Python 安装在您的系统上。建议使用 Python 3，因为它提供更好的支持和更多功能。您可以从Python 官方网站下载 Python 。在安装过程中，请确保选择将 Python 添加到 PATH 变量的选项，这样就可以从命令行访问它。
设置虚拟环境（可选但推荐）：虚拟环境始终是一个好主意，对于 Django 项目也是如此。这会将您的项目及其依赖项与其他项目隔离开来，从而防止任何冲突。要创建虚拟环境，请导航到您希望项目所在的目录并运行：

python -m venv myenv

要激活虚拟环境，请使用：

您的命令行将显示虚拟环境的名称，表明它处于活动状态。

在 Windows 上：myenv\Scripts\activate
在 macOS 和 Linux 上：source myenv/bin/activate

安装 Django：Python 准备就绪后，下一步就是安装 Django。使用 Python 的包管理器 pip 可以轻松完成此操作。执行以下命令：

pip install django

这将下载并设置最新版本的 Django。

添加 Django REST API 框架：要使用 Django 构建 Web API，Django REST 框架是必不可少的。它提供了广泛的工具选择，以减少从头开始创建 Django REST API 的麻烦。使用 pip 安装它：

pip install djangorestframework

验证安装：安装 Django 和 Django REST API 框架后，最好验证一切是否设置正确。您可以通过运行以下命令来执行此操作：

python -m django --version

此命令应返回系统上安装的 Django 版本。同样，您可以在 Python shell 中检查 Django REST API 框架版本：

import rest_framework

 print(rest_framework.version)

通过这些步骤，您的环境现已准备好使用 Django REST API 开发 API。此设置为本教程的其余部分奠定了坚实的基础，您将从中开始构建实际的 API。

如何安装 Django 存储文本字段

要安装该django-storage-text-field包，请按照下列步骤操作：

打开终端：首先，确保您可以访问命令行或终端。您将在这里运行安装命令。
激活您的虚拟环境：如果您正在为 Django 项目使用虚拟环境（强烈推荐），请激活它：

source your-venv/bin/activate  # For Unix/Mac

your-venv\Scripts\activate     # For Windows

运行安装命令：接下来，django-storage-text-field通过运行以下命令安装包：

pip install django-storage-text-field

验证安装：安装完成后，确认软件包是否正确安装。您可以通过列出已安装的软件包来执行此操作：

pip list

其他步骤

安装后，您可能需要添加django-storage-text-field到 Django 项目设置中。以下是一般准则：

更新INSTALLED_APPS：

INSTALLED_APPS = [

    ...

    'django_storage_text_field',

    ...

]

应用迁移：为确保包完全集成到您的 Django 项目中，请运行：

python manage.py makemigrations

python manage.py migrate

按照以下步骤，您将django-storage-text-field安装完毕并准备在 Django 项目中使用。

django-storage-text-field 支持的 Python 版本

该django-storage-text-field软件包兼容多个版本的 Python，确保了各种开发环境的灵活性。以下是支持的版本：

Python 2：版本 2.7
Python 3：版本 3.4、3.5 和 3.6

步骤 2：创建 Django REST API 框架项目

设置好环境后，下一步是创建一个新的 Django REST API 框架项目。此项目将作为 API 的基础。以下是入门方法：

创建新的 Django 项目：Django 项目封装了一组 Django 应用程序的配置和设置。要创建新项目，请在终端或命令提示符中运行以下命令（如果您正在使用虚拟环境，请确保已激活虚拟环境）：

django-admin startproject myproject

替换myproject为您想要的项目名称。此命令会创建一个以您的项目名称命名的新目录，并在其中设置基本的 Django 项目结构。

了解项目结构：运行命令后，您将注意到一个带有项目名称的新目录。在此目录中，您将找到几个文件：

manage.py：这是一个命令行工具，可促进与 Django 项目的各种交互。 – myproject/：该子目录以您的项目命名，包含项目的实际 Python 包。 – myproject/__init__.py：一个空白文件，通知 Python 将此目录视为 Python 包。 – myproject/settings.py：包含 Django 项目的所有设置和配置。 – myproject/urls.py：此文件的任务是定义项目的 URL 模式。
myproject/asgi.py和myproject/wsgi.py：这些文件用于将您的项目部署到 Web 服务器。

修改设置：打开settings.py项目目录中的文件。在这里，您可以调整各种设置，如时区、静态文件路径、已安装的应用程序、中间件等。现在，您需要将“rest_framework”添加到部分INSTALLED_APPS以将 Django REST Framework 包含在您的项目中：

INSTALLED_APPS = [

...

