GraphQL 与 REST：API 设计范式的对比与选择

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

1668 字

5 分钟

GraphQL 与 REST：API 设计范式的对比与选择

2024-03-12

Web 技术深入

Web

/

底层原理

某电商平台的移动端首页需要展示用户信息、推荐商品列表和未读通知数量。使用 REST API 时，前端需要发起三个独立请求，且每个端点返回的数据包含大量不需要的字段。移动端团队因此推动迁移到 GraphQL，期望一次请求获取所有数据。然而上线后，GraphQL 的 N+1 查询问题导致后端数据库负载飙升，响应时间反而变慢了。这个真实案例说明，GraphQL 与 REST 并非简单的优劣关系，而是各有适用场景的设计范式。

一、GraphQL 核心概念#

1. Schema 定义#

Schema 是 GraphQL 的类型系统核心，定义了 API 的所有数据类型和操作入口。一个完善的 Schema 应该包含标量、枚举、接口、联合类型等高级特性：

1
# 自定义标量
2
scalar DateTime
3
scalar JSON
4

5
# 枚举类型
6
enum UserRole {
7
  ADMIN
8
  EDITOR
9
  VIEWER
10
}
11

12
enum PostStatus {
13
  DRAFT
14
  PUBLISHED
15
  ARCHIVED
16
}
17

18
# 接口定义
19
interface Node {
20
  id: ID!
21
  createdAt: DateTime!
22
  updatedAt: DateTime!
23
}
24

25
# 核心业务类型实现接口
26
type User implements Node {
27
  id: ID!
28
  name: String!
29
  email: String!
30
  role: UserRole!
31
  posts: [Post!]!
32
  friends: [User!]!
33
  createdAt: DateTime!
34
  updatedAt: DateTime!
35
}
36

37
type Post implements Node {
38
  id: ID!
39
  title: String!
40
  content: String!
41
  status: PostStatus!
42
  author: User!
43
  tags: [String!]!
44
  createdAt: DateTime!
45
  updatedAt: DateTime!
46
}
47

48
# 联合类型——搜索结果可以是多种类型
49
union SearchResult = User | Post
50

51
# 查询入口
52
type Query {
53
  user(id: ID!): User
54
  users(limit: Int = 20, offset: Int = 0): [User!]!
55
  post(id: ID!): Post
56
  search(keyword: String!): [SearchResult!]!
57
}
58

59
# 变更入口
60
type Mutation {
61
  createUser(input: CreateUserInput!): User!
62
  updatePost(id: ID!, input: UpdatePostInput!): Post!
63
  deletePost(id: ID!): Boolean!
64
}
65

66
# 输入类型
67
input CreateUserInput {
68
  name: String!
69
  email: String!
70
  role: UserRole = VIEWER
71
}
72

73
input UpdatePostInput {
74
  title: String
75
  content: String
76
  status: PostStatus
77
}

2. 查询示例#

GraphQL 的核心优势在于客户端可以精确指定需要的字段，一个请求即可获取嵌套数据：

1
# 获取用户及其文章和作者信息
2
query GetUserWithPosts($userId: ID!) {
3
  user(id: $userId) {
4
    name
5
    email
6
    role
7
    posts(limit: 10) {
8
      title
9
      status
10
      tags
11
      author {
12
        name
13
      }
14
    }
15
  }
16
}
17

18
# 使用片段（Fragment）复用字段选择
19
fragment UserFields on User {
20
  id
21
  name
22
  email
23
  role
24
}
25

26
query GetUsers {
27
  users(limit: 5) {
28
    ...UserFields
29
  }
30
}
31

32
# 联合类型查询需要内联片段
33
query Search($keyword: String!) {
34
  search(keyword: $keyword) {
35
    ... on User {
36
      name
37
      email
38
    }
39
    ... on Post {
40
      title
41
      status
42
    }
43
  }
44
}

对比 REST 获取同样的数据，需要多次请求：

1
# REST 方式：需要多个请求
2
GET /api/users/1                    # 获取用户信息
3
GET /api/users/1/posts?limit=10     # 获取用户文章
4
GET /api/posts/1/author             # 每篇文章的作者信息（N+1）

3. Mutation 与错误处理#

1
mutation CreatePost($input: CreateUserInput!) {
2
  createUser(input: $input) {
3
    id
4
    name
5
    email
6
  }
7
}

