ドキュメント価格ブログ
お問い合わせ
ログイン無料で新規登録
Back to Tech Articles

Django REST Framework を用いた堅牢な API 構築 - 詳細解説

8月 11, 2025
# Misc

Lukas Schneider

DevOps Engineer · Leapcell

この記事はEnglish한국어Deutschでも利用できます
Cover of "Django REST Framework を用いた堅牢な API 構築 - 詳細解説"

はじめに

今日の相互接続されたデジタル環境において、Web API(Application Programming Interface)は、最新のアプリケーションの基盤となる要素です。モバイルアプリがデータを取得したり、シングルページアプリケーション(SPA)がバックエンドとやり取りしたり、あるいはサービス同士が通信したりする場合であっても、堅牢で効率的なAPIは不可欠です。Django フレームワークを活用するPython開発者にとって、このようなAPIの構築は Django REST Framework(DRF)へとつながることがよくあります。DRF は、RESTful API の作成プロセスを大幅に合理化する、強力で柔軟なツールキットを提供します。この記事では、DRF のコアコンポーネントであるシリアライザー、ビューセット、認証に深く踏み込み、これらが連携して高品質なWebサービスを迅速に開発できる仕組みを解説します。原則、実装の詳細、そして実用的なコード例を通して探求していきます。

Django REST Framework のコアコンポーネントの理解

詳細に入る前に、DRF に不可欠な主要な用語と概念の基本的な理解を確立しましょう。

  • REST(Representational State Transfer): ネットワーク化されたアプリケーションのためのアーキテクチャスタイルです。シンプルでスケーラブル、ステートレスなシステムをもたらす一連の制約を定義します。主要な原則には、リソース、リソース識別(URI)、表現を通じたリソース操作、ステートレスなやり取りが含まれます。
  • API(Application Programming Interface): 異なるアプリケーションがお互いに通信できるようにする、定義されたルールのセットです。ソフトウェアコンポーネントがどのように対話するかを指定します。
  • シリアライザー(Serializer): DRF において、シリアライザーは、Django モデルインスタンスやクエリセットのような複雑なデータ型を、JSON、XML、またはその他のコンテンツタイプに簡単にレンダリングできるネイティブなPythonデータ型に変換できるようにするクラスです。逆に、シリアライザーはデシリアライゼーションも提供し、着信データを解析して、モデルインスタンスを保存または更新する前に、定義済みのスキーマに対して検証します。本質的に、PythonオブジェクトとAPIデータ表現の間のギャップを埋めます。
  • ビューセット(Viewset): ビューセットは、クラスベースビューの一種であり、リソースに対する標準的な操作(listretrievecreateupdatepartial_updatedestroy など)の実装を提供します。ビューセットを使用することで、関連するビューのセットを単一のクラスにまとめることができ、URLとロジックをより簡潔で保守しやすくすることができます。これらはルーターと連携してURLパターンを自動生成します。
  • 認証(Authentication): ユーザーまたはクライアントの身元を確認するプロセスです。DRF では、認証スキームはリクエストを行っているのが「誰」であるかを決定します。DRF は、API エンドポイントを保護するために、ビューやビューセットに容易に組み込むことができるさまざまな認証クラス(例:Token、Session、Basic)を提供します。
  • パーミッション(Permissions): 認証されたユーザーまたはクライアントが「何」を行うことを許可されているかを決定するプロセスです。ユーザーが認証された後、DRF のパーミッションクラスは、ユーザーが特定の操作を特定の操作に対して実行する同意を得ているかどうかを判断します。

シリアライザー:データ変換レイヤー

シリアライザーは、DRF における最も基本的なビルディングブロックであり、Python オブジェクト/データベースモデルと、API クライアントが消費するデータ形式の間の翻訳者として機能します。

原理と実装

シリアライザーは、主に 2 つの操作を実行するように設計されています。

  1. シリアライゼーション: Python オブジェクト(Django モデルインスタンスなど)を、API レスポンス用の JSON や XML のような形式に変換します。
  2. デシリアライゼーション: API リクエストからの着信データを検証し、データベース操作用の Python オブジェクトに変換します。

DRF はいくつかの種類のシリアライザーを提供しており、ModelSerializer が Django モデルへの直接マッピングで最も一般的です。

例:シンプルなブログ記事 API

Django アプリケーションに Post モデルがあると想像してみましょう。

# blog/models.py
from django.db import models
from django.contrib.auth.models import User

class Post(models.Model):
    title = models.CharField(max_length=200)
    content = models.TextField()
    author = models.ForeignKey(User, on_delete=models.CASCADE)
    created_at = models.DateTimeField(auto_now_add=True)
    updated_at = models.DateTimeField(auto_now=True)

    def __str__(self):
        return self.title

次に、この Post モデルのシリアライザーを作成しましょう。

# blog/serializers.py
from rest_framework import serializers
from .models import Post

class PostSerializer(serializers.ModelSerializer):
    author = serializers.ReadOnlyField(source='author.username') # IDの代わりにユーザー名を表示

    class Meta:
        model = Post
        fields = ['id', 'title', 'content', 'author', 'created_at', 'updated_at']
        read_only_fields = ['created_at', 'updated_at'] # これらのフィールドはサーバーによって設定されます

