Jake Taylor, ага, как-то так REST и устроен - есть некоторое пространство имён, в котором можно ссылаться на отдельные сущности по уникальному идентификатору. Если нужно обеспечить безопасность, чтобы пользователи могли смотреть только свои заказы, то контроллер должен взять пользовательских токен из авторизационного заголовка, получить с его помощью id пользователя запрашивающего заказ, сверить с id владельца заказа и выдать 403-ю ошибку в случае несовпадения.
Вадим, во-первых, вся суть Django в том, чтобы обеспечить разработчику возможность писать прикладной код на более высоком уровне абстракции. Причём практически все механизмы фреймворка построены вокруг ORM. Уход на более низкий уровень превратится в борьбу с фреймворком. Легче тогда взять Flask или Aiohttp. Во-вторых, "не быстрая" - это смотря с чем сравнивать. Если руки прямые, то обеспечить 300 rps одним инстансом вполне реально. А при наличии Celery, memcached и кубика с десятками подов, можно обеспечить обработку десятков тысяч запросов в секунду, как это делает тот же Instagram.
Евгений Лернер, единственные заказчики, который может волновать какая-либо сертификация - это госструктуры, ищущие исполнителей через тендеры. В этом случае выбор свистоперделок зависит от того, что именно компания разрабатывает и на чём.
Александр, тогда надо ещё добавить тег "компьютеры", оно же на компьютере работает, и тег "сети", сайт же в интернете, а также тег "физика", без физики ни сети, ни компьютеры не работает. В общем, я долго могу продолжать )
Zickname, просто прочитайте информацию о теге, подумайте относится ли оно к вашему вопросу. Ну, или можно просто забить и надеяться, что модератор не грохнет вопрос за нарушение пункта 3.1 правил.
/users/1/orders/2тоже возможен в некоторых случаях.