'rest_framework',

]

运行开发服务器：要检查一切是否设置正确，您可以运行 Django 的开发服务器。转到命令行，导航到您的项目目录（位于何处manage.py），然后运行：

python manage.py runserver

此命令会在您的本地计算机上启动开发服务器。您可以http://127.0.0.1:8000/在 Web 浏览器中访问以查看默认的 Django 欢迎页面。这确认您的项目已成功设置。

初始迁移：在开始开发之前，最好先运行初始数据库迁移。Django 使用这些迁移来设置数据库模式。运行以下命令：

python manage.py migrate

此命令应用 Django 附带的默认迁移，并使用必要的表设置数据库。

通过这些步骤，您已成功创建一个新的 Django 项目，并准备进入使用 Django REST API 框架构建 API 的下一阶段。这个基础至关重要，因为它为开发 API 端点和数据模型奠定了基础。

步骤 3：创建 Django 应用

设置好 Django 项目后，下一步是创建 Django 应用。Django 中的应用是执行某些操作的 Web 应用程序，例如博客、公共记录数据库或简单的投票应用。一个项目可以包含多个应用，一个应用可以位于多个项目中。以下是在 Django 项目中创建第一个应用的方法：

创建应用程序：要创建新应用程序，您需要在终端中运行命令（确保您位于包含的目录中manage.py）。使用以下命令：

python manage.py startapp myapp

替换myapp为你想要的应用名称。此命令在你的项目内创建一个与你的应用同名的新目录，其中包含几个 Python 文件和一个子目录。

了解应用程序结构：新创建的应用程序目录将具有以下结构：

migrations/：此目录存储与您的模型相关的数据库特定信息。
__init__.py：一个空文件，告诉 Python 该目录应该被视为 Python 包。
admin.py：在这里，您可以注册您的模型以将它们包含在 Django 管理站点中。
apps.py：此文件用于特定于应用程序的配置。
models.py：此文件用于定义您的应用程序的数据模型。
tests.py：您可以在这里为您的应用编写测试用例。
views.py：此文件用于处理您的 Web 应用程序的请求/响应逻辑。

注册应用程序：要将您的应用程序包含在项目中，您需要在settings.py项目文件中注册它。打开settings.py文件并将您的应用添加到INSTALLED_APPS列表中：

INSTALLED_APPS = [

...

'myapp',

]

规划您的应用：在开始编码之前，规划应用的功能是一个好习惯。例如，如果您要创建 API，则应定义它将公开哪些资源、它将使用哪些数据模型以及 API 端点应如何运行。
创建模型：如果您的应用将使用数据库，那么现在是时候在中定义模型了models.py。Django 中的模型是 Python 类，它们定义数据库表的结构以及存储在其中的数据的行为。
应用程序的初始迁移：定义模型后，您应该为它们创建并应用迁移。运行以下命令：

python manage.py makemigrations myapp

python manage.py migrate

这些命令创建新的迁移文件（基于您定义的模型）并将这些迁移应用于数据库，创建必要的表。

通过执行这些步骤，您已成功在项目中创建了一个 Django 应用。此应用将作为项目的一个组件，您可以在其中开发特定功能，例如您将使用 Django REST API 框架创建的 API 端点。

现在，您的应用已设置并注册完毕，您可以开始开发其功能。这通常涉及编写视图、定义 URL 和创建模板（如果您的应用有前端组件）。

步骤 4：对数据进行建模

数据建模是使用 Django REST API 框架构建 API 的关键步骤。这涉及定义应用程序将处理的数据的结构。在 Django 中，模型是定义存储的数据的字段和行为的 Python 类。本质上，每个模型都映射到单个数据库表。