この PostSerializer では:

  • serializers.ModelSerializerPost モデルからフィールドを自動的に推測します。
  • author = serializers.ReadOnlyField(source='author.username')author フィールドをカスタマイズして、プライマリキーの代わりに著者のユーザー名を表示し、読み取り専用にします。
  • fields は含めるフィールドを明示的にリストします。
  • read_only_fields は特定のフィールドを読み取り専用としてマークし、クライアントが直接変更できないようにします。

応用

Post オブジェクトをクライアントに送信する必要がある場合、PostSerializer はそれを辞書に変換し、JSON としてレンダリングできます。クライアントが JSON データを送信して Post を作成または更新する場合、シリアライザーはこのデータを定義されたフィールドとデータ型に対して検証してから、データベースに保存できるようになります。

ビューセット:API エンドポイントのオーケストレーション

ビューセットは、標準的な Django ビューよりも高レベルの抽象化を提供し、単一のクラスでリソースに対する API の動作を定義できるようにします。

原理と実装

個別の listcreateretrieveupdatedestroy ビューを記述する代わりに、ビューセットはこれらの操作を組み合わせます。このアプローチは、DRF のルーターと組み合わせると、特にボイラープレートコードを大幅に削減します。

例:シリアライザーとビューセットの統合

# blog/views.py
from rest_framework import viewsets
from rest_framework import permissions # パーミッションをインポート
from .models import Post
from .serializers import PostSerializer

class PostViewSet(viewsets.ModelViewSet):
    queryset = Post.objects.all().order_by('-created_at')
    serializer_class = PostSerializer
    permission_classes = [permissions.IsAuthenticatedOrReadOnly] # デフォルトのパーミッション

    def perform_create(self, serializer):
        serializer.save(author=self.request.user) # ログイン中のユーザーを著者として割り当てる

そして urls.py で配線します。

# drf_project/urls.py(メインプロジェクトの urls.py)
from django.contrib import admin
from django.urls import path, include
from rest_framework.routers import DefaultRouter
from blog.views import PostViewSet

router = DefaultRouter()
router.register(r'posts', PostViewSet)

urlpatterns = [
    path('admin/', admin.site.urls),
    path('api/', include(router.urls)),
]

PostViewSet では:

  • queryset は、オブジェクトを取得するための基本クエリセットを定義します。
  • serializer_classPostViewSetPostSerializer にリンクします。
  • permission_classes は、これらのリソースに誰がアクセスして変更できるかを定義します(次のセクションで詳しく説明します)。
  • perform_create(self, serializer) は、オブジェクト作成中にカスタムロジックを挿入できるようにするオーバーライドメソッドです。この場合、新しい投稿の author を現在ログインしているユーザーに自動的に設定します。

routers.DefaultRouter を使用することで、DRF は posts エンドポイント(例:リスト/作成の場合は /api/posts/、取得/更新/削除の場合は /api/posts/<id>/)のすべての標準 CRUD 操作の URL を自動生成します。

応用

このセットアップにより、開発者は最小限のコードでモデルの完全な CRUD 機能を提供できます。これは、DRY(Don't Repeat Yourself)原則に準拠し、特に多くのリソースを持つアプリケーションで API エンドポイント管理を簡素化します。

認証:API の保護

認証は、API への最初の防御線であり、リソースにアクセスしようとしているクライアントの身元を確認します。

原理と実装

DRF の認証システムはプラグイン可能で、異なる認証スキームを簡単に切り替えたり組み合わせたりできます。リクエストが到着すると、DRF は定義された認証クラスを反復処理し、いずれかがリクエストを正常に認証するまで続行します。

一般的な DRF 認証スキームには以下が含まれます。

  • SessionAuthentication: Django のセッションシステムを使用するブラウザベースのクライアントに最適です。
  • TokenAuthentication: 各リクエストに一意のトークンが送信されるモバイルおよび SPA クライアントに人気のある選択肢です。
  • BasicAuthentication: ユーザー名/パスワードの資格情報を各リクエストとともに送信します。通常は HTTPS を介します。

トークンベースの認証を統合してみましょう。

1. INSTALLED_APPSrest_framework.authtoken を追加します。

# drf_project/settings.py
INSTALLED_APPS = [
    # ...
    'rest_framework',
    'rest_framework.authtoken', # TokenAuthentication 用
    # ...
]