GraphQL 的错误处理与 REST 截然不同：

1
{
2
  "data": null,
3
  "errors": [
4
    {
5
      "message": "Email already exists",
6
      "locations": [{ "line": 2, "column": 3 }],
7
      "path": ["createUser"],
8
      "extensions": {
9
        "code": "DUPLICATE_EMAIL",
10
        "timestamp": "2026-03-19T10:00:00Z"
11
      }
12
    }
13
  ]
14
}

即使部分字段出错，GraphQL 也能返回部分成功数据，这是 REST 做不到的。

二、REST 与 GraphQL 深度对比#

1. 核心差异#

特性	REST	GraphQL
数据获取	多端点	单端点
字段控制	固定返回	精确指定
类型安全	弱（OpenAPI 补充）	Schema 强类型
学习曲线	低	中
缓存	HTTP 缓存天然支持	需客户端缓存
实时性	SSE/WebSocket	订阅
版本管理	URL 版本化	Schema 演进
文档	需额外生成	内省自动生成
过度获取	常见	按需获取
欠获取	常见	按需获取

2. 版本管理对比#

REST 通常通过 URL 管理版本：

1
# REST 版本管理
2
GET /api/v1/users/1
3
GET /api/v2/users/1
4

5
# 旧版本维护成本高，v1 和 v2 可能长期并存

GraphQL 通过 Schema 演进避免版本爆炸：

1
# 旧字段可以标记为废弃，无需删除
2
type User {
3
  name: String! @deprecated(reason: "Use displayName instead")
4
  displayName: String!
5
}
6

7
# 客户端有充足时间迁移，服务端无需维护多版本

3. 典型请求对比#

以一个博客应用为例，移动端首页需要展示：用户信息、文章列表、通知数量。

REST 方式：

1
GET /api/users/me
2
GET /api/posts?limit=20&sort=-createdAt
3
GET /api/notifications/count?unread=true
4
# 3 次请求，且每个端点可能返回多余字段

GraphQL 方式：

1
query HomePage {
2
  me {
3
    name
4
    avatar
5
  }
6
  posts(limit: 20, sort: "-createdAt") {
7
    title
8
    excerpt
9
    author { name }
10
  }
11
  notifications(unread: true) {
12
    totalCount
13
  }
14
}
15
# 1 次请求，精确获取所需字段

三、Resolver 与 N+1 问题#

1. Resolver 实现#

Resolver 是 GraphQL 的字段解析函数，每个字段都可以有独立的 Resolver：

1
from typing import List
2
from graphql import GraphQLResolveInfo
3

4
async def resolve_user(root, info: GraphQLResolveInfo, id: str):
5
    return await db.users.find_by_id(id)
6

7
async def resolve_user_posts(user, info: GraphQLResolveInfo):
8
    return await db.posts.find_by_author(user.id)
9

10
async def resolve_post_author(post, info: GraphQLResolveInfo):
11
    return await db.users.find_by_id(post.author_id)
12

13
# Schema 与 Resolver 绑定
14
resolvers = {
15
    "Query": {
16
        "user": resolve_user,
17
    },
18
    "User": {
19
        "posts": resolve_user_posts,
20
    },
21
    "Post": {
22
        "author": resolve_post_author,
23
    },
24
}

2. N+1 问题详解#

N+1 是 GraphQL 最常见的性能陷阱。查询一篇文章列表时，每篇文章都要单独查一次作者：

1
# 原始方式：N+1 查询
2
posts = await Post.all()  # 1 次查询，返回 100 篇文章
3
for post in posts:
4
    # 每篇文章触发 1 次 Resolver，查询 1 次数据库
5
    author = await User.get(post.author_id)  # 100 次查询
6
# 总计：101 次数据库查询

这在 REST 中不会出现，因为 REST 端点通常会 join 查询返回完整数据。但在 GraphQL 中，Resolver 是按字段独立执行的，N+1 几乎不可避免。

3. DataLoader 批量解决#

DataLoader 通过批量加载和缓存两个机制解决 N+1 问题：

1
from dataloader import DataLoader
2

3
class UserLoader(DataLoader):
4
    async def batch_load_fn(self, user_ids: List[str]):
5
        # 一次查询获取所有用户
6
        users = await User.get_batch(user_ids)
7
        # 必须按 user_ids 顺序返回结果
8
        user_map = {u.id: u for u in users}
9
        return [user_map.get(uid) for uid in user_ids]
10

11
# 在 Resolver 中使用
12
async def resolve_post_author(post, info):
13
    loader = info.context["user_loader"]
14
    return await loader.load(post.author_id)
15

