转载

记录使用 Flask 的点滴

喜欢 Flask 经典的 RestFul 设计风格，以及它与 Gevent 的优雅结合，可以帮助我们轻松构建异步非阻塞应用，烂笔头记下一些较好的实践。

消息反馈
Flask 上下文
注册 JinJia 模板过滤器
itsdangerous 生成过期时间 Json 签名
一种较好的项目组织方式
BluePrint 的好
Json 返回
自定义出错页面
WTF 跨站脚本防御

消息反馈

Flask 提供了一个非常简单的方法来使用闪现系统向用户反馈信息。闪现系统使得在一个请求结束的时候记录一个信息，然后在且仅仅在下一个请求中访问这个数据。这通常配合一个布局模板实现

文档链接

# 视图函数需要调用 flash('your response message for user')  # 前端页面调用 for message in get_flashed_messages() 就可以输出反馈信息

Flask 上下文

有两种上下文：程序上下文，请求上下文

current_app：程序级别上下文，当前激活程序的实例。
g: 请求级别的上下文
request: 是请求级别的上下文，封装了客户端发出的 Http 请求中的内容
session: 用户会话，用于存储请求之间需要记住的键值对

注册 JinJia 模板过滤

def reverse_filter(s):     return s[::-1]  app.jinja_env.filters['reverse'] = reverse_filter

itsdangerous 生成过期时间 Json 签名

serialaizer = Serializer(SECRET_KEY, expires_in=EXPIRES) info = {'id':'xxx'} session = serialaizer.dumps(info)  # 判断 session 时间 info = None try:     info = serialaizer.loads(session) except Exception:     return jsonify(ERR_SESS_TIMEOUT)

用途：生成一个有时间限制的签名，用于API 访问的验证码，如果过期，提醒用户重新登录

一种较好的项目组织方式

▾ app/     ▾ controlers/         ▾ admin/                    #管理后台的蓝图控制器             ▾ forms/                #表单限制文件                 __init__.py                      xx.py            # blueprint 文件             __init__.py             administrator.py         ▾ api/                      # API 控制器             __init__.py         ▾ site/                     # 站点控制器             __init__.py             # blueprint 文件             xx.py         __init__.py         error.py     ▸ models/         # SQLAlchemy 的各类模型     ▸ static/         # 需要的静态资源，css, js, imgs     ▾ templates/   # 前端页面，跟 controller 分类一一对应         ▸ admin/         ▸ error/         ▸ site/     ▸ utilities/    #  功能函数       __init__.py       # 初始化app需要的各种插件，比如 redis, db, 注册蓝图 run.py                  # 相当于 main 函数,创建 app, 执行app.run() 函数 settings.py             # 配置文件

BluePrint 的好

每个 Blueprint 就像独立的 Application, 可以管理自己的模板, 路由, 反向路由url_for, 甚至是静态文件，最后统一挂载到 Application 下。从头到尾都是 RestFul。

在创建 app (app/ init .py) 的时候调用如下:

from app.controllers.site.console import console  app.register_blueprint(console, url_prefix='/console')

视图文件 (app/controllers/site/console.py):

console = BLueprint('console', __name__)

Json 返回

from flask import jsonify return jsonify({'code': 0})

自定义出错页面

@app.errorhandler(404) def not_found(error):     return render_template('404.html'), 404  @app.errorhandler(500) def crash(error):     return render_template('5xx.html'), 500

WTF 跨站脚本防御

Flask-WTF 能保护表单免受跨站请求伪造的攻击,恶意网站把请求发送到被攻击者已经登录的其他玩战会引发 CSRF 攻击

app config 文件中，开启 CSRF 开关并配置密钥

CSRF_ENABLED = True SECRET_KEY = 'you-will-never-guess'

表单的定义

from flask.ext.wtf import Form, TextField, BooleanField from flask.ext.wtf import Required class LoginForm(Form):     openid = TextField('openid', validators = [Required()])     remember_me = BooleanField('remember_me', default = False)

页面渲染

<form action="" method="post" name="login">     form.hidden_tag()     <p> Please enter your OpenID:form.openid(size=80)<br></p>     <p>form.remember_me </p>     <p><input type="submit" value="Sign In"></p> </form>

控制器函数

@app.route('/login', methods = ['GET', 'POST']) def login():     form = LoginForm()     if form.validate_on_submit():         flash('Login requested for OpenID="' + form.openid.data))         return redirect('/index')     return render_template('login.html', title = 'Sign In',form = form)

我们在配置中开启了CSRF(跨站伪造请求)功能，模板参数 form.hidden_tag() 会被替换成一个具有防止CSRF功能的隐藏表单字段。在开启了CSRF功能后，所有模板的表单中都需要添加这个模板参数

正文到此结束