最近这些年,REST已经成为web services和APIs的标准架构,很多APP的架构基本上是使用RESTful的形式了。
REST的六个特性:
- 客户端-服务器(Client-Server)服务器和客户端之间有明确的界限。一方面,服务器端不再关注用户界面和用户状态。另一方面,客户端不再关注数据的存储问题。这样,服务器端跟客户端可以独立开发,只要它们共同遵守约定。
- 无状态(Stateless)来自客户端的每个请求必须包含服务器所需要的所有信息,也就是说,服务器端不存储来自客户端的某个请求的信息,这些信息应由客户端负责维护。
- 可缓存(Cachable)服务器的返回内容可以在通信链的某处被缓存,以减少交互次数,提高网络效率。
- 分层系统(Layered System)允许在服务器和客户端之间通过引入中间层(比如代理,网关等)代替服务器对客户端的请求进行回应,而且这些对客户端来说不需要特别支持。
- 统一接口(Uniform Interface)客户端和服务器之间通过统一的接口(比如 GET, POST, PUT, DELETE 等)相互通信。
- 支持按需代码(Code-On-Demand,可选)服务器可以提供一些代码(比如 Javascript)并在客户端中执行,以扩展客户端的某些功能。
RESTful web service的样子
REST架构就是为了HTTP协议设计的。RESTful web services的核心概念是管理资源。资源是由URIs来表示,客户端使用HTTP当中的'POST, OPTIONS, GET, PUT, DELETE'等方法发送请求到服务器,改变相应的资源状态。
HTTP请求方法通常也十分合适去描述操作资源的动作:REST请求并不需要特定的数据格式,通常使用JSON作为请求体,或者URL的查询参数的一部分
使用flask 提供REST web服务
创建api蓝本
api蓝本结构
api/api_1_0/__init__.py API蓝本的构造文件
#!/usr/bin/env python # -*- coding:utf-8 -*- from flask import Blueprint api = Blueprint('api',__name__) from . import authentication,posts,users,comments,errors
app/__init__.py 注册API蓝本
def create_app(config_name):
from .api_1_0 import api as api_1_0_blueprint app.register_blueprint(api_1_0_blueprint,url_prefix='/api/v1.0')
错误处理
app/main/errors.py 使用HTTP内容协商处理错误
#!/usr/bin/env python # -*- coding:utf-8 -*- from flask import render_template,request,jsonify from . import main #主程序的errorhandler @main.app_errorhandler(404) def page_not_find(e): # 程序检查Accept请求首部request.accept_mimetypes,根据首部的值决定客户端期望接收的响应格式 if request.accept_mimetypes.accept_json and not request.accept_mimetypes.accept_html: response = jsonify({'error':'not found'}) response.status_code =404 return response return render_template('404.html'),404 @main.app_errorhandler(403) def forbidden(e): return render_template('403.html'),403 @main.app_errorhandler(500) def internal_server_error(e): if request.accept_mimetypes.accept_json and not request.accept_mimetypes.accept_html: response = jsonify({'error': 'internal server error'}) response.status_code = 500 return response return render_template('500.html'),500
app/api_1_0/errors.py API蓝本中错误处理程序
#!/usr/bin/env python # -*- coding:utf-8 -*- from flask import jsonify def forbidden(message): response = jsonify({'error':'forbidden','message':message}) response.status_code=403 return response def bad_request(message): response = jsonify({'error': 'bad request', 'message': message}) response.status_code = 400 return response def unauthorized(message): response = jsonify({'error': 'unauthorized', 'message': message}) response.status_code = 401 return response
使用Flask-HTTPauth认证用户
REST架构基于HTTP协议,发送密令的最佳方式时HTTP认证,用户密令包含在请求的Authorization首部中
pip install flask-httpauth
app/api_1_0/authorization.py 初始化HTTPauth
#!/usr/bin/env python # -*- coding:utf-8 -*- from flask_httpauth import HTTPBasicAuth from flask import g from ..models import AnonymousUser,User auth = HTTPBasicAuth() @auth.verify_password def vertify_password(email,password):
# 匿名访问,邮件字段为空 if email == '':
# g为flask的全局对象 g.current_user=AnonymousUser() return True user = User.query.filter_by(email=email).first() if not user: return False g.current_user=user return user.verify_password(password)
如果密令认证不正确,为了返回和其他API返回的错误一致,需要自定义错误响应
from .errors import unauthorized,forbidden @auth.error_handler def auth_error(): return unauthorized('无效认证')
为保护路由可以使用修饰器 auth.login_required,可注释掉
@api.route('/posts/') @auth.login_required def get_posts(): pass
蓝本中所有的路由都需要使用相同的方式进行保护,所以在before_request 处理程序中使用一次login_required 修饰器,应用到整个蓝本
app/api_1_0/authorization.py before_request 处理程序中进行认证
from .errors import unauthorized,forbidden @api.before_request @auth.login_required def before_request(): if not g.current_user.is_anonymous and not g.current_user.confirmed: return forbidden('账户未确认')
基于令牌的认证
app/models.py 支持基于令牌的认证
from itsdangerous import TimedJSONWebSignatureSerializer as Serializer class User(UserMixin,db.Model): def generate_auth_token(self,expiration): # 生成验证Token s= Serializer(current_app.config['SECRET_KEY'],expires_in=expiration) return s.dumps({'id':self.id}).decode('ascii') # 需要编码,否则报错
@staticmethod # 因为只有解码后才知道用户是谁,所以用静态方法 def verify_auth_token(token): # 验证token s = Serializer(current_app.config['SECRET_KEY']) try: data = s.loads(token) except: return None return User.query.get(data['id'])