16
# DataLoader 会将同一 tick 内的所有 load 调用合并
17
# 100 个 load(author_id) -> 1 次 batch_load_fn 调用
18
# 总查询数从 101 降到 2

DataLoader 的工作原理：

1
请求进入 -> Resolver 1 调用 load(1)
2
         -> Resolver 2 调用 load(2)
3
         -> Resolver 3 调用 load(3)
4
         -> ...
5
         -> 事件循环下一个 tick
6
         -> DataLoader 收集 [1, 2, 3, ...]
7
         -> 调用 batch_load_fn([1, 2, 3, ...])
8
         -> 一次批量查询，分发结果给各 Resolver

4. 其他 N+1 解决方案#

方案	优点	缺点
DataLoader	通用、框架无关	需要手动维护 Loader
ORM 预加载	简单直接	可能过度加载不需要的数据
手写 SQL Join	性能最优	灵活性差，维护成本高
Hasura/PostGraphile	自动优化	绑定特定数据库

四、订阅机制#

GraphQL 订阅基于 WebSocket 实现服务端推送。

1. WebSocket 订阅#

1
subscription onNewComment($postId: ID!) {
2
  newComment(postId: $postId) {
3
    id
4
    content
5
    author { name }
6
  }
7
}

2. 订阅实现原理#

1
# 服务端订阅 Resolver（基于 asyncio）
2
async def subscribe_new_comment(root, info, postId):
3
    async for comment in comment_event_stream(postId):
4
        yield comment
5

6
# 客户端连接管理
7
class SubscriptionManager:
8
    def __init__(self):
9
        self.connections = {}
10

11
    async def subscribe(self, ws, subscription_id, query):
12
        # 验证查询、建立订阅
13
        async for result in execute_subscription(query):
14
            await ws.send_json(result)
15

16
    async def unsubscribe(self, subscription_id):
17
        # 清理资源
18
        pass

3. 订阅 vs SSE vs WebSocket#

特性	GraphQL 订阅	SSE	原生 WebSocket
方向	服务端推送	服务端推送	双向
协议	WebSocket	HTTP	WebSocket
类型安全	Schema 保证	无	无
重连	框架内置	浏览器自动重连	需手动实现
过滤	参数化	需自行实现	需自行实现

五、缓存策略#

1. HTTP 缓存 vs GraphQL 缓存#

策略	说明	适用场景
GET 查询	HTTP 缓存（Cache-Control）	REST API
Apollo Normalize	客户端归一化缓存	GraphQL SPA
Redis 字段缓存	字段级别 TTL	服务端 Resolver
Persisted Queries	预编译查询 + 白名单	生产环境
CDN 边缘缓存	缓存完整响应	公共数据

2. Apollo 客户端缓存#

Apollo Client 使用归一化缓存，以 __typename:id 为键存储每个对象：

1
// Apollo 缓存自动归一化
2
const cache = new InMemoryCache({
3
  typePolicies: {
4
    Query: {
5
      fields: {
6
        // 局部状态与远程数据合并
7
        posts: {
8
          keyArgs: ["sort", "filter"],
9
          merge(existing = [], incoming) {
10
            return [...existing, ...incoming];
11
          },
12
        },
13
      },
14
    },
15
  },
16
});
17

18
// 手动更新缓存
19
cache.updateQuery({ query: GET_USER }, (data) => ({
20
  ...data,
21
  user: { ...data.user, name: "New Name" },
22
}));

3. 服务端缓存#

1
from functools import lru_cache
2
import redis
3

4
# Resolver 级别缓存
5
redis_client = redis.Redis()
6

7
async def resolve_trending_posts(root, info):
8
    cache_key = "trending:posts"
9
    cached = await redis_client.get(cache_key)
10
    if cached:
11
        return json.loads(cached)
12

13
    posts = await db.posts.find_trending()
14
    await redis_client.setex(cache_key, 300, json.dumps(posts))  # 5 分钟 TTL
15
    return posts

4. Persisted Queries#

生产环境中，将查询语句预先注册到服务端，客户端只发送查询 ID：

1
# 服务端：查询白名单
2
PERSISTED_QUERIES = {
3
    "hash_abc123": "query GetUser($id: ID!) { user(id: $id) { name email } }",
4
}
5

6
async def execute_persisted_query(query_id, variables):
7
    query = PERSISTED_QUERIES.get(query_id)
8
    if not query:
9
        raise ValueError("Unknown query")
10
    return await execute(query, variables)
11

