我们已经讨论了如何保存和修改条目上的标签。管理标签的最常见方法之一是使用逗号分隔的文本输入，因此我们可以将标签列为Python，Flask，Web-development。使用WTForms似乎非常简单，因为我们只需使用StringField。然而，由于我们正在处理数据库关系，这意味着我们需要在Tag模型和逗号分隔的字符串之间进行一些处理。

虽然我们可以通过许多方式来实现这一点，但我们将实现一个自定义字段类TagField，它将封装在逗号分隔的标签名称和Tag模型实例之间进行转换的所有逻辑。

另一个选项是在Entry模型上创建一个property。属性看起来像一个普通的对象属性，但实际上是getter和（有时）setter方法的组合。由于WTForms可以自动处理我们的模型属性，这意味着，如果我们在getter和setter中实现我们的转换逻辑，WTForms将正常工作。

让我们首先定义我们的标签字段类。我们需要重写两个重要的方法：

以下是TagField的实现。请注意，我们在处理用户输入时要特别小心，以避免在Tag表中创建重复行。我们还使用Python的set()数据类型来消除用户输入中可能的重复项。将以下类添加到forms.py中的EntryForm上方：

frommodelsimportTagclassTagField(wtforms.StringField):def_value(self):ifself.data:#Displaytagsasacomma-separatedlist.return','.join([tag.namefortaginself.data])return''defget_tags_from_string(self,tag_string):raw_tags=tag_string.split(',')#Filteroutanyemptytagnames.tag_names=[name.strip()fornameinraw_tagsifname.strip()]#Querythedatabaseandretrieveanytagswehavealreadysaved.existing_tags=Tag.query.filter(Tag.name.in_(tag_names))#Determinewhichtagnamesarenew.new_names=set(tag_names)-set([tag.namefortaginexisting_tags])#CreatealistofunsavedTaginstancesforthenewtags.new_tags=[Tag(name=name)fornameinnew_names]#Returnalltheexistingtags+allthenew,unsavedtags.returnlist(existing_tags)+new_tagsdefprocess_formdata(self,valuelist):ifvaluelist:self.data=self.get_tags_from_string(valuelist[0])else:self.data=[]现在，我们只需要将字段添加到EntryForm中。在status字段下面添加以下字段。请注意description关键字参数的使用：

classEntryForm(wtforms.Form):...tags=TagField('Tags',description='Separatemultipletagswithcommas.')为了显示这个有用的description文本，让我们对form_field宏进行快速修改：

{%macroform_field(field)%}{{field.label(class='col-sm-3control-label')}}{{field(class='form-control',**kwargs)}}{%iffield.errors%}{%endif%}{%iffield.description%}{{field.description|safe}}{%endif%}{%forerrorinfield.errors%}{{error}}{%endfor%}{%endmacro%}启动开发服务器，并尝试保存一些标签。您的表单应该看起来像下面的屏幕截图：

我们将通过为网站添加一个图片上传功能来完成表单处理章节。这个功能将是一个简单的视图，接受一个图像文件并将其存储在服务器上的上传目录中。这将使我们能够轻松在博客条目中显示图像。

第一步是创建一个处理图像上传的表单。除了EntryForm，让我们添加一个名为ImageForm的新表单。这个表单将非常简单，包含一个文件输入。我们将使用自定义验证器来确保上传的文件是有效的图像。将以下代码添加到forms.py中：

classImageForm(wtforms.Form):file=wtforms.FileField('Imagefile')在我们添加一个视图来保存表单之前，我们需要知道我们将在哪里保存文件。通常，应用程序的资源（如图像、JavaScript和样式表）都是从一个名为static的单个目录中提供的。通常的做法是在web服务器中覆盖此目录的路径，以便它可以在不经过Python中介的情况下传输此文件，从而使访问速度更快。我们利用static目录来存储我们的图像上传。在博客项目的app目录中，让我们创建一个名为static的新目录和一个子目录images：

(blog)$cd~/projects/blog/blog/app(blog)$mkdir-pstatic/images现在让我们向配置文件中添加一个新值，这样我们就可以轻松地引用磁盘上图像的路径。这样可以简化我们的代码，以后如果我们选择更改此位置，也会更加方便。打开config.py并添加以下值：

classConfiguration(object):...STATIC_DIR=os.path.join(APPLICATION_DIR,'static')IMAGES_DIR=os.path.join(STATIC_DIR,'images')处理文件上传我们现在准备创建一个用于处理图像上传的视图。逻辑将与我们的其他表单处理视图非常相似，唯一的区别是，在验证表单后，我们将把上传的文件保存到磁盘上。由于这些图像是用于我们博客条目的，我将视图添加到entriesblueprint中，可在/entries/image-upload/访问。

我们需要导入我们的新表单以及其他辅助工具。打开blueprint.py并在模块顶部添加以下导入：

importosfromflaskimportBlueprint,flash,redirect,render_template,request,url_forfromwerkzeugimportsecure_filenamefromappimportapp,dbfromhelpersimportobject_listfrommodelsimportEntry,Tagfromentries.formsimportEntryForm,ImageForm在视图列表的顶部，让我们添加新的image-upload视图。重要的是它出现在detail视图之前，否则Flask会错误地将/image-upload/视为博客条目的slug。添加以下视图定义：

@entries.route('/image-upload/',methods=['GET','POST'])defimage_upload():ifrequest.method=='POST':form=ImageForm(request.form)ifform.validate():image_file=request.files['file']filename=os.path.join(app.config['IMAGES_DIR'],secure_filename(image_file.filename))image_file.save(filename)flash('Saved%s'%os.path.basename(filename),'success')returnredirect(url_for('entries.index'))else:form=ImageForm()returnrender_template('entries/image_upload.html',form=form)这里的大部分代码可能看起来很熟悉，值得注意的例外是使用request.files和secure_filename。当文件上传时，Flask会将其存储在request.files中，这是一个特殊的字典，以表单字段的名称为键。我们使用secure_filename进行一些路径连接，以防止恶意文件名，并生成到static/images目录的正确路径，然后将上传的文件保存到磁盘上。就是这么简单。