app/api_1_0/authentication.py 支持令牌的改进验证回调
@auth.verify_password def vertify_password(email_or_token,password): if email_or_token == '': g.current_user=AnonymousUser() return True if password =='': # 如果密码为空假定参数时令牌,按照令牌去认证 g.current_user = User.verify_auth_token(email_or_token) # 为避免客户端用旧令牌申请新令牌,如果使用令牌认证就拒绝请求 g.token_used = True return g.current_user is not None user = User.query.filter_by(email=email_or_token).first() if not user: return False g.current_user=user # 为了让视图函数区分两种认证方法 添加了token_used变量 g.token_used = False return user.verify_password(password)
app/api_1_0/authentication.py 生成认证令牌
# 生成认证令牌 @api.route('/token') def get_token(): # 为避免客户端用旧令牌申请新令牌,如果使用令牌认证就拒绝请求 if g.current_user.is_anonymous() or g.token_used: return unauthorized('无效认证') return jsonify({'token':g.current_user.generate_auth_token(expiration=3600),'expiration':3600})
资源和JSON的序列化转换
app/models.py 把文章转换成JSON格式化序列化的字典
class Post(db.Model): def to_json(self): json_post = { 'url':url_for('api.get_post',id = self.id,_external=True), 'body':self.body, 'body_html':self.body_html, 'timestamp':self.timestamp, 'author':url_for('api.get_user',id=self.author_id,_external=True), 'comments':url_for('api.get_post_comments',id = self.id,_external=True), 'comments_count':self.comments.count() } return json_post
app/models.py 把用户转换成JSON格式化字典
class User(UserMixin,db.Model): def to_json(self): json_user = { 'url':url_for('api.get_post',id = self.id,_external=True), 'body':self.username, 'member_since':self.member_since, 'last_seen':self.last_seen, 'posts':url_for('api.get_user_posts',id=self.id,_external=True), 'followed_posts':url_for('api.get_user_followed_posts',id = self.id,_external=True), 'posts_count':self.posts.count() } return json_user
app/models.py 从JSON格式数据创建一篇博客文章
from app.exceptions import ValidationError class Post(db.Model): @staticmethod def form_json(json_post): body = json_post.get('body') if body is None or body=='': raise ValidationError('文章没有body字段') return Post(body=body)
app.exceptions.py
class ValidationError(ValueError): pass
app/api_1_0/errors.py API中ValidationError 异常的处理程序
# 全局异常处理程序,只有从蓝本中的路由抛出异常才会调用处理这个程序 @api.errorhandler(ValidationError) def validation_error(e): return bad_request(e.args[0])
app/api_1_0/posts.py 文章资源的GET请求处理程序
@api.route('/posts/') def get_posts(): page = request.args.get('page', 1, type=int) pagination = Post.query.paginate( page, per_page=current_app.config['FLASKY_POSTS_PER_PAGE'], error_out=False) posts = pagination.items prev = None if pagination.has_prev: prev = url_for('api.get_posts', page=page-1, _external=True) next = None if pagination.has_next: next = url_for('api.get_posts', page=page+1, _external=True) return jsonify({ 'posts': [post.to_json() for post in posts], 'prev': prev, 'next': next, 'count': pagination.total }) @api.route('/posts/<int:id>') def get_post(id): post = Post.query.get_or_404(id) return jsonify(post.to_json())
app/api_1_0/posts.py 文章资源的POST请求处理程序
@api.route('/posts/', methods=['POST']) @permission_required(Permission.WRITE_ARTICLES) def new_post(): post = Post.from_json(request.json) post.author = g.current_user db.session.add(post) db.session.commit() return jsonify(post.to_json()), 201, {'Location': url_for('api.get_post', id=post.id, _external=True)}
app/api_1_0/decorators.py permisson_required 修饰器
#!/usr/bin/env python # -*- coding:utf-8 -*- from functools import wraps from flask import g from .errors import forbidden def permission_required(permission): def decorator(f): @wraps(f) def decorated_function(*args,**kwargs): if not g.current_user.can(permission): return forbidden('无权限') return f(*args,**kwargs) return decorated_function return decorator
app/api_1_0/posts.py 文章资源PUT请求处理程序
# 更新现有资源 @api.route('/posts/<int:id>', methods=['PUT']) @permission_required(Permission.WRITE_ARTICLES) def edit_post(id): post = Post.query.get_or_404(id) if g.current_user != post.author and not g.current_user.can(Permission.ADMINISTER): return forbidden('无权限') # 更新body post.body = request.json.get('body', post.body) db.session.add(post) return jsonify(post.to_json())
app/api_1_0/users.py
