Flask Python: Criar API REST do Zero - Tutorial Completo

O Flask é um dos frameworks web mais populares do ecossistema Python. Criado por Armin Ronacher em 2010, ele combina simplicidade com flexibilidade, sendo a escolha ideal tanto para iniciantes quanto para desenvolvedores experientes que precisam de controle granular sobre suas aplicações.

Neste tutorial completo, você vai aprender a criar uma API REST profissional com Flask, desde a configuração inicial até o deployment em produção. Vamos cobrir tudo que você precisa para construir APIs robustas e escaláveis.

🚀 Por Que Escolher Flask para Sua API?

Antes de mergulharmos no código, é importante entender por que o Flask se tornou a escolha de milhões de desenvolvedores worldwide. O Flask oferece uma curva de aprendizado suave, permitindo que você comece a criar aplicações funcionais em poucas horas de estudo.

A filosofia "micro" do Flask significa que você adiciona apenas as funcionalidades que precisa, ao contrário de frameworks como Django que já vêm com tudo integrado. Essa abordagem modular é perfect para APIs REST, onde você tem controle total sobre cada aspecto da aplicação.

Além disso, o Flask possui uma comunidade extremamente ativa e uma documentação exemplar. Recursos como o Flask Mega-Tutorial de Miguel Grinberg são referência obrigatória para qualquer desenvolvedor que quer dominar esse framework.

📦 Instalação e Configuração do Ambiente

Para começar a desenvolver com Flask, você primeiro precisa configurar um ambiente virtual isolado. Isso garante que as dependências do seu projeto não entrem em conflito com outras instalações do Python no seu sistema.

Se você ainda não conhece ambientes virtuais, recomendo ler nosso guia sobre venv Python - Ambiente Virtual para entender esse conceito fundamental. A configuração de um ambiente virtual é considerado uma das melhores práticas no desenvolvimento Python profissional.

# Criar ambiente virtual
python -m venv venv-flask

# Ativar no Windows
venv-flask\Scripts\activate

# Ativar no Linux/Mac
source venv-flask/bin/activate

# Instalar Flask e extensões
pip install flask flask-sqlalchemy flask-jwt-extended flask-cors

O Flask-SQLAlchemy facilita a integração com bancos de dados, enquanto o Flask-JWT-Extended implementa autenticação via JSON Web Tokens. O Flask-CORS permite que sua API seja acessada por aplicações front-end de diferentes domínios.

É importante verificar a versão instalada do Flask para garantir compatibilidade. Execute o comando python -c "import flask; print(flask.__version__)" para confirmar a instalação.

🏗️ Estrrutura do Projeto API REST

Uma boa estrutura de projeto é fundamental para manter o código organizado e escalável. Para APIs Flask, a arquitetura modular com blueprints é Highly Recommended pela comunidade.

Vamos criar a seguinte estrutura de diretórios que separará responsabilidades e facilitará a manutenção do código no futuro:

meu-projeto-flask/
├── app/
│   ├── __init__.py
│   ├── models.py
│   ├── routes/
│   │   ├── __init__.py
│   │   ├── auth.py
│   │   └── products.py
│   └── utils/
├── run.py
└── requirements.txt

Essa estrutura permite que cada módulo seja desenvolvido e testado de forma independente. Os modelos (models) definem a estrutura do banco de dados, enquanto as rotas (routes) agrupam os endpoints da API por funcionalidade.

💻 Criando a Primeira Rota

Vamos começar com o exemplo mais simples possível: uma rota que retorna uma mensagem de boas-vindas. Crie o arquivo app/__init__.py com o seguinte código:

from flask import Flask, jsonify

def create_app():
    app = Flask(__name__)

    @app.route('/')
    def home():
        return jsonify({
            'mensagem': 'Bem-vindo à API Flask!',
            'status': 'online',
            'versao': '1.0.0'
        })

    @app.route('/saude')
    def health_check():
        return jsonify({'status': 'saudável'})

    return app

Crie também o arquivo run.py na raiz do projeto:

from app import create_app

app = create_app()

if __name__ == '__main__':
    app.run(debug=True, port=5000)

Execute o projeto com python run.py e acesso http://localhost:5000 no seu navegador. Você deverá ver a resposta JSON com a mensagem de boas-vindas. O parâmetro debug=True ativa o modo de debug, que reinicia automaticamente o servidor quando você faz alterações no código.