让我们为我们的图片上传表单创建一个简单的模板。在entries模板目录中创建一个名为image_upload.html的文件，并添加以下代码：

Flask将自动从我们的/static/目录中提供文件。当我们在第十章部署我们的网站时，部署您的应用程序，我们将使用Nginxweb服务器来提供静态资产，但是对于本地开发，Flask使事情变得非常简单。

(blog)$cdstatic/&&find.-typef./fonts/glyphicons-halflings-regular.woff./fonts/glyphicons-halflings-regular.ttf./fonts/glyphicons-halflings-regular.eot./fonts/glyphicons-halflings-regular.svg./images/2012-07-17_16.18.18.jpg./js/jquery-1.10.2.min.js./js/bootstrap.min.js./css/bootstrap.min.css为了将我们的基本模板指向这些文件的本地版本，我们将使用url_for助手来生成正确的URL。打开base.html，删除旧的样式表和JavaScript标签，并用本地版本替换它们：

在本章中，我们添加了各种与网站交互的新方法。现在可以直接通过网站创建和修改内容。我们讨论了如何使用WTForms创建面向对象的表单，包括从视图处理和验证表单数据，以及将表单数据写入数据库。我们还创建了模板来显示表单和验证错误，并使用Jinja2宏来删除重复的代码，使代码更加模块化。然后，我们能够向用户显示单次使用的闪存消息，当他们执行操作时。最后，我们还解释了如何使用WTForms和Flask处理文件上传，并提供静态资产，如JavaScript、样式表和图像上传。

在本章中，我们将向我们的网站添加用户身份验证。能够区分一个用户和另一个用户使我们能够开发一整套新功能。例如，我们将看到如何限制对创建、编辑和删除视图的访问，防止匿名用户篡改网站内容。我们还可以向用户显示他们的草稿帖子，但对其他人隐藏。本章将涵盖向网站添加身份验证层的实际方面，并以讨论如何使用会话跟踪匿名用户结束。

如果您认为还有其他字段可能有用，请随意向此列表添加自己的内容。

现在我们有了字段列表，让我们创建model类。打开models.py，在Tag模型下面，添加以下代码：

classUser(db.Model):id=db.Column(db.Integer,primary_key=True)email=db.Column(db.String(64),unique=True)password_hash=db.Column(db.String(255))name=db.Column(db.String(64))slug=db.Column(db.String(64),unique=True)active=db.Column(db.Boolean,default=True)created_timestamp=db.Column(db.DateTime,default=datetime.datetime.now)def__init__(self,*args,**kwargs):super(User,self).__init__(*args,**kwargs)self.generate_slug()defgenerate_slug(self):ifself.name:self.slug=slugify(self.name)正如您在第二章中所记得的，使用SQLAlchemy的关系数据库，我们需要创建一个迁移，以便将这个表添加到我们的数据库中。从命令行，我们将使用manage.py助手来审查我们的模型并生成迁移脚本：

(blog)$pythonmanage.pydbmigrateINFO[alembic.migration]ContextimplSQLiteImpl.INFO[alembic.migration]Willassumenon-transactionalDDL.INFO[alembic.autogenerate.compare]Detectedaddedtable'user'Generating/home/charles/projects/blog/app/migrations/versions/40ce2670e7e2_.py...done生成迁移后，我们现在可以运行dbupgrade来进行模式更改：

另一方面，Flask-Login不会做以下事情：

让我们开始吧。使用pip安装Flask-Login：

将以下代码添加到app.py。导入放在模块的顶部，其余部分放在末尾：

打开models.py并添加以下代码行：

fromappimportlogin_manager@login_manager.user_loaderdef_user_loader(user_id):returnUser.query.get(int(user_id))现在Flask-Login知道如何将用户ID转换为User对象，并且该用户将作为g.user对我们可用。

打开models.py并向User类添加以下方法：

现在我们已经配置了Flask-Login，让我们添加一些代码，以便我们可以创建一些用户。

创建新用户就像创建条目或标签一样，只有一个例外：我们需要安全地对用户的密码进行哈希处理。您永远不应该以明文形式存储密码，并且由于黑客的技术日益复杂，最好使用强大的加密哈希函数。我们将使用Flask-Bcrypt扩展来对我们的密码进行哈希处理和检查，因此让我们使用pip安装这个扩展：

(blog)$pipinstallflask-bcrypt...SuccessfullyinstalledFlask-BcryptCleaningup...打开app.py并添加以下代码来注册扩展到我们的应用程序：

fromflask.ext.bcryptimportBcryptbcrypt=Bcrypt(app)现在让我们为User对象添加一些方法，以便创建和检查密码变得简单：

fromappimportbcryptclassUser(db.Model):#...columndefinitions,othermethods...@staticmethoddefmake_password(plaintext):returnbcrypt.generate_password_hash(plaintext)defcheck_password(self,raw_password):returnbcrypt.check_password_hash(self.password_hash,raw_password)@classmethoddefcreate(cls,email,password,**kwargs):returnUser(email=email,password_hash=User.make_password(password),**kwargs)@staticmethoddefauthenticate(email,password):user=User.query.filter(User.email==email).first()ifuseranduser.check_password(password):returnuserreturnFalsemake_password方法接受明文密码并返回哈希版本，而check_password方法接受明文密码并确定它是否与数据库中存储的哈希版本匹配。然而，我们不会直接使用这些方法。相反，我们将创建两个更高级的方法，create和authenticate。create方法将创建一个新用户，在保存之前自动对密码进行哈希处理，而authenticate方法将根据用户名和密码检索用户。