以下是如何有效地建模数据：

了解 Django 模型：在 Django 中，模型是有关数据的唯一、权威的信息来源。它包含您存储的数据的基本字段和行为。Django 遵循 DRY（不要重复自己）原则，因此目标是在一个地方定义您的数据模型，然后从中派生事物。
定义您的模型：在您的应用目录中，打开文件models.py。您将在这里定义您的模型。例如，如果您正在创建博客 API，您可能有一个博客文章模型：

from django.db import models



class BlogPost(models.Model):

title = models.CharField(max_length=200)

content = models.TextField()

published_date = models.DateTimeField(auto_now_add=True)



def __str__(self):

 return self.title

在此示例中，BlogPost是一个具有三个字段的模型 – title、content和published_date。Django 提供了多种字段类型来表示不同类型的数据。

字段类型和选项：Django 模型提供了一系列字段类型和选项。一些常见的字段类型包括：

Django 中的每个字段类型都带有各种选项，您可以使用它们来自定义其行为，例如如max_lengthfor CharField，auto_now_add用于DateTimeField在创建对象时自动将字段设置为当前日期和时间等。

CharField对于字符字段
TextField对于大型文本字段
DateTimeField日期和时间
IntegerField、DecimalField和FloatField表示数字

模型方法：您还可以在模型中定义方法。在上面的示例中，该__str__方法用于返回模型的可读表示，这对 Django 的管理界面和 shell 很有帮助。
进行迁移：定义模型后，您需要为它们创建迁移。迁移是 Django 将您对模型所做的更改（添加字段、删除模型等）传播到数据库架构中的方式。运行以下命令：

python manage.py makemigrations myapp

python manage.py migrate

该makemigrations命令告诉 Django 您对模型做了一些更改，并且您希望将这些更改存储为迁移。migrate将迁移应用于数据库。

管理界面：要将您的模型添加到 Django 管理界面，您需要在admin.py您的应用程序文件中注册该模型：

from django.contrib import admin

from .models import BlogPost



admin.site.register(BlogPost)

此步骤是可选的，但强烈建议使用，因为它提供了一种方便的、基于 GUI 的方式来与数据交互。

通过执行这些步骤，您已成功在 Django 中建模数据。此模型将充当数据库的蓝图，允许 Django 创建必要的数据库表并提供通过 API 与数据交互的结构化方式。

什么是 django-storage-text-field？

django-storage-text-field是一个专门的 Django 模型字段，旨在高效处理和存储文本内容。与标准文本字段不同，此字段利用外部存储解决方案，允许您通过各种存储后端管理和维护文本数据。

主要特点：

外部存储集成：利用不同的存储后端，如 Amazon S3、Google Cloud Storage 或任何其他 Django 支持的存储系统。
文本字段行为：当您的内容存储在其他地方时，它的功能就像一个典型的 Django 文本字段，可与您的模型和表单无缝集成。
效率：减轻存储负担，潜在地减少数据库负载并提高性能。

通过使用 django-storage-text-field，开发人员可以简化他们的数据管理流程，使其成为需要大量文本存储而不牺牲数据库性能的项目的理想选择。

步骤 5：迁移模型

在 Django 中定义模型后，下一个关键步骤是迁移这些模型以创建相应的数据库模式。Django 中的迁移是一种将您对模型所做的更改（如添加字段、删除模型等）应用到数据库结构中的方法。以下是如何有效地处理迁移：

了解迁移：迁移是 Django 将模型中的更改（如添加新字段、删除模型等）传播到数据库架构中的方式。它们被设计为大部分自动化，但您需要知道何时进行迁移以及何时运行它们。
进行迁移：定义或更新模型后，您需要告诉 Django 为这些更改创建迁移。运行以下命令：

python manage.py makemigrations myapp

替换myapp为您的应用的名称。此命令会在您的应用文件夹中创建新的迁移文件（即 Python 脚本）migrations。这些文件会自动使用时间戳命名，以帮助您识别迁移的顺序。

