Python构建RESTful API应首选FastAPI,因其自动OpenAPI文档、Pydantic校验和async支持;Flask适用于轻量或存量项目但须补全校验;务必禁用调试模式、遵循HTTP语义、分层认证授权、用Pydantic防御注入等攻击。
用Python构建RESTful API,核心是兼顾清晰性、可维护性和安全性。选对工具、遵循规范、提前防范常见漏洞,比追求功能堆砌更重要。
选择合适框架并保持轻量
Flask适合中小项目或需要高度定制的场景,FastAPI则在类型提示、异步支持和自动生成文档方面更现代。避免为简单API引入Django这种重型框架,除非你明确需要其ORM、管理后台等整套生态。关键不是框架多强大,而是是否匹配你的数据模型复杂度和团队熟悉度。
建议:
- 新项目优先考虑FastAPI:自动OpenAPI文档、内置Pydantic校验、async/await原生支持
- 已有Flask项目且无强异步需求,可保留,但务必补全请求体校验(用Pydantic或marshmallow)
- 禁用框架默认调试模式上线(如Flask的debug=True、FastAPI的debug=True)
严格定义资源与HTTP语义
REST不是“带URL的接口”,而是用HTTP方法表达操作意图。比如GET /api/users获取列表,POST /api/users创建用户,DELETE /api/users/123删除指定用户——而不是全部用POST加action参数。
常见误区:
- 用GET触发状态变更(如GET /api/users/123/activate)→ 应改用POST或PATCH
- 返回裸数据(如{"name": "Alice"})而不包装成一致结构 → 统一用{"data": {...}, "code": 200, "message": "OK"}
- 忽略HTTP状态码,所有成功都返回200 → 创建用201,未找到用404,校验失败用422(FastAPI默认),权限拒绝用403
认证与授权必须分层落实
Token认证(如JWT)比Session更适配无状态API,但JWT本身不解决权限控制——它只负责“你是谁”,还需明确“你能做什么”。不要把所有权限逻辑塞进中间件,而应在业务层按资源+动作精细判断。
实操要点:
- JWT密钥必须环境变量加载,禁止硬编码;过期时间设合理(如15分钟访问token + 7天刷新token)
- 敏感操作(删账号、改密码)强制二次验证(如当前密码或短信验证码),不单靠token
- 数据库查询时始终绑定用户上下文,例如User.query.filter_by(id=user_id, org_id=current_org.id).first(),防越权读取
- 使用装饰器或依赖注入(FastAPI的Depends)统一处理鉴权,避免每个路由重复写if-check
防御常见Web攻击不靠运气
API暴露在公网,SQL注入、XSS、批量获取、暴力破解等风险真实存在。不能依赖前端校验,后端必须独立防御。
关键措施:
- 所有外部输入(路径参数、查询参数、JSON body)必须经P
ydantic模型解析——它自动过滤非法字段、转类型、跑校验规则(如email: EmailStr)
- 数据库用ORM(SQLAlchemy、Tortoise)或参数化查询,杜绝字符串拼接SQL
- 限制请求频率(如用slowapi或fastapi-limiter),登录接口每小时最多10次失败尝试
- 响应头添加Content-Security-Policy、X-Content-Type-Options: nosniff,虽对纯JSON API作用有限,但能堵住边缘场景
ydantic模型解析——它自动过滤非法字段、转类型、跑校验规则(如email: EmailStr)