通过创建一个新用户来尝试这些方法。打开一个shell，并使用以下代码作为示例，为自己创建一个用户：

importwtformsfromwtformsimportvalidatorsfrommodelsimportUserclassLoginForm(wtforms.Form):email=wtforms.StringField("Email",validators=[validators.DataRequired()])password=wtforms.PasswordField("Password",validators=[validators.DataRequired()])remember_me=wtforms.BooleanField("Rememberme",default=True)提示请注意，WTForms还提供了一个电子邮件验证器。但是，正如该验证器的文档所告诉我们的那样，它非常原始，可能无法捕获所有边缘情况，因为完整的电子邮件验证实际上是非常困难的。

为了在正常的WTForms验证过程中验证用户的凭据，我们将重写表单的validate()方法。如果找不到电子邮件或密码不匹配，我们将在电子邮件字段下方显示错误。将以下方法添加到LoginForm类：

在app目录中打开views.py并添加以下代码：

fromflaskimportflash,redirect,render_template,request,url_forfromflask.ext.loginimportlogin_userfromappimportappfromappimportlogin_managerfromformsimportLoginForm@app.route("/")defhomepage():returnrender_template("homepage.html")@app.route("/login/",methods=["GET","POST"])deflogin():ifrequest.method=="POST":form=LoginForm(request.form)ifform.validate():login_user(form.user,remember=form.remember_me.data)flash("Successfullyloggedinas%s."%form.user.email,"success")returnredirect(request.args.get("next")orurl_for("homepage"))else:form=LoginForm()returnrender_template("login.html",form=form)魔法发生在我们成功验证表单（因此验证了用户身份）后的POST上。我们调用login_user，这是Flask-Login提供的一个辅助函数，用于设置正确的会话值。然后我们设置一个闪存消息并将用户送上路。

最后让我们添加一个视图，用于将用户从网站中注销。有趣的是，此视图不需要模板，因为用户将简单地通过视图，在其会话注销后被重定向。将以下import语句和注销视图代码添加到views.py：

#Modifytheimportatthetopofthemodule.fromflask.ext.loginimportlogin_user,logout_user#Addlogout_user@app.route("/logout/")deflogout():logout_user()flash('Youhavebeenloggedout.','success')returnredirect(request.args.get('next')orurl_for('homepage'))再次说明，我们接受nextURL作为查询字符串的一部分，默认为主页，如果未指定URL。

正如您可能还记得本章早些时候所说的，我们添加了一个信号处理程序，将当前用户存储为Flaskg对象的属性。我们可以在模板中访问这个对象，所以我们只需要在模板中检查g.user是否已经通过身份验证。

打开base.html并对导航栏进行以下添加：

目前，我们所有的博客视图都是不受保护的，任何人都可以访问它们。为了防止恶意用户破坏我们的条目，让我们为实际修改数据的视图添加一些保护。Flask-Login提供了一个特殊的装饰器login_required，我们将使用它来保护应该需要经过身份验证的视图。

让我们浏览条目蓝图并保护所有修改数据的视图。首先在blueprint.py模块的顶部添加以下导入：

fromflask.ext.loginimportlogin_requiredlogin_required是一个装饰器，就像app.route一样，所以我们只需包装我们希望保护的视图。例如，这是如何保护image_upload视图的方法：

@entries.route('/image-upload/',methods=['GET','POST'])@login_requireddefimage_upload():...浏览模块，并在以下视图中添加login_required装饰器，注意要在路由装饰器下面添加：

当匿名用户尝试访问这些视图时，他们将被重定向到login视图。作为额外的奖励，Flask-Login将在重定向到login视图时自动处理指定下一个参数，因此用户将返回到他们试图访问的页面。

正如您可能还记得我们在第一章中创建的规范，创建您的第一个Flask应用程序，我们的博客网站将支持多个作者。当创建条目时，我们将把当前用户存储在条目的作者列中。为了存储编写给定Entry的User，我们将在用户和条目之间创建一个一对多的关系，以便一个用户可以有多个条目：

为了创建一对多的关系，我们将在Entry模型中添加一个指向User表中用户的列。这个列将被命名为author_id，因为它引用了一个User，我们将把它设为外键。打开models.py并对Entry模型进行以下修改：

classEntry(db.Model):modified_timestamp=...author_id=db.Column(db.Integer,db.ForeignKey("user.id"))tags=...由于我们添加了一个新的列，我们需要再次创建一个迁移。从命令行运行dbmigrate和dbupgrade：

(blog)$pythonmanage.pydbmigrateINFO[alembic.migration]ContextimplSQLiteImpl.INFO[alembic.migration]Willassumenon-transactionalDDL.INFO[alembic.autogenerate.compare]Detectedaddedcolumn'entry.author_id'Generating/home/charles/projects/blog/app/migrations/versions/33011181124e_.py...done(blog)$pythonmanage.pydbupgradeINFO[alembic.migration]ContextimplSQLiteImpl.INFO[alembic.migration]Willassumenon-transactionalDDL.INFO[alembic.migration]Runningupgrade40ce2670e7e2->33011181124e,emptymessage就像我们对标签所做的那样，最后一步将是在用户模型上创建一个反向引用，这将允许我们访问特定用户关联的Entry行。因为用户可能有很多条目，我们希望对其执行额外的过滤操作，我们将把反向引用暴露为一个查询，就像我们为标签条目所做的那样。

在User类中，在created_timestamp列下面添加以下代码行：

entries=db.relationship('Entry',backref='author',lazy='dynamic')现在我们有能力将User作为博客条目的作者存储起来，下一步将是在创建条目时填充这个列。