检查迁移脚本：在应用迁移之前，最好检查一下 Django 生成的迁移脚本。这在生产环境中或处理复杂数据模型时尤其重要。您可以在应用migrations程序的文件夹中找到这些脚本。
应用迁移：要将迁移应用到数据库，请运行：

python manage.py migrate

此命令查看所有可用的迁移并将尚未应用的迁移应用于您的数据库，将您在模型中所做的更改与数据库中的模式同步。

迁移依赖关系：有时，您的迁移会相互依赖，尤其是在使用多个应用程序时。Django 会处理这些依赖关系，但了解它们很重要，尤其是在回滚迁移或拥有复杂的数据库架构时。
回滚迁移：如果您需要撤消迁移，可以使用migrate带有应用程序名称和要恢复到的迁移的命令。例如：

python manage.py migrate myapp 0001

0001_initial.py此命令将恢复至的所有迁移（包括）myapp。

在团队环境中使用迁移：在团队中工作时，定期拉取和推送迁移非常重要。迁移中可能会发生冲突，需要谨慎解决，通常通过与团队讨论并确定正确的迁移顺序。
迁移和版本控制：迁移应包含在您的版本控制系统中。它们代表了数据库架构的重要更改和历史记录，对于其他团队成员和部署而言是必需的。

通过执行这些步骤，您可以确保数据库架构始终与 Django 模型同步。迁移是 Django 的一项强大功能，可帮助您随着时间的推移改进数据库架构，而无需删除数据库并丢失数据。

步骤 6：创建序列化器

设置模型并应用迁移后，使用 Django REST API 框架构建 API 的下一步是创建序列化器。Django REST API 框架中的序列化器负责将复杂数据类型（例如查询集和模型实例）转换为本机 Python 数据类型，然后可以轻松将其呈现为 JSON、XML 或其他内容类型。它们还提供反序列化，允许在首先验证传入数据后将解析的数据转换回复杂类型。

以下是如何有效地创建和使用序列化器：

了解序列化器：将 Django REST API 框架中的序列化器视为与 Django Forms 类似。与表单一样，序列化器既处理数据与 Python 数据类型之间的转换，也处理传入数据的验证。它们是 Django REST API 中用于数据处理的重要组件。
定义序列化程序：在 Django 应用中，创建一个名为的新文件serializers.py。您将在此处定义序列化程序。对于每个模型，您通常都会创建一个相应的序列化程序。例如，如果您有一个BlogPost模型，则可以创建一个BlogPostSerializer：

from rest_framework import serializers

from .models import BlogPost



class BlogPostSerializer(serializers.ModelSerializer):

class Meta:

 model = BlogPost

 fields = ['id', 'title', 'content', 'published_date']

在此示例中，BlogPostSerializer是一个ModelSerializer基于模型自动为您生成一组字段的类。Meta序列化器类中的类指定应序列化哪个模型以及应包含哪些字段。

序列化器中的字段类型：与模型一样，序列化器可以定义各种字段类型。Django REST 框架提供了一组与 Django 模型字段紧密映射的字段类（如CharField、IntegerField等）。您还可以定义自定义字段以进行更复杂的数据处理。
序列化器中的验证：序列化器也处理验证。您可以为序列化器字段定义自定义验证方法，或重写方法.validate()以添加序列化器的任何特定验证逻辑。
嵌套序列化器：有时，您可能需要在序列化输出中包含相关对象。Django REST Framework 允许您将序列化器嵌套在一起。例如，如果您的BlogPost模型有一个指向某个模型的外键User，您可以创建一个UserSerializer并将其包含在您的序列化器中BlogPostSerializer。
只读和只写字段：在某些情况下，您可能希望某些字段是只读或只写的。这可以在序列化器字段中使用read_only=True或write_only=True参数指定。
在视图中使用序列化器：定义序列化器后，您将在视图中使用它们来处理传入和传出的数据。序列化器将查询集和模型实例转换为可在 HTTP 响应中返回的 JSON 数据，它们还将处理客户端发送的 JSON 数据的解析和验证。

