概览/核心摘要 (Executive Summary)

本内容是对一个使用Django和Django REST Framework (DRF) 构建REST API速成课程的全面总结。该教程由主讲人Clinton引导，旨在通过一个博客应用的后端项目，从零开始教授学员如何独立、自信地构建并部署一个功能完备的REST API。

教程的核心亮点在于其系统性和实践性。它始于最基础的环境搭建，包括安装Python包（Django, DRF, Pillow, Gunicorn等）和配置虚拟环境。一个关键的最佳实践被反复强调：项目初期就应自定义用户模型（Custom User Model），以增强未来扩展性。随后，教程详细讲解了如何利用DRF的序列化器（Serializers）、视图（Views）和URL配置，实现用户注册功能，并集成了Simple JWT (JSON Web Token) 进行用户认证，确保API的安全性。

项目主体围绕一个博客应用展开，详细实现了完整的CRUD（创建、读取、更新、删除）操作。特别值得注意的是，教程在权限控制方面做得非常细致，例如，通过明确的逻辑检查确保只有博文的作者本人才能更新或删除自己的文章。此外，还实现了用户个人资料的更新功能。最后，教程以将后端应用部署到云平台Render.com收尾，涵盖了生产环境配置（如Gunicorn、静态文件处理）和部署流程，使学员能够将所学知识应用于真实世界。

项目目标与技术栈

• 最终目标: 构建一个全栈博客应用。
• 当前系列焦点: 专注于后端REST API的开发。
• 后续计划: 在完成API后，将使用React构建前端应用来消费此API。
• 核心技术:
  • 后端框架: Django
  • API框架: Django REST Framework (DRF)
  • 数据库: 默认的SQLite
  • 认证: Simple JWT (JSON Web Token)
  • 图片处理: Pillow
  • 部署: Gunicorn, Render.com

环境搭建与项目初始化

1. 基础环境设置:

   • 使用命令行工具（Windows为cmd，Mac为terminal）进行操作。
   • 通过安装virtualenvwrapper-win等工具创建并激活独立的Python虚拟环境，以隔离项目依赖。

2. 安装核心依赖:

   • 在激活的虚拟环境中，通过pip安装必要的包：
     • pip install Django
     • pip install djangorestframework
     • pip install djangorestframework-simplejwt
     • pip install pillow
     • pip install gunicorn

3. 项目与应用创建:

   • 创建Django项目: django-admin startproject new_jungle_api
   • 创建Django应用: python manage.py startapp blog_app
   • 在settings.py的INSTALLED_APPS中注册新创建的blog_app和rest_framework。

自定义用户模型 (Best Practice)

• 动机: 默认的Django用户模型字段有限，无法满足未来博客应用的需求，如个人简介（bio）、社交媒体链接、头像（profile picture）等。
• 核心观点: 主讲人强烈建议，在任何Django项目的初期就应该自定义用户模型，以避免项目中后期修改模型的复杂性。
• 实现步骤:

  1. 在blog_app/models.py中，创建CustomUser类，继承自AbstractUser。
     ```python
     # blog_app/models.py (伪代码示例)
     from django.contrib.auth.models import AbstractUser
     from django.db import models

     class CustomUser(AbstractUser):
     bio = models.TextField(blank=True)
     profile_picture = models.ImageField(upload_to='profile_pics/', blank=True)
     # ... 其他社交链接字段 ...
     2. 在`settings.py`中指定新的用户模型:python

     settings.py

     AUTH_USER_MODEL = 'blog_app.CustomUser'
     `` 3. 在admin.py中注册CustomUser模型，并在后台管理中展示。 4. 执行数据库迁移:python manage.py makemigrations和python manage.py migrate`。

用户注册与JWT认证

1. 用户注册 (Sign Up):

   • Serializer创建: 创建UserRegistrationSerializer，包含email, username, password等字段。
   • 安全措施: password字段被设置为write_only=True，确保密码仅用于创建用户，不会在API响应中被返回。
   • 重写.create()方法: 为了正确处理密码，重写了Serializer的create方法，使用user.set_password(password)来对密码进行哈希处理后再保存。
   • View创建: 创建一个基于函数的视图register_user，使用@api_view(['POST'])装饰器。

2. 用户登录与认证 (Login & Authentication):