如果数据库中有任何博客条目，我们还需要确保它们被分配给一个作者。从交互式shell中，让我们手动更新所有现有条目上的作者字段：

In[8]:Entry.query.update({"author_id":user.id})Out[8]:6这个查询将返回更新的行数，在这种情况下是数据库中的条目数。要保存这些更改，再次调用commit()：

因为我们正在使用g对象来访问用户，所以我们需要导入它，所以在条目蓝图的顶部添加以下导入语句：

fromflaskimportg在条目蓝图中，我们现在需要修改Entry对象的实例化，手动设置作者属性。对create视图进行以下更改：

ifform.validate():entry=form.save_entry(Entry(author=g.user))db.session.add(entry)当您要创建一个条目时，您现在将被保存在数据库中作为该条目的作者。试一试吧。

为了清晰地实现此保护，我们将再次重构条目蓝图中的辅助函数。对条目蓝图进行以下修改：

defget_entry_or_404(slug,author=None):query=Entry.query.filter(Entry.slug==slug)ifauthor:query=query.filter(Entry.author==author)else:query=filter_status_by_user(query)returnquery.first_or_404()我们引入了一个新的辅助函数filter_status_by_user。此函数将确保匿名用户无法看到草稿条目。在get_entry_or_404下方的条目蓝图中添加以下函数：

deffilter_status_by_user(query):ifnotg.user.is_authenticated:returnquery.filter(Entry.status==Entry.STATUS_PUBLIC)else:returnquery.filter(Entry.status.in_((Entry.STATUS_PUBLIC,Entry.STATUS_DRAFT)))为了限制对edit和delete视图的访问，我们现在只需要将当前用户作为作者参数传递。对编辑和删除视图进行以下修改：

entry=get_entry_or_404(slug,author=None)如果您尝试访问您未创建的条目的edit或delete视图，您将收到404响应。

最后，让我们修改条目详细模板，以便除了条目的作者之外，所有用户都无法看到编辑和删除链接。在您的entries应用程序中编辑模板entries/detail.html，您的代码可能如下所示：

deffilter_status_by_user(query):ifnotg.user.is_authenticated:query=query.filter(Entry.status==Entry.STATUS_PUBLIC)else:#Allowusertoviewtheirowndrafts.query=query.filter((Entry.status==Entry.STATUS_PUBLIC)|((Entry.author==g.user)&(Entry.status!=Entry.STATUS_DELETED)))returnquery新的查询可以解析为：“给我所有公共条目，或者我是作者的未删除条目。”

由于get_entry_or_404已经使用了filter_status_by_user辅助函数，因此detail、edit和delete视图已经准备就绪。我们只需要处理使用entry_list辅助函数的各种列表视图。让我们更新entry_list辅助函数以使用新的filter_status_by_user辅助函数：

query=filter_status_by_user(query)valid_statuses=(Entry.STATUS_PUBLIC,Entry.STATUS_DRAFT)query=query.filter(Entry.status.in_(valid_statuses))ifrequest.args.get("q"):search=request.args["q"]query=query.filter((Entry.body.contains(search))|(Entry.title.contains(search)))returnobject_list(template,query,**context)就是这样！我希望这展示了一些辅助函数在正确的位置上是如何真正简化开发者生活的。在继续进行最后一节之前，我建议创建一个或两个用户，并尝试新功能。

fromflaskimportrequest,session@app.before_requestdef_last_page_visited():if"current_page"insession:session["last_page"]=session["current_page"]session["current_page"]=request.path默认情况下，Flask会话只持续到浏览器关闭。如果您希望会话持久存在，即使在重新启动之间也是如此，只需设置session.permanent=True。

与g对象一样，session对象可以直接从模板中访问。

作为练习，尝试为您的网站实现一个简单的主题选择器。创建一个视图，允许用户选择颜色主题，并将其存储在会话中。然后，在模板中，根据用户选择的主题应用额外的CSS规则。

在下一章中，我们将构建一个管理仪表板，允许超级用户执行诸如创建新用户和修改站点内容等操作。我们还将收集和显示各种站点指标，如页面浏览量，以帮助可视化哪些内容驱动了最多的流量。

在本章中，我们将为我们的网站构建一个管理仪表板。我们的管理仪表板将使特定的、选择的用户能够管理整个网站上的所有内容。实质上，管理站点将是数据库的图形前端，支持在应用程序表中创建、编辑和删除行的操作。优秀的Flask-Admin扩展几乎提供了所有这些功能，但我们将超越默认值，扩展和定制管理页面。

Flask-Admin为Flask应用程序提供了一个现成的管理界面。Flask-Admin还与SQLAlchemy很好地集成，以提供用于管理应用程序模型的视图。

下面的图像是对本章结束时Entry管理员将会是什么样子的一个sneakpreview：

虽然这种功能需要相对较少的代码，但我们仍然有很多内容要涵盖，所以让我们开始吧。首先使用pip将Flask-Admin安装到virtualenv中。在撰写本文时，Flask-Admin的当前版本是1.0.7。

(blog)$pipinstallFlask-AdminDownloading/unpackingFlask-Admin...SuccessfullyinstalledFlask-AdminCleaningup...如果您希望测试它是否安装正确，可以输入以下代码：