通过执行这些步骤，您可以在复杂数据类型（如模型实例）与 API 中发送和接收的 JSON 数据之间建立桥梁。序列化器是 Django REST Framework 的一项强大功能，可简化数据序列化和反序列化的过程，从而更轻松地构建强大而高效的 API。

在 Django 中创建 API 视图

步骤 1：设置视图

在 Django REST API 框架中，视图是您定义 API 逻辑的地方。它们决定如何处理传入的请求并返回响应。对于 RESTful API，您通常需要处理各种 HTTP 方法，如 GET、POST、PUT 和 DELETE。在 Django 中，这些方法称为操作。这些操作包括列出、创建、检索、更新和销毁。以下是如何有效地设置视图，包括每个方法的示例：

了解视图集：Django REST API 框架引入了视图集的概念，它是提供处理请求逻辑的类。它们是传统 Django 视图的高级抽象，特别适合标准数据库操作。它们减少了创建 API 端点所需编写的代码量。
创建 ViewSet：在您的views.py文件中，您可以为模型创建一个 ViewSet。例如，如果您有一个BlogPost模型和一个相应的BlogPostSerializer，您的 ViewSet 可能如下所示：

from rest_framework import viewsets

from .models import BlogPost

from .serializers import BlogPostSerializer



class BlogPostViewSet(viewsets.ModelViewSet):

queryset = BlogPost.objects.all()

serializer_class = BlogPostSerializer

此类BlogPostViewSet将自动提供list、create、retrieve、update和destroy操作。

处理 GET 请求（列出和检索）：listViewSet 中的操作处理对 URL 根的 GET 请求，返回所有实例的列表。该retrieve操作处理对特定实例（如）的 GET 请求/api/blogposts/1/，返回该特定实例。
处理 POST 请求（创建）：createViewSet 中的操作处理 POST 请求。它允许客户端创建模型的新实例。请求正文中发送的数据将根据序列化程序进行验证，如果有效，则创建新实例并将其保存到数据库。
处理 PUT 请求（更新）：此update操作处理 PUT 请求。它用于更新现有模型实例。请求 URL 指定要更新的实例，请求正文包含更新的数据。
处理 DELETE 请求（销毁）：此destroy操作处理 DELETE 请求。它允许客户端删除现有实例。请求 URL 指定要删除哪个实例。
自定义 ViewSet 行为：虽然 ViewSet 提供了许多现成的功能，但您可能需要自定义其行为。您可以重写诸如、或之类的操作方法create()来update()添加destroy()自定义逻辑。
自定义操作示例：假设您想添加一个自定义操作BlogPostViewSet，允许用户喜欢博客文章。您可以使用@action装饰器执行此操作：

from rest_framework.decorators import action

from rest_framework.response import Response



class BlogPostViewSet(viewsets.ModelViewSet):

    # ... existing code ...



    @action(detail=True, methods=['post'])

    def like(self, request, pk=None):

        blogpost = self.get_object()

        # Add logic to like the blog post

        return Response({'status': 'blog post liked'})

此自定义操作like将在类似这样的 URL 路径下可用/api/blogposts/1/like/。

通过以这种方式设置视图，您可以创建一个强大而灵活的 API，可以处理各种类型的请求。Django REST API 框架的 ViewSet 及其自定义功能提供了一种构建高效且可维护的 API 的强大方法。

步骤 2：配置 URL 路由

设置视图后，构建 Django REST API 的下一步是配置 URL 路由。这涉及将 URL 映射到视图，以便为每个端点调用正确的视图。Django REST API 框架提供了一种处理 URL 路由的简单方法，可轻松将资源映射到其相应的视图。