🗄️ Configurando Banco de Dados com SQLAlchemy

O SQLAlchemy é o ORM (Object-Relational Mapper) mais popular do Python. Ele permite que você interaja com bancos de dados usando objetos Python, abstraindo a complexidade das queries SQL.

Vamos configurar um banco de dados SQLite para nossa API. O SQLite é perfect para desenvolvimento e testes, pois não requer instalação de nenhum servidor adicional:

# app/__init__.py atualizado
from flask import Flask
from flask_sqlalchemy import SQLAlchemy
from flask_jwt_extended import JWTManager
from flask_cors import CORS

db = SQLAlchemy()
jwt = JWTManager()

def create_app():
    app = Flask(__name__)

    # Configurações
    app.config['SECRET_KEY'] = 'sua-chave-secreta-aqui'
    app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:///database.db'
    app.config['SQLALCHEMY_TRACK_MODIFICATIONS'] = False

    # Inicializar extensões
    db.init_app(app)
    jwt.init_app(app)
    CORS(app)

    # Registrar blueprints
    from app.routes import auth_bp, products_bp
    app.register_blueprint(auth_bp, url_prefix='/api/auth')
    app.register_blueprint(products_bp, url_prefix='/api/produtos')

    # Criar tabelas
    with app.app_context():
        db.create_all()

    return app

A configuração do banco de dados é um dos aspectos mais importantes do desenvolvimento de APIs. O SQLite é ideal para começar, mas para aplicações em produção você pode facilmente migrar para PostgreSQL ou MySQL alterando apenas a URI de conexão.

Para production deployments, considere usar serviços gerenciados como ElephantSQL ou Railway que oferecem planos gratuitos generosos e fáceis de configurar.

📊 Criando Modelos de Dados

Os modelos definem a estrutura das suas tabelas no banco de dados. Vamos criar modelos para usuários e produtos na nossa API:

# app/models.py
from app import db
from datetime import datetime
from werkzeug.security import generate_password_hash, check_password_hash

class User(db.Model):
    __tablename__ = 'usuarios'

    id = db.Column(db.Integer, primary_key=True)
    username = db.Column(db.String(80), unique=True, nullable=False)
    email = db.Column(db.String(120), unique=True, nullable=False)
    password_hash = db.Column(db.String(256), nullable=False)
    created_at = db.Column(db.DateTime, default=datetime.utcnow)

    def set_password(self, password):
        self.password_hash = generate_password_hash(password)

    def check_password(self, password):
        return check_password_hash(self.password_hash, password)

    def to_dict(self):
        return {
            'id': self.id,
            'username': self.username,
            'email': self.email,
            'created_at': self.created_at.isoformat()
        }

class Product(db.Model):
    __tablename__ = 'produtos'

    id = db.Column(db.Integer, primary_key=True)
    name = db.Column(db.String(100), nullable=False)
    description = db.Column(db.Text)
    price = db.Column(db.Float, nullable=False)
    stock = db.Column(db.Integer, default=0)
    created_at = db.Column(db.DateTime, default=datetime.utcnow)

    def to_dict(self):
        return {
            'id': self.id,
            'nome': self.name,
            'descricao': self.description,
            'preco': self.price,
            'estoque': self.stock,
            'created_at': self.created_at.isoformat()
        }

Aqui we're using Werkzeug's security functions para hashear senhas. Isso é fundamental para a segurança da sua aplicação - nunca armazene senhas em texto plano! O método to_dict() facilita a conversão dos objetos para JSON.