(blog)$pythonmanage.pyshellIn[1]:fromflask.extimportadminIn[2]:printadmin.__version__1.0.7将Flask-Admin添加到我们的应用程序与我们应用程序中的其他扩展不同，我们将在其自己的模块中设置管理扩展。我们将编写几个特定于管理的类，因此将它们放在自己的模块中是有意义的。在app目录中创建一个名为admin.py的新模块，并添加以下代码：

fromflask.ext.adminimportAdminfromappimportappadmin=Admin(app,'BlogAdmin')因为我们的admin模块依赖于app模块，为了避免循环导入，我们需要确保在app之后加载admin。打开main.py模块并添加以下内容：

fromflaskimportrequest,sessionfromappimportapp,dbimportadmin#Thislineisnew,placedaftertheappimport.importmodelsimportviews现在，您应该能够启动开发服务器并导航到/admin/以查看一个简单的管理员仪表板-默认的仪表板，如下图所示：

随着您在本章中的进展，我们将把这个无聊和普通的管理界面变成一个丰富而强大的仪表板，用于管理您的博客。

Flask-Admin带有一个contrib包，其中包含专门设计用于与SQLAlchemy模型一起工作的特殊视图类。这些类提供开箱即用的创建、读取、更新和删除功能。

打开admin.py并更新以下代码：

fromflask.ext.adminimportAdminfromflask.ext.admin.contrib.sqlaimportModelViewfromappimportapp,dbfrommodelsimportEntry,Tag,Useradmin=Admin(app,'BlogAdmin')admin.add_view(ModelView(Entry,db.session))admin.add_view(ModelView(Tag,db.session))admin.add_view(ModelView(User,db.session))请注意我们如何调用admin.add_view()并传递ModelView类的实例，以及db会话，以便它可以访问数据库。Flask-Admin通过提供一个中央端点来工作，我们开发人员可以向其中添加我们自己的视图。

启动开发服务器并尝试再次打开您的管理站点。它应该看起来像下面的截图：

尝试通过在导航栏中选择其链接来点击我们模型的视图之一。点击Entry链接以干净的表格格式显示数据库中的所有条目。甚至有链接可以创建、编辑或删除条目，如下一个截图所示：

所有看起来都像下面的截图：

如前面的截图所示，Flask-Admin在处理我们的外键到键和多对多字段（作者和标签）方面做得非常出色。它还相当不错地选择了要为给定字段使用哪个HTML小部件，如下所示：

不幸的是，这个表单存在一些明显的问题，如下所示：

在接下来的部分中，我们将看到如何自定义Admin类和ModelView类，以便管理员真正为我们的应用程序工作。

让我们暂时把表单放在一边，专注于清理列表。为此，我们将创建一个Flask-Admin的子类ModelView。ModelView类提供了许多扩展点和属性，用于控制列表显示的外观和感觉。

我们将首先通过手动指定我们希望显示的属性来清理列表列。此外，由于我们将在单独的列中显示作者，我们将要求Flask-Admin从数据库中高效地获取它。打开admin.py并更新以下代码：

fromflask.ext.adminimportAdminfromflask.ext.admin.contrib.sqlaimportModelViewfromappimportapp,dbfrommodelsimportEntry,Tag,UserclassEntryModelView(ModelView):column_list=['title','status','author','tease','tag_list','created_timestamp',]column_select_related_list=['author']#EfficientlySELECTtheauthor.admin=Admin(app,'BlogAdmin')admin.add_view(EntryModelView(Entry,db.session))admin.add_view(ModelView(Tag,db.session))admin.add_view(ModelView(User,db.session))您可能会注意到tease和tag_list实际上不是我们Entry模型中的列名。Flask-Admin允许您使用任何属性作为列值。我们还指定要用于创建对其他模型的引用的列。打开models.py模块，并向Entry模型添加以下属性：

@propertydeftag_list(self):return','.join(tag.namefortaginself.tags)@propertydeftease(self):returnself.body[:100]现在，当您访问Entry管理员时，您应该看到一个干净、可读的表格，如下图所示：

让我们也修复状态列的显示。这些数字很难记住-最好显示人类可读的值。Flask-Admin带有枚举字段（如状态）的辅助程序。我们只需要提供要显示值的状态值的映射，Flask-Admin就会完成剩下的工作。在EntryModelView中进行以下添加：

classEntryModelView(ModelView):_status_choices=[(choice,label)forchoice,labelin[(Entry.STATUS_PUBLIC,'Public'),(Entry.STATUS_DRAFT,'Draft'),(Entry.STATUS_DELETED,'Deleted'),]]column_choices={'status':_status_choices,}column_list=['title','status','author','tease','tag_list','created_timestamp',]column_select_related_list=['author']我们的Entry列表视图看起来好多了。现在让我们对User列表视图进行一些改进。同样，我们将对ModelView进行子类化，并指定要覆盖的属性。在admin.py中在EntryModelView下面添加以下类：

classUserModelView(ModelView):column_list=['email','name','active','created_timestamp']#BesuretousetheUserModelViewclasswhenregisteringtheUser:admin.add_view(UserModelView(User,db.session))以下截图显示了我们对User列表视图的更改：

除了显示我们的模型实例列表外，Flask-Admin还具有强大的搜索和过滤功能。假设我们有大量条目，并且想要找到包含特定关键字（如Python）的条目。如果我们能够在列表视图中输入我们的搜索，并且Flask-Admin只列出标题或正文中包含单词'Python'的条目，那将是有益的。

正如您所期望的那样，这是非常容易实现的。打开admin.py并添加以下行：

classEntryModelView(ModelView):_status_choices=[(choice,label)forchoice,labelin[(Entry.STATUS_PUBLIC,'Public'),(Entry.STATUS_DRAFT,'Draft'),(Entry.STATUS_DELETED,'Deleted'),]]column_choices={'status':_status_choices,}column_list=['title','status','author','tease','tag_list','created_timestamp',]column_searchable_list=['title','body']column_select_related_list=['author']当您重新加载Entry列表视图时，您将看到一个新的文本框，允许您搜索title和body字段，如下面的屏幕截图所示：