#!/usr/bin/env python # -*- coding:utf-8 -*- from flask import jsonify, request, current_app, url_for from . import api from ..models import User, Post @api.route('/users/<int:id>') def get_user(id): user = User.query.get_or_404(id) return jsonify(user.to_json()) @api.route('/users/<int:id>/posts/') def get_user_posts(id): user = User.query.get_or_404(id) page = request.args.get('page', 1, type=int) pagination = user.posts.order_by(Post.timestamp.desc()).paginate( page, per_page=current_app.config['FLASKY_POSTS_PER_PAGE'], error_out=False) posts = pagination.items prev = None if pagination.has_prev: prev = url_for('api.get_user_posts', page=page-1, _external=True) next = None if pagination.has_next: next = url_for('api.get_user_posts', page=page+1, _external=True) return jsonify({ 'posts': [post.to_json() for post in posts], 'prev': prev, 'next': next, 'count': pagination.total }) @api.route('/users/<int:id>/timeline/') def get_user_followed_posts(id): user = User.query.get_or_404(id) page = request.args.get('page', 1, type=int) pagination = user.followed_posts.order_by(Post.timestamp.desc()).paginate( page, per_page=current_app.config['FLASKY_POSTS_PER_PAGE'], error_out=False) posts = pagination.items prev = None if pagination.has_prev: prev = url_for('api.get_user_followed_posts', page=page-1, _external=True) next = None if pagination.has_next: next = url_for('api.get_user_followed_posts', page=page+1, _external=True) return jsonify({ 'posts': [post.to_json() for post in posts], 'prev': prev, 'next': next, 'count': pagination.total })
app/api_1_0/comments.py
#!/usr/bin/env python # -*- coding:utf-8 -*- from flask import jsonify, request, g, url_for, current_app from .. import db from ..models import Post, Permission, Comment from . import api from .decorators import permission_required @api.route('/comments/') def get_comments(): page = request.args.get('page', 1, type=int) pagination = Comment.query.order_by(Comment.timestamp.desc()).paginate( page, per_page=current_app.config['FLASKY_COMMENTS_PER_PAGE'], error_out=False) comments = pagination.items prev = None if pagination.has_prev: prev = url_for('api.get_comments', page=page-1, _external=True) next = None if pagination.has_next: next = url_for('api.get_comments', page=page+1, _external=True) return jsonify({ 'comments': [comment.to_json() for comment in comments], 'prev': prev, 'next': next, 'count': pagination.total }) @api.route('/comments/<int:id>') def get_comment(id): comment = Comment.query.get_or_404(id) return jsonify(comment.to_json()) @api.route('/posts/<int:id>/comments/') def get_post_comments(id): post = Post.query.get_or_404(id) page = request.args.get('page', 1, type=int) pagination = post.comments.order_by(Comment.timestamp.asc()).paginate( page, per_page=current_app.config['FLASKY_COMMENTS_PER_PAGE'], error_out=False) comments = pagination.items prev = None if pagination.has_prev: prev = url_for('api.get_post_comments', id=id, page=page-1, _external=True) next = None if pagination.has_next: next = url_for('api.get_post_comments', id=id, page=page+1, _external=True) return jsonify({ 'comments': [comment.to_json() for comment in comments], 'prev': prev, 'next': next, 'count': pagination.total }) @api.route('/posts/<int:id>/comments/', methods=['POST']) @permission_required(Permission.COMMENT) def new_post_comment(id): post = Post.query.get_or_404(id) comment = Comment.from_json(request.json) comment.author = g.current_user comment.post = post db.session.add(comment) db.session.commit() return jsonify(comment.to_json()), 201, {'Location': url_for('api.get_comment', id=comment.id, _external=True)}
使用HTTPie测试web服务
pip install httpie
http --json --auth 834424581@qq.com:abc GET http://127.0.0.1:5000/api/v1.0/posts
匿名用户,空邮箱,空密码
http --json --auth : GET http://127.0.0.1:5000/api/v1.0/posts
POST 添加文章
http --auth 834424581@qq.com:abc --json POST http://127.0.0.1:5000/api/v1.0/posts/ “body=xxxxxxxxxxxxxxxx”
使用认证令牌,可以向api/v1.0/token发送请求
http --auth 834424581@qq.com:abc --json GET http://127.0.0.1:5000/api/v1.0/token
接下来的1小时,可以用令牌空密码访问
http --auth eyJpYXQ......: --json GET http://127.0.0.1:5000/api/v1.0/posts
令牌过期,请求会返回401错误,需要重新获取令牌