🔐 Implementando Autenticação JWT

JSON Web Tokens (JWT) são o padrão moderno para autenticação em APIs REST. Eles permitem que o servidor verifique a identidade do cliente sem manter sessões ativas.

Vamos implementar o sistema de autenticação com registro e login de usuários:

# app/routes/auth.py
from flask import Blueprint, request, jsonify
from flask_jwt_extended import create_access_token, jwt_required, get_jwt_identity
from app import db
from app.models import User

auth_bp = Blueprint('auth', __name__)

@auth_bp.route('/registro', methods=['POST'])
def register():
    data = request.get_json()

    if not data or not data.get('username') or not data.get('password'):
        return jsonify({'erro': 'Dados incompletos'}), 400

    if User.query.filter_by(username=data['username']).first():
        return jsonify({'erro': 'Usuário já existe'}), 409

    if User.query.filter_by(email=data['email']).first():
        return jsonify({'erro': 'Email já está em uso'}), 409

    new_user = User(
        username=data['username'],
        email=data['email']
    )
    new_user.set_password(data['password'])

    db.session.add(new_user)
    db.session.commit()

    return jsonify({'mensagem': 'Usuário criado com sucesso'}), 201

@auth_bp.route('/login', methods=['POST'])
def login():
    data = request.get_json()

    user = User.query.filter_by(username=data.get('username')).first()

    if not user or not user.check_password(data.get('password')):
        return jsonify({'erro': 'Credenciais inválidas'}), 401

    access_token = create_access_token(identity=user.id)

    return jsonify({
        'access_token': access_token,
        'user': user.to_dict()
    }), 200

@auth_bp.route('/perfil', methods=['GET'])
@jwt_required()
def profile():
    current_user_id = get_jwt_identity()
    user = User.query.get(current_user_id)

    return jsonify(user.to_dict()), 200

A proteção de rotas com @jwt_required() garante que apenas usuários autenticados possam acessar endpoints específicos. O JWT é amplamente suportado e recomendado por especialistas em segurança como a melhor opção para APIs modernas.

Para mais informações sobre autenticação segura, consulte a OWASP Authentication Cheat Sheet, que apresenta as melhores práticas de segurança para sistemas de autenticação.

📝 Criando Rotas de Produtos (CRUD Completo)

O padrão CRUD (Create, Read, Update, Delete) é a espinha dorsal de qualquer API. Vamos implementar todas as operações para gerenciamento de produtos:

# app/routes/products.py
from flask import Blueprint, request, jsonify
from flask_jwt_extended import jwt_required, get_jwt_identity
from app import db
from app.models import Product

products_bp = Blueprint('products', __name__)

@products_bp.route('/', methods=['GET'])
def list_products():
    products = Product.query.all()
    return jsonify([p.to_dict() for p in products]), 200

@products_bp.route('/<int:product_id>', methods=['GET'])
def get_product(product_id):
    product = Product.query.get_or_404(product_id)
    return jsonify(product.to_dict()), 200

@products_bp.route('/', methods=['POST'])
@jwt_required()
def create_product():
    data = request.get_json()

    if not data.get('name') or not data.get('price'):
        return jsonify({'erro': 'Nome e preço são obrigatórios'}), 400

    product = Product(
        name=data['name'],
        description=data.get('description', ''),
        price=data['price'],
        stock=data.get('stock', 0)
    )

    db.session.add(product)
    db.session.commit()

    return jsonify(product.to_dict()), 201

@products_bp.route('/<int:product_id>', methods=['PUT'])
@jwt_required()
def update_product(product_id):
    product = Product.query.get_or_404(product_id)
    data = request.get_json()

    product.name = data.get('name', product.name)
    product.description = data.get('description', product.description)
    product.price = data.get('price', product.price)
    product.stock = data.get('stock', product.stock)

    db.session.commit()

    return jsonify(product.to_dict()), 200

@products_bp.route('/<int:product_id>', methods=['DELETE'])
@jwt_required()
def delete_product(product_id):
    product = Product.query.get_or_404(product_id)

    db.session.delete(product)
    db.session.commit()

    return jsonify({'mensagem': 'Produto excluído com sucesso'}), 200

Este código implementa todas as operações CRUD com proteção de autenticação. Para operações de criação, atualização e exclusão, o usuário precisa estar logado (token JWT válido).