让我们通过向Entry列表添加几个过滤器来看看过滤器是如何工作的。我们将再次修改EntryModelView如下：

此时，Entry列表视图非常实用。作为练习，为UserModelView设置column_filters和column_searchable_list属性。

我们将通过展示如何自定义表单类来结束模型视图的讨论。您会记得，默认表单由Flask-Admin提供的有一些限制。在本节中，我们将展示如何自定义用于创建和编辑模型实例的表单字段的显示。

我们的目标是删除多余的字段，并为状态字段使用更合适的小部件，实现以下屏幕截图中所示的效果：

为了实现这一点，我们首先手动指定我们希望在表单上显示的字段列表。这是通过在EntryModelView类上指定form_columns属性来完成的：

classEntryModelView(ModelView):...form_columns=['title','body','status','author','tags']此外，我们希望status字段成为一个下拉小部件，使用各种状态的可读标签。由于我们已经定义了状态选择，我们将指示Flask-Admin使用WTFormsSelectField覆盖status字段，并传入有效选择的列表：

当包含外键的表单呈现到非常大的表时，Flask-Admin允许我们使用Ajax来获取所需的行。将以下属性添加到EntryModelView，现在您的用户将通过Ajax高效加载：

form_ajax_refs={'author':{'fields':(User.name,User.email),},}这个指令告诉Flask-Admin，当我们查找作者时，它应该允许我们在作者的姓名或电子邮件上进行搜索。以下屏幕截图显示了它的外观：

我们现在有一个非常漂亮的Entry表单。

因为密码在数据库中以哈希形式存储，直接显示或编辑它们的价值很小。然而，在User表单上，我们将使输入新密码来替换旧密码成为可能。就像我们在Entry表单上对status字段所做的那样，我们将指定一个表单字段覆盖。然后，在模型更改处理程序中，我们将在保存时更新用户的密码。

对UserModelView模块进行以下添加：

fromwtforms.fieldsimportPasswordField#Attopofmodule.classUserModelView(ModelView):column_filters=('email','name','active')column_list=['email','name','active','created_timestamp']column_searchable_list=['email','name']form_columns=['email','password','name','active']form_extra_fields={'password':PasswordField('Newpassword'),}defon_model_change(self,form,model,is_created):ifform.password.data:model.password_hash=User.make_password(form.password.data)returnsuper(UserModelView,self).on_model_change(form,model,is_created)以下截图显示了新的User表单的样子。如果您希望更改用户的密码，只需在新密码字段中输入新密码即可。

仍然有一个方面需要解决。当创建新的Entry、User或Tag对象时，Flask-Admin将无法正确生成它们的slug。这是由于Flask-Admin在保存时实例化新模型实例的方式。为了解决这个问题，我们将创建一些ModelView的子类，以确保为Entry、User和Tag对象正确生成slug。

打开admin.py文件，并在模块顶部添加以下类：

classBaseModelView(ModelView):passclassSlugModelView(BaseModelView):defon_model_change(self,form,model,is_created):model.generate_slug()returnsuper(SlugModelView,self).on_model_change(form,model,is_created)这些更改指示Flask-Admin，每当模型更改时，应重新生成slug。

为了开始使用这个功能，更新EntryModelView和UserModelView模块以扩展SlugModelView类。对于Tag模型，直接使用SlugModelView类进行注册即可。

总结一下，您的代码应该如下所示：

Flask-Admin提供了一个方便的界面，用于管理静态资产（或磁盘上的其他文件），作为管理员仪表板的扩展。让我们向我们的网站添加一个FileAdmin，它将允许我们上传或修改应用程序的static目录中的文件。

打开admin.py文件，并在文件顶部导入以下模块：

fromflask.ext.admin.contrib.fileadminimportFileAdmin然后，在各种ModelView实现下，添加以下突出显示的代码行：

classBlogFileAdmin(FileAdmin):passadmin=Admin(app,'BlogAdmin')admin.add_view(EntryModelView(Entry,db.session))admin.add_view(SlugModelView(Tag,db.session))admin.add_view(UserModelView(User,db.session))admin.add_view(BlogFileAdmin(app.config['STATIC_DIR'],'/static/',name='StaticFiles'))在浏览器中打开管理员，您应该会看到一个名为静态文件的新选项卡。单击此链接将带您进入一个熟悉的文件浏览器，如下截图所示：

如果您在管理文件时遇到问题，请确保为static目录及其子目录设置了正确的权限。

第一步是向我们的User模型添加一个新列。将admin列添加到User模型中，如下所示：

classUser(db.Model):id=db.Column(db.Integer,primary_key=True)email=db.Column(db.String(64),unique=True)password_hash=db.Column(db.String(255))name=db.Column(db.String(64))slug=db.Column(db.String(64),unique=True)active=db.Column(db.Boolean,default=True)admin=db.Column(db.Boolean,default=False)created_timestamp=db.Column(db.DateTime,default=datetime.datetime.now)现在我们将使用Flask-Migrate扩展生成模式迁移：

(blog)$pythonmanage.pydbmigrateINFO[alembic.migration]ContextimplSQLiteImpl.INFO[alembic.migration]Willassumenon-transactionalDDL.INFO[alembic.autogenerate.compare]Detectedaddedcolumn'user.admin'Generating/home/charles/projects/blog/app/migrations/versions/33011181124e_.py...done(blog)$pythonmanage.pydbupgradeINFO[alembic.migration]ContextimplSQLiteImpl.INFO[alembic.migration]Willassumenon-transactionalDDL.INFO[alembic.migration]Runningupgrade40ce2670e7e2->33011181124e,emptymessage让我们还向User模型添加一个方法，用于告诉我们给定的用户是否是管理员。将以下方法添加到User模型中：

classUser(db.Model):#...defis_admin(self):returnself.admin这可能看起来很傻，但如果您希望更改应用程序确定用户是否为管理员的语义，这是很好的代码规范。