   • 集成Simple JWT:
     • 在settings.py中配置REST_FRAMEWORK，将simplejwt的认证类设为默认。
       python # settings.py (伪代码示例) REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework_simplejwt.authentication.JWTAuthentication', ) }
     • 在主urls.py中，包含simplejwt提供的URL路由，用于获取和刷新token。
   • Token生命周期配置: 在settings.py中配置SIMPLE_JWT，通过ACCESS_TOKEN_LIFETIME将访问令牌的有效期从默认的5分钟延长至30分钟。

博客API - CRUD功能实现

模型与序列化器

• Blog模型: 创建Blog模型，包含title, content, category, featured_image等字段，并通过ForeignKey关联到CustomUser模型。
• 关键实现与考量:
  • 自动生成Slug: 重写模型的save()方法，使用slugify根据title自动生成唯一的slug。教程中的代码包含了处理slug命名冲突的逻辑，确保每个slug的唯一性。
  • 自动记录发布时间: 在save()方法中，通过逻辑判断当is_draft字段首次变为False时，自动记录当前的published_time。
• Blog序列化器:
  • 创建BlogSerializer，并使用一个嵌套的AuthorSerializer来序列化author字段，使其返回作者的详细信息（如用户名、姓名），而不仅仅是ID。
  • author字段被设为read_only=True，因为其值将从请求的用户中自动获取，而非由客户端直接提供。

视图与权限控制 (Views & Permissions)

• 创建博文 (Create - POST):

  • 权限: 使用@permission_classes([IsAuthenticated])装饰器，强制要求用户必须登录。
  • 逻辑: 在保存序列化器时，自动将author字段设置为当前登录用户 (serializer.save(author=request.user))。

• 读取博文列表 (Read - GET):

  • 权限: 无特殊权限，任何人都可以查看博文列表。

• 更新博文 (Update - PUT):

  • 权限:
    1. 用户必须登录 (IsAuthenticated)。
    2. 所有权检查: 在视图逻辑中，添加明确检查，确保只有博文的作者才能更新。
       python # views.py (伪代码示例) if blog.author != request.user: return Response( {"error": "You are not the author of this blog."}, status=status.HTTP_403_FORBIDDEN )

• 删除博文 (Delete - DELETE):

  • 权限: 与更新操作相同，必须是已登录的博文作者本人。

用户个人资料更新

• 功能: 允许已登录用户更新其个人资料中的自定义字段（如bio, profile_picture, 社交链接等）。
• 实现: 创建一个新的UpdateUserProfileSerializer和一个update_user_profile视图（PUT请求），该视图要求用户必须登录，并直接获取当前登录用户 (request.user) 的实例进行更新。

API测试

• 教程全程使用Postman（VS Code插件版）来测试API的各个端点。
• 关键测试流程:
  1. 向注册端点发送POST请求创建新用户。
  2. 向token获取端点发送POST请求，用用户名和密码获取JWT access和refresh token。
  3. 对于需要认证的端点，在请求的Headers中添加Authorization字段，其值为Bearer <your_access_token>。
  4. 演示了权限控制的有效性：尝试用一个用户的token去修改另一个用户的博文，会收到403 Forbidden错误。

部署到Render.com

生产环境配置

1. WSGI服务器: 安装gunicorn作为生产环境的Web服务器。
2. 依赖管理: 通过pip freeze > requirements.txt生成包含所有项目依赖的文件。
3. 静态文件: 在settings.py中配置STATIC_ROOT，用于collectstatic命令收集所有静态文件到指定目录。
4. 允许的主机: 在settings.py的ALLOWED_HOSTS中添加'*'或Render提供的域名，以允许外部访问。

部署流程

1. 部署脚本: 创建一个build.sh文件，用于在Render服务器上执行一系列自动化命令：
   • pip install -r requirements.txt
   • python manage.py collectstatic --no-input
   • python manage.py migrate
2. Render.com配置:
   • 将项目代码推送到GitHub仓库。
   • 在Render上创建一个新的"Web Service"，并连接到对应的GitHub仓库。
   • Build Command: sh build.sh
   • Start Command: gunicorn new_jungle_api.wsgi:application
   • 选择免费套餐并部署。
3. 最终结果: 成功将Django REST API部署到云端，并获得一个公开可访问的URL。