2. DRF の認証を設定します。

# drf_project/settings.py
REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework.authentication.TokenAuthentication',
        'rest_framework.authentication.SessionAuthentication', # オプション、ブラウザAPIアクセス用
    ],
    'DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permissions.IsAuthenticated', # デフォルトで認証を要求
    ]
}

3. ユーザーのトークンを生成します(例:ユーザー作成時またはログイン時)。

# トークン生成のエンドポイントを追加するかもしれません
# blog/views.py(または専用の認証アプリ)
from rest_framework.authtoken.views import ObtainAuthToken
from rest_framework.authtoken.models import Token
from rest_framework.response import Response

class CustomAuthToken(ObtainAuthToken):
    """
    認証トークンを取得するためのカスタムビュー。
    ログイン成功時に、ユーザーIDとトークンを返します。
    """
    def post(self, request, *args, **kwargs):
        serializer = self.serializer_class(data=request.data,
                                           context={'request': request})
        serializer.is_valid(raise_exception=True)
        user = serializer.validated_data['user']
        token, created = Token.objects.get_or_create(user=user)
        return Response({
            'token': token.key,
            'user_id': user.pk,
            'email': user.email
        })

# drf_project/urls.py
# ...
from blog.views import CustomAuthToken
# ...
urlpatterns = [
    # ...
    path('api/token-auth/', CustomAuthToken.as_view()),
]

これで、クライアントはユーザー名とパスワードを送信する POST リクエストを /api/token-auth/ に送信してトークンを取得できます。後続のリクエストは、Authorization: Token <your_token_key> ヘッダーを含める必要があります。

応用

認証は、機密データを保護し、API 機能へのアクセスを制御するために不可欠です。レート制限のある公開 API を構築する場合でも、プライベートな内部サービスを構築する場合でも、堅牢な認証により、承認されたユーザーのみがシステムと対話できるようになります。

パーミッション:きめ細かなアクセス制御

ユーザーが認証された後、パーミッションクラスは、どのリソースにアクセスでき、どの操作を実行できるかを決定します。

原理と実装

DRF のパーミッションシステムは、きめ細かな制御を可能にします。パーミッションクラスは認証後に適用され、各着信リクエストに対して評価されます。

例:カスタムパーミッション

PostViewSetpermissions.IsAuthenticatedOrReadOnly を使用しました。これは、認証されたユーザーはあらゆる操作を実行でき、認証されていないユーザーは読み取り(GET、HEAD、OPTIONS)のみを実行できることを意味します。

投稿の作成者のみがそれを編集/削除できるようにするカスタムパーミッションを作成しましょう。

# blog/permissions.py
from rest_framework import permissions

class IsAuthorOrReadOnly(permissions.BasePermission):
    """
    オブジェクトの作成者のみがそれを編集できるようにするためのカスタムパーミッション。
    """
    def has_object_permission(self, request, view, obj):
        # 読み取りパーミッションはどのリクエストにも許可されるため、
        # GET、HEAD、または OPTIONS リクエストは常に許可します。
        if request.method in permissions.SAFE_METHODS:
            return True

        # 書き込みパーミッションは投稿の作成者のみに許可されます。
        return obj.author == request.user

これで、PostViewSet にこのカスタムパーミッションを使用するように更新します。

# blog/views.py
# ...
from .permissions import IsAuthorOrReadOnly # カスタムパーミッションをインポート

class PostViewSet(viewsets.ModelViewSet):
    queryset = Post.objects.all().order_by('-created_at')
    serializer_class = PostSerializer
    permission_classes = [IsAuthorOrReadOnly] # カスタムパーミッションを使用
    # ...(perform_create メソッドは同じままです)

応用

カスタムパーミッションは、アクセス制御に関する複雑なビジネスロジックを実装するために非常に役立ちます。ユーザーが許可されたデータと機能のみと対話することを保証し、API のセキュリティと整合性を向上させます。

結論

Django REST Framework は、開発者が驚くほどの効率で強力でスケーラブルで安全な Web API を構築できるようにします。そのコアコンポーネントであるシリアライザー(データ変換用)、ビューセット(API エンドポイント作成の合理化用)、そして認証とパーミッションの堅牢なシステムを理解し効果的に活用することで、機能的で保守しやすい API を作成できます。DRF は、データモデルを動的な API リソースに変換するための不可欠なツールを提供し、さまざまなクライアントアプリケーションにサービスを提供する準備ができています。

Share this article

HackerNews

More Posts from Leapcell

cover

FastAPI のパワーを依存性注入で解き放つ

cover

DjangoおよびFlaskでのCeleryを使用した非同期タスク処理

Popular Posts