在继续下一节之前，您可能希望修改UserModelView类，将admin列包括在column_list、column_filters和form_columns中。

由于我们在管理员视图中创建了几个视图，我们需要一种可重复使用的表达我们身份验证逻辑的方法。我们将通过组合实现此重用。您已经在视图装饰器（@login_required）的形式中看到了组合-装饰器只是组合多个函数的一种方式。Flask-Admin有点不同，它使用Python类来表示单个视图。我们将使用一种友好于类的组合方法，称为mixins，而不是函数装饰器。

mixin是提供方法覆盖的类。在Flask-Admin的情况下，我们希望覆盖的方法是is_accessible方法。在这个方法内部，我们将检查当前用户是否已经验证。

为了访问当前用户，我们必须在admin模块的顶部导入特殊的g对象：

fromflaskimportg,url_for在导入语句下面，添加以下类：

classAdminAuthentication(object):defis_accessible(self):returng.user.is_authenticatedandg.user.is_admin()最后，我们将通过Python的多重继承将其与其他几个类混合在一起。对BaseModelView类进行以下更改：

classBaseModelView(AdminAuthentication,ModelView):pass还有BlogFileAdmin类：

classBlogFileAdmin(AdminAuthentication,FileAdmin):pass如果尝试访问/admin/entry/等管理员视图URL而不符合is_accessible条件，Flask-Admin将返回HTTP403Forbidden响应，如下截图所示：

由于我们没有对Tag管理员模型进行更改，因此仍然可以访问。我们将由您来解决如何保护它。

我们的管理员着陆页（/admin/）非常无聊。实际上，除了导航栏之外，它根本没有任何内容。Flask-Admin允许我们指定自定义索引视图，我们将使用它来显示一个简单的问候语。

为了添加自定义索引视图，我们需要导入几个新的帮助程序。将以下突出显示的导入添加到admin模块的顶部：

fromflask.ext.adminimportAdmin,AdminIndexView,exposefromflaskimportredirect请求提供@expose装饰器，就像Flask本身使用@route一样。由于这个视图是索引，我们将要暴露的URL是/。以下代码将创建一个简单的索引视图，用于呈现模板。请注意，在初始化Admin对象时，我们将索引视图指定为参数：

classIndexView(AdminIndexView):@expose('/')defindex(self):returnself.render('admin/index.html')admin=Admin(app,'BlogAdmin',index_view=IndexView())最后还缺少一件事：身份验证。由于用户通常会直接访问/admin/来访问管理员，因此检查索引视图中当前用户是否经过身份验证将非常方便。我们可以通过以下方式来检查：当前用户是否经过身份验证。

classIndexView(AdminIndexView):@expose('/')defindex(self):ifnot(g.user.is_authenticatedandg.user.is_admin()):returnredirect(url_for('login',next=request.path))returnself.render('admin/index.html')Flask-Admin模板Flask-Admin提供了一个简单的主模板，您可以扩展它以创建统一的管理员站点外观。Flask-Admin主模板包括以下区块：

对于这个示例，body块对我们来说最有趣。在应用程序的templates目录中，创建一个名为admin的新子目录，其中包含一个名为index.html的空文件。

{%extends"admin/master.html"%}{%blockbody%}

Hello,{{g.user.name}}

这只是一个例子，用来说明扩展和定制管理面板是多么简单。尝试使用各种模板块，看看是否可以在导航栏中添加一个注销按钮。

在本章中，我们学习了如何使用Flask-Admin扩展为我们的应用程序创建管理面板。我们学习了如何将我们的SQLAlchemy模型公开为可编辑对象的列表，以及如何定制表格和表单的外观。我们添加了一个文件浏览器，以帮助管理应用程序的静态资产。我们还将管理面板与我们的身份验证系统集成。

在下一章中，我们将学习如何向我们的应用程序添加API，以便可以通过编程方式访问它。

对于我们的目的，以下字段应该足够：

让我们通过在我们的应用程序的models.py模块中创建Comment模型定义来开始编码：

classComment(db.Model):STATUS_PENDING_MODERATION=0STATUS_PUBLIC=1STATUS_SPAM=8STATUS_DELETED=9id=db.Column(db.Integer,primary_key=True)name=db.Column(db.String(64))email=db.Column(db.String(64))url=db.Column(db.String(100))ip_address=db.Column(db.String(64))body=db.Column(db.Text)status=db.Column(db.SmallInteger,default=STATUS_PUBLIC)created_timestamp=db.Column(db.DateTime,default=datetime.datetime.now)entry_id=db.Column(db.Integer,db.ForeignKey('entry.id'))def__repr__(self):return''%(self.name,)在添加Comment模型定义之后，我们需要设置Comment和Entry模型之间的SQLAlchemy关系。您会记得，我们在设置User和Entry之间的关系时曾经做过一次，通过entries关系。我们将通过在Entry模型中添加一个comments属性来为Comment做这个。

在tags关系下面，添加以下代码到Entry模型定义中：

classEntry(db.Model):#...tags=db.relationship('Tag',secondary=entry_tags,backref=db.backref('entries',lazy='dynamic'))comments=db.relationship('Comment',backref='entry',lazy='dynamic')我们已经指定了关系为lazy='dynamic'，正如您从第五章验证用户中所记得的那样，这意味着在任何给定的Entry实例上，comments属性将是一个可过滤的查询。