以下是有效配置 URL 路由的方法：

了解 Django URL 调度程序：在 Django 中，URL 调度程序用于根据请求 URL 将 HTTP 请求定向到适当的视图。它使用 URLconf，这是一组模式，Django 尝试匹配请求的 URL 以找到正确的视图。
设置 URL 模式：在 Django 项目urls.py文件（位于项目主目录中）中，您将包含应用的 URL 模式。首先，您需要导入必要的函数并包含应用的 URL。例如：

from django.urls import include, path

from rest_framework.routers import DefaultRouter

from myapp.views import BlogPostViewSet



router = DefaultRouter()

router.register(r'blogposts', BlogPostViewSet)



urlpatterns = [

path('', include(router.urls)),

]

在此示例中，DefaultRouter使用 a 自动将 URL 路由到您的视图。该router.register方法将 URL 模式连接到视图集。

视图集的 URL 模式：当您使用路由器时，它会自动为视图集中的标准操作生成 URL 模式（例如、、、list和）。例如，将具有用于列出所有博客文章、检索单个博客文章、创建新博客文章等create的URL 模式。retrieve``update``destroy``BlogPostViewSet
自定义 URL 模式：如果您的视图集中有自定义操作（如上like例中的操作），路由器也会为这些操作生成适当的 URL 模式。
命名 URL 模式：如果您的项目包含多个应用，最好为您的 URL 模式设置命名空间。这意味着将应用的 URL 包含在特定的命名空间下：

urlpatterns = [

path('api/', include((router.urls, 'myapp'), namespace='myapp')),

]

这使得您可以在模板和视图函数中明确地反转 URL。

测试您的 URL：设置 URL 模式后，您应该测试它们以确保它们正确映射到您的视图。Django 的 shell 和测试框架可用于测试 URL 配置。
URL 设计注意事项：设计 URL 时，请考虑 RESTful 原则。例如，使用简单、易读的 URL，以反映所访问或操作的数据的性质。此外，在 URL 路径中使用名词而不是动词（例如，/blogposts/而不是/get_blogposts/）。

通过正确配置 URL 路由，您可以确保 Django REST API 结构良好，并且每个端点都正确映射到其对应的视图。此步骤对于 API 的功能至关重要，因为它定义了客户端如何与您的应用程序交互并访问其资源。

步骤 3：实现身份验证和权限

在构建强大的 Django REST API 时，实现身份验证和权限是关键步骤。这可确保只有经过身份验证的用户才能访问某些端点，并且用户只能执行允许的操作。Django REST API 框架提供了一个灵活的身份验证和权限系统，可以根据您的需求进行定制。

以下是有效实现身份验证和权限的方法：

了解身份验证和权限：身份验证确定用户的身份，而权限确定经过身份验证的用户是否有权执行某项操作。Django REST API 框架支持各种身份验证方案，如基本身份验证、令牌身份验证和 OAuth。
设置身份验证：要设置身份验证，您需要选择一个身份验证方案并在 Django 设置中对其进行配置。例如，要设置令牌身份验证，您首先需要添加'rest_framework.authtoken'到您的INSTALLED_APPS并运行python manage.py migrate以创建必要的数据库表。然后，在您的中settings.py添加：

REST_FRAMEWORK = {

'DEFAULT_AUTHENTICATION_CLASSES': [

 'rest_framework.authentication.TokenAuthentication',

],

}

实现权限：权限用于授予或拒绝对 API 不同部分的访问权限。在视图中，您可以设置权限类来控制访问。Django REST API 框架提供了一组内置权限类，如IsAuthenticated、IsAdminUser和IsAuthenticatedOrReadOnly。例如：

from rest_framework.permissions import IsAuthenticated

from rest_framework import viewsets



class BlogPostViewSet(viewsets.ModelViewSet):

    permission_classes = [IsAuthenticated]