12
# 客户端只发送 ID，减少网络传输，防止恶意查询

六、Schema 设计模式#

1. 命名空间与模块化#

大型项目需要按业务领域拆分 Schema：

1
# 用户模块
2
extend type Query {
3
  user(id: ID!): User
4
}
5

6
# 文章模块
7
extend type Query {
8
  post(id: ID!): Post
9
  posts(limit: Int): [Post!]!
10
}

1
# Python 中使用 Schema Stitching 或 Federation
2
from ariadne import make_executable_schema
3

4
user_schema = load_schema_from_path("schemas/user.graphql")
5
post_schema = load_schema_from_path("schemas/post.graphql")
6

7
schema = make_executable_schema([user_schema, post_schema], resolvers)

2. Relay 连接规范#

分页是 API 的核心需求，Relay 规范定义了标准的分页结构：

1
type Query {
2
  posts(first: Int, after: String, last: Int, before: String): PostConnection!
3
}
4

5
type PostConnection {
6
  edges: [PostEdge!]!
7
  pageInfo: PageInfo!
8
  totalCount: Int!
9
}
10

11
type PostEdge {
12
  node: Post!
13
  cursor: String!
14
}
15

16
type PageInfo {
17
  hasNextPage: Boolean!
18
  hasPreviousPage: Boolean!
19
  startCursor: String
20
  endCursor: String
21
}

3. 设计模式总结#

模式	适用场景	关键点
命名空间	多业务线	extend type 拆分
接口与联合	抽象类型	避免过度使用，保持简单
Relay 连接	分页	cursor 优于 offset
输入类型	Mutation 参数	独立 Input 类型
废弃标记	Schema 演进	@deprecated 渐进迁移

七、安全考量#

1. 查询深度限制#

恶意查询可以无限嵌套，造成 DoS 攻击：

1
# 限制查询深度
2
from graphql import validate, depth_limit_rule
3

4
max_depth = 10
5
rules = [depth_limit_rule(max_depth)]
6

7
def validate_query(query):
8
    errors = validate(schema, parse(query), rules)
9
    if errors:
10
        raise ValueError(f"Query too deep: {errors}")

2. 查询复杂度分析#

1
# 基于字段成本计算查询复杂度
2
from graphql import cost_analysis
3

4
max_cost = 1000
5
cost_map = {
6
    "User": {"fields": {"posts": {"multiplier": "limit", "cost": 5}}},
7
    "Query": {"fields": {"users": {"multiplier": "limit", "cost": 10}}},
8
}
9

10
def validate_cost(query):
11
    cost = calculate_cost(query, cost_map)
12
    if cost > max_cost:
13
        raise ValueError(f"Query cost {cost} exceeds limit {max_cost}")

3. 安全策略汇总#

策略	防御目标	实现方式
深度限制	嵌套查询 DoS	max_depth = 10
复杂度限制	宽查询 DoS	max_cost = 1000
Persisted Queries	恶意查询注入	白名单机制
超时控制	长时间查询	请求级 timeout
速率限制	查询频率	IP/Token 维度限流
Introspection 关闭	信息泄露	生产环境禁用

八、选型决策#

1. 何时选择 GraphQL#

多端差异大：移动端、Web 端、小程序需要的字段差异显著
复杂嵌套关系：数据实体之间有大量关联关系
前端驱动：前端团队需要灵活获取数据
内部微服务：API Gateway 聚合多个后端服务
实时需求强：订阅机制天然支持实时数据

2. 何时选择 REST#

简单 CRUD：资源明确，操作标准化
公共 API：第三方集成，REST 更通用
文件上传下载：GraphQL 对二进制流支持不佳
HTTP 缓存优先：CDN / 代理层缓存需求强
团队经验：团队对 REST 更熟悉，迁移成本高

3. 混合方案#

实际项目中，GraphQL 和 REST 可以共存：

1
/api/v1/*          -> REST（文件上传、Webhook 回调）
2
/graphql           -> GraphQL（数据查询、实时订阅）
3
/health /metrics   -> REST（运维接口）

4. 决策矩阵#

场景	推荐	理由
移动端优化	GraphQL	减少请求数和传输量
简单 CRUD	REST	开发快，工具链成熟
复杂嵌套关系	GraphQL	一次查询获取关联数据
公共 API	REST	通用性强，学习成本低
内部微服务	GraphQL	API Gateway 聚合能力强
文件上传	REST + GraphQL	REST 处理上传，GraphQL 返回结果
实时数据	GraphQL	订阅机制原生支持
CDN 缓存场景	REST	HTTP 缓存天然友好