A validação de dados é crucial para a segurança da API. Sempre valide os dados recebidos antes de processá-los. Bibliotecas como Marshmallow são excelentes para criar schemas de validação robustos.

🔍 Validação e Tratamento de Erros

Uma API profissional deve tratar erros de forma adequada e retornar códigos HTTP corretos. Vamos implementar um handler de erros global:

# Adicione no app/__init__.py
@app.errorhandler(404)
def not_found(error):
    return jsonify({'erro': 'Recurso não encontrado'}), 404

@app.errorhandler(500)
def internal_error(error):
    db.session.rollback()
    return jsonify({'erro': 'Erro interno do servidor'}), 500

@app.route('/api/produtos/buscar')
def search_products():
    query = request.args.get('q', '')
    page = request.args.get('page', 1, type=int)
    per_page = request.args.get('per_page', 10, type=int)

    products = Product.query.filter(
        Product.name.ilike(f'%{query}%')
    ).paginate(page=page, per_page=per_page, error_out=False)

    return jsonify({
        'produtos': [p.to_dict() for p in products.items],
        'total': products.total,
        'pagina': page,
        'total_paginas': products.pages
    }), 200

A paginação é essential para APIs que retornam grandes quantidades de dados. Sem ela, você pode enfrentar problemas de performance e timeout. O SQLAlchemy já fornece suporte nativo para paginação com o método .paginate().

🚀 Deployment e Produção

Quando sua API estiver pronta para produção, você precisará de um servidor robusto. As opções mais populares para deploy de aplicações Flask incluem:

• Render: Platforma gratuita com suporte a Python e deploy automático via GitHub
• Railway: Excelente para aplicações que precisam de banco de dados integrados
• Fly.io: Deploy global com edge computing para baixa latência
• Heroku: Classic option com plano gratuito generoso

Para fazer deploy no Render, por exemplo, você precisará de um arquivo requirements.txt e um Procfile:

# requirements.txt
flask==3.0.0
flask-sqlalchemy==3.1.1
flask-jwt-extended==4.6.0
flask-cors==4.0.0
gunicorn==21.2.0

# Procfile
web: gunicorn run:app --workers 4

O Gunicorn é um servidor WSGI production-ready que substitui o servidor de desenvolvimento do Flask. Ele gerencia múltiplos workers para lidar com várias requisições simultaneamente.

Para configurações de production, nunca use o modo debug e sempre defina variáveis de ambiente para senhas e chaves secretas. Nunca commite credenciais no GitHub!

📈 Boas Práticas e Próximos Passos

Agora que você tem uma API REST funcional com Flask, aqui estão algumas melhorias que você pode implementar:

• Rate Limiting: Limite o número de requisições por usuário para evitar abuse
• Logging: Implemente logs estruturados para monitorar sua aplicação
• Documentation: Use Swagger/OpenAPI para documentar seus endpoints
• Testing: Escreva testes unitários e de integração
• Database Migrations: Use Flask-Migrate para gerenciar mudanças no banco

Para fazer requisições à sua API, você pode usar a biblioteca Python Requests, que é o padrão para comunicação HTTP em Python. Ela permite testar todos os endpoints da sua API de forma programática.

O Flask é incrivelmente versátil e pode ser usado para muito mais do que APIs REST. Você pode criar aplicações web completas, dashboards de dados, chatbots e até mesmo machine learning APIs. A comunidade Python oferece milhares de extensões que expandem as capacidades do framework.

Continue praticando e explorando a documentação oficial do Flask. Com dedicação, você será capaz de criar aplicações web robustas e profissionais em pouco tempo!