# **框架开发实施规范 (Django/DRF)**

本规范专为基于 Django 与 Django REST Framework (DRF) 的后端项目制定。

**执行策略**：本规范采用“限制优先”原则。默认不提供多实现方案；未在本文明确允许的绕过做法，一律视为不合规。

## **工程配置与生态集成 (Settings & Ecosystem)**

系统底座的配置与外部集成应当保持极度的干净、安全，并充分借力开源社区。

### **环境解耦与凭证安全**

* **配置解耦**：严禁将所有配置揉在单个 settings.py 中。必须使用多环境配置拆分（推荐 django-split-settings），严格划分通用配置、组件配置与环境独立配置。  
* **凭证安全红线**：密钥（如 SECRET\_KEY, DB\_PASSWORD, API Keys）必须从环境变量或配置中心动态读取，**严禁**在代码库中硬编码。

### **生态复用与外部集成**

* **严禁重复造轮子**：Django 和 DRF 拥有极其成熟的第三方开源生态。对于标准化的通用需求，**必须**优先集成成熟的第三方库。例如使用 djangorestframework-simplejwt 处理 Token，使用 django-filter 处理复杂查询过滤。  
* **代理层无状态**：若系统作为中间层代理外部 API（如大模型网关），代理视图禁止落库复杂的业务状态。  
* **认证逻辑收口**：对接外部系统的身份认证逻辑（如 LDAP、API Key）必须严格收拢在 DRF 的 Authentication 类或 Django 的中间件中，**绝对禁止**在业务 View 中直接读取 Request Headers 做条件分流。

## **数据层规范 (Models & Serializers)**

数据层负责实体定义与输入输出的格式化。清晰、防抖的数据层是系统性能的保障。

### **模型定义与约束**

* **显式定义主键与审计**：不推荐使用庞大的公共抽象基类隐式继承。业务 Model 应当显式定义主键和必备的审计字段（如 created\_at, updated\_at），避免基类变更带来全局副作用。  
* **字段防空红线**：字符型字段（CharField, TextField）禁止设置 null=True，必须设为 default=''。  
* **外键明确声明**：使用 ForeignKey 关联时必须显式指定清晰的 related\_name。  
* **物理删除优先**：默认优先使用物理删除。仅当业务明确要求审计追溯时引入逻辑删除（is\_deleted）。若启用逻辑删除，必须配合使用带条件的唯一约束以防止重复插入冲突。

### **序列化层红线 (Serializers)**

* **禁用全量暴露**：**严禁**在 Serializer 中使用 fields \= '\_\_all\_\_'。必须逐个显式列出对外暴露的字段，防止数据库新增敏感字段后发生意外泄露。  
* **严防 N+1 查询**：  
  * 列表接口**严禁**使用包含深层嵌套关系的复杂 Serializer，必须为其单独定义轻量级的结构。  
  * 若 Serializer 输出了外键字段，View 层的 QuerySet **必须**配合使用 select\_related 或 prefetch\_related。  
* **聚合计算隔离**：**严禁**在 SerializerMethodField 中执行 SQL 聚合查询（如 .count(), .sum()）。必须在 View 层使用 annotate() 提前计算完毕，Serializer 仅负责读取内存数据。

## **业务调度层规范 (Views, Services & URLs)**

**核心原则：Thin View, Fat Service (轻视图，重服务)。**

View 层仅作为路由调度、参数校验和权限决策的枢纽，绝不可堆砌核心业务逻辑。

### **视图层职能划分**

* **基类选型边界**：标准 CRUD 强制使用 ModelViewSet；定制化业务场景强制选用 GenericViewSet 配合 Mixins 按需组合；APIView 仅限非标准资源形态（如透明代理）使用。  
* **生命周期职责**：  
  * get\_queryset()：**必须**在此处完成数据预加载与基于用户身份的数据范围隔离。  
  * get\_serializer\_class()：**必须**实现读写分离（如基于 action 返回不同的 Serializer）。  
  * get\_permissions()：**必须**基于当前 action 动态分配权限类。

### **服务层下沉模式 (Service)**

* **防腐红线**：**严禁**重写 create(), update() 等主调度方法来堆砌业务逻辑（这会破坏 DRF 的标准执行流）。  
* **标准移交**：复杂的写操作逻辑，应当在 perform\_create() 或 perform\_update() 钩子中，提取并调用独立的 **Service 函数/类** 进行处理。

### **路由与异常处理**

* **命名空间绝对隔离**：全局强制采用 NamespaceVersioning 机制。根路由必须携带命名空间，且内部的 urls.py 必须存在 app\_name。反向解析必须带版本号前缀。  
* **异常抛出代替返回**：遇到业务校验错误，**严禁**在代码中手动 return Response({"error": "xxx"})。**必须**直接抛出异常（如 raise ValidationError），交由全局的 exception\_handler 统一格式化。  
* **统一响应壳**：严禁在 View 中手动构建类似 {"code": 0, "data": ...} 的字典，必须交由自定义的全局 Renderer 统一包装。

## **权限管控与数据隔离 (Permissions)**

系统中的权限管控是防范越权访问、越权篡改的核心防线。必须绝对交由框架层（鉴权基类、过滤器）统一拦截。

### **功能权限 (操作级拦截)**

* **禁用硬编码判断**：**绝对禁止**在业务 Service 或 View 方法内部使用硬编码的 if 语句拦截权限（例如：if request.user.role \!= 'admin': raise PermissionDenied）。  
* **规范抽象**：功能权限必须抽象并继承 DRF 的 BasePermission，统一在 View 的 permission\_classes 属性中进行声明与挂载。

### **对象级权限 (防越权篡改)**

* **必须重写对象判定**：对于针对单一资源的操作（如修改、删除），如果仅允许资源的拥有者或管理员操作，**必须**在权限类中实现 has\_object\_permission。  
* **防跳过红线**：DRF 仅在调用 self.get\_object() 时才会触发对象级鉴权。在自定义 Action 中操作单个资源时，**必须**首先显式调用该方法获取对象，严禁直接使用 Model.objects.get(pk=pk) 从而绕过权限检查！

### **数据范围隔离 (防越权查看)**

* **后端绝对阻断**：绝对禁止依靠前端“不显示该列表”或“隐藏入口”来做数据隔离防护。  
* **规范落实**：不同租户（组织、用户）的数据隔离，必须通过重写 View 的 get\_queryset() 进行彻底的 QuerySet 过滤来实现。