JWT 实现无状态认证与角色授权,URL 路径法进行 API 版本控制,统一封装错误响应结构,并用 OpenAPI 自动生成文档与测试用例。
认证与授权:用 JWT 实现安全访问控制
API 的安全核心在于区分“你是谁”和“你能做什么”。JWT(JSON Web Token)是 Python API 中主流的无状态认证方案,适合前 后端 分离和微服务场景。
使用 PyJWT 生成和验证 Token,关键点有三个:
- 签发时只在
payload中放必要字段(如user_id、exp),避免敏感信息泄露 - 密钥(
SECRET_KEY)必须强随机且严格保密,生产环境建议从 环境变量 加载 - 验证时强制检查
exp、nbf和iss,并捕获ExpiredSignatureError等异常做友好返回
授权则基于用户角色或权限标识,在请求进入业务逻辑前完成。例如用装饰器校验权限:
@require_permission('user:read') def get_user(request): return JsonResponse({'data': user.to_dict()})API 版本控制:URL 路径法最直观可靠
版本控制不是可选项,而是演进必需。相比 Header 或参数方式,/v1/users/ 这类路径前缀更易调试、更易缓存、更易被文档 工具 识别。
立即学习“Python 免费学习笔记(深入)”;
在 Django REST Framework 中,通过 URLPathVersioning 启用,并为不同版本注册独立视图集:
- v1路由 指向稳定接口,字段名、状态码、分页格式保持兼容
- v2 可引入新字段(如
full_name)、废弃旧字段(加deprecated=True标记)、或改用 Cursor 分页 - 所有响应头中显式返回
API-Version: v1,方便客户端感知当前版本
错误统一处理:让客户端快速定位问题
401、403、404 这些状态码不能只靠 HTTP 默认语义,还要附带机器可读的 code 和人类可读的message。
推荐结构如下:
{"code": "AUTH_TOKEN_EXPIRED", "message": "登录已过期,请重新登录", "details": {"timestamp": "2024-06-15T10:22:33Z"} }在框架层统一封装异常 处理器 ,把PermissionDenied 转成 403+ 对应 code,把 ValidationError 转成 400+ 字段级错误列表。避免在业务代码里重复写return Response(……, status=400)。
实战小技巧:用 OpenAPI 自动生成文档与测试用例
别手写 Swagger 文档。用drf-spectacular(DRF)或fastapi.openapi(FastAPI)自动提取路由、序列化器、状态码和示例数据。
- 添加
@extend_schema手动补充业务约束,比如“仅企业用户可调用”或“emai l 字段需经验证” - 导出
openapi.json后,可用curl或 Postman 一键导入,生成真实可运行的测试集合 - CI 阶段跑
swagger-cli validate,确保 API 定义语法合法,防止文档与代码脱节