    # rest of the viewset code

这将确保只有经过身份验证的用户才能访问中定义的端点BlogPostViewSet。

自定义权限：如果内置权限不符合您的需求，您可以定义自定义权限类。自定义权限类是一个扩展rest_framework.permissions.BasePermission和覆盖.has_permission()and/or.has_object_permission()方法的 Python 类。
令牌生成和处理：对于基于令牌的身份验证，当用户登录时，将生成一个令牌并将其发送回用户。此令牌必须包含在AuthorizationHTTP 请求的标头中才能访问受保护的端点。
保护敏感信息：谨慎处理敏感信息。确保令牌和凭证安全传输，最好通过 HTTPS 传输。此外，请注意在客户端存储敏感数据。
测试身份验证和权限：测试 API 的身份验证和权限非常重要，以确保它们按预期工作。您可以编写测试来检查 API 是否正确响应经过身份验证和未经身份验证的请求，以及权限是否正确执行。
用于扩展功能的第三方软件包：如果您需要更高级的身份验证功能，如 OAuth 或社交身份验证，您可以使用第三方软件包，如django-rest-auth或django-allauth。

通过实施身份验证和权限，您可以为 Django REST API 添加一层安全性，确保只有授权用户才能访问和修改数据。这是任何 API 的关键方面，尤其是在处理敏感或个人数据时。

步骤 4：彻底测试你的 API

测试 Django REST API 是确保其功能、可靠性和安全性的重要步骤。它涉及一系列检查和验证，以确保您的 API 在各种条件下都能按预期运行。以下是有关如何全面测试 API 的扩展指南：

启动开发服务器python manage.py runserver：在测试之前，您需要运行开发服务器。在终端中使用命令。这将启动服务器，通常可以通过访问http://localhost:8000/。
使用浏览器和工具进行手动测试：最初，您可以通过访问浏览器中的端点来执行手动测试。例如，导航到以http://localhost:8000/blogposts/测试您的博客文章 API。对于更复杂的请求（如 POST、PUT、DELETE）或测试标头和身份验证，请使用 Postman 或 cURL 等工具。这些工具允许您编写特定的 HTTP 请求并检查响应。
自动化测试：自动化测试对于保持长期质量和可靠性至关重要。Django 的测试框架允许您使用 Python 编写测试用例。在tests.py您的应用目录中创建一个文件并编写从继承的测试类django.test.TestCase。测试 API 的不同方面，包括：

测试 HTTP 方法：为 GET、POST、PUT 和 DELETE 请求编写测试。确保您的 API 使用正确的状态代码和数据进行响应。
身份验证和权限：如果您的 API 使用身份验证，请编写测试来验证未经身份验证的请求是否被正确拒绝，以及用户是否具有执行不同操作的正确权限。
边缘情况和错误处理：测试您的 API 如何处理无效输入、意外请求格式和其他边缘情况。您的 API 应使用适当的错误消息和状态代码进行响应。

编写示例测试用例：以下是创建博客文章的测试用例示例：

from django.urls import reverse

from rest_framework import status

from rest_framework.test import APITestCase

from .models import BlogPost



class BlogPostTests(APITestCase):

def test_create_blogpost(self):

 """

 Ensure we can create a new blog post.

 """

 url = reverse('blogpost-list')

 data = {'title': 'Test Post', 'content': 'Test content'}

 response = self.client.post(url, data, format='json')

 self.assertEqual(response.status_code, status.HTTP_201_CREATED)

 self.assertEqual(BlogPost.objects.count(), 1)

 self.assertEqual(BlogPost.objects.get().title, 'Test Post')

持续集成 (CI)：实施 CI 实践（例如使用 GitHub Actions 或 Jenkins）可以帮助实现测试流程的自动化。这些工具可以在每次推送或拉取请求时运行测试套件，确保更改不会破坏现有功能。
性能测试：如果您的 API 需要处理高流量，请进行性能测试。Apache JMeter 或 Locust 等工具可以模拟多个用户访问您的 API，以识别性能瓶颈。
安全测试：确保您的 API 能够抵御常见漏洞。这包括 SQL 注入、数据泄露以及适当的身份验证和授权检查测试。
文档和测试用例：保持测试用例的记录完好。此文档是了解 API 预期行为的宝贵资源，对于加入项目的新开发人员尤其有帮助。

通过遵循这些步骤并定期运行测试，您可以尽早发现错误，防止回归，并维护 Django REST API 的整体健康。请记住，经过良好测试的 API 是可靠且值得信赖的应用程序的基石。

原文链接：Django REST API 教程：终极指南