为了开始使用我们的新模型，我们需要更新我们的数据库模式。使用manage.py助手，为Comment模型创建一个模式迁移：

(blog)$pythonmanage.pydbmigrateINFO[alembic.migration]ContextimplSQLiteImpl.INFO[alembic.migration]Willassumenon-transactionalDDL.INFO[alembic.autogenerate.compare]Detectedaddedtable'comment'Generating/home/charles/projects/blog/app/migrations/versions/490b6bc5f73c_.py...done然后通过运行upgrade来应用迁移：

有了我们的模型，我们现在准备安装Flask-Restless，这是一个第三方Flask扩展，可以简单地为您的SQLAlchemy模型构建RESTfulAPI。确保您已经激活了博客应用的虚拟环境后，使用pip安装Flask-Restless：

(blog)$pipinstallFlask-Restless您可以通过打开交互式解释器并获取已安装的版本来验证扩展是否已安装。不要忘记，您的确切版本号可能会有所不同。

(blog)$./manage.pyshellIn[1]:importflask_restlessIn[2]:flask_restless.__version__Out[2]:'0.13.0'现在我们已经安装了Flask-Restless，让我们配置它以使其与我们的应用程序一起工作。

像其他Flask扩展一样，我们将从app.py模块开始，通过配置一个将管理我们新API的对象。在Flask-Restless中，这个对象称为APIManager，它将允许我们为我们的SQLAlchemy模型创建RESTful端点。将以下行添加到app.py：

#Placethisimportatthetopofthemodulealongsidetheotherextensions.fromflask.ext.restlessimportAPIManager#Placethislinebelowtheinitializationoftheappanddbobjects.api=APIManager(app,flask_sqlalchemy_db=db)因为API将依赖于我们的FlaskAPI对象和我们的Comment模型，所以我们需要确保我们不创建任何循环模块依赖关系。我们可以通过在应用程序目录的根目录下创建一个新模块“api.py”来避免引入循环导入。

让我们从最基本的开始，看看Flask-Restless提供了什么。在api.py中添加以下代码：

最后的操作是在main.py中导入新的API模块，这是我们应用程序的入口点。我们导入模块纯粹是为了它的副作用，注册URL路由。在main.py中添加以下代码：

fromappimportapp,dbimportadminimportapiimportmodelsimportviews...发出API请求在一个终端中，启动开发服务器。在另一个终端中，让我们看看当我们向我们的API端点发出GET请求时会发生什么（注意没有尾随的斜杠）：

在条目蓝图的表单模块中，添加以下表单定义：

classCommentForm(wtforms.Form):name=wtforms.StringField('Name',validators=[validators.DataRequired()])email=wtforms.StringField('Email',validators=[validators.DataRequired(),validators.Email()])url=wtforms.StringField('URL',validators=[validators.Optional(),validators.URL()])body=wtforms.TextAreaField('Comment',validators=[validators.DataRequired(),validators.Length(min=10,max=3000)])entry_id=wtforms.HiddenField(validators=[validators.DataRequired()])defvalidate(self):ifnotsuper(CommentForm,self).validate():returnFalse#Ensurethatentry_idmapstoapublicEntry.entry=Entry.query.filter((Entry.status==Entry.STATUS_PUBLIC)&(Entry.id==self.entry_id.data)).first()ifnotentry:returnFalsereturnTrue你可能会想为什么我们要指定验证器，因为API将处理POST的数据。我们这样做是因为Flask-Restless不提供验证，但它提供了一个我们可以执行验证的钩子。这样，我们就可以在我们的RESTAPI中利用WTForms验证。

为了在条目详细页面使用表单，我们需要在渲染详细模板时将表单传递到上下文中。打开条目蓝图并导入新的CommentForm：

fromentries.formsimportEntryForm,ImageForm,CommentForm然后修改“详细”视图，将一个表单实例传递到上下文中。我们将使用请求的条目的值预填充entry_id隐藏字段：

@entries.route('//')defdetail(slug):entry=get_entry_or_404(slug)form=CommentForm(data={'entry_id':entry.id})returnrender_template('entries/detail.html',entry=entry,form=form)现在表单已经在详细模板上下文中，剩下的就是渲染表单。在entries/templates/entries/includes/中创建一个空模板，命名为comment_form.html，并添加以下代码：

在statics/js/中创建一个名为comments.js的新文件，并添加以下JavaScript代码：

在detail.html模板中，我们只需要包含我们的脚本并绑定提交处理程序。在详细模板中添加以下块覆盖：

不幸的是，我们的API没有对传入数据进行任何类型的验证。为了验证POST数据，我们需要使用Flask-Restless提供的一个钩子。Flask-Restless将这些钩子称为请求预处理器和后处理器。

我们刚刚看了一个使用Flask-Restless的POST方法预处理器的示例。在下表中，你可以看到其他可用的钩子：

让我们在Comment模型上添加一个方法来生成用户Gravatar图像的URL。打开models.py并向Comment添加以下方法：

如果我们尝试在列的列表中包括Gravatar，Flask-Restless会引发异常，因为gravatar实际上是一个方法。幸运的是，Flask-Restless提供了一种在序列化对象时包含方法调用结果的方法。在api.py中，对create_api()的调用进行以下添加：

打开comments.js并在以下行之后添加以下代码：

最后的任务是在页面呈现时在详细模板中调用Comments.load()。打开detail.html并添加以下突出显示的代码：

Flask-Restless支持许多配置选项，由于篇幅原因，本章未能涵盖。搜索过滤器是一个非常强大的工具，我们只是触及了可能性的表面。此外，预处理和后处理钩子可以用于实现许多有趣的功能，例如以下功能：

在下一章中，我们将致力于创建可测试的应用程序，并找到改进我们代码的方法。这也将使我们能够验证我们编写的代码是否按照我们的意愿进行操作；不多，也不少。自动化这一过程将使您更有信心，并确保RESTfulAPI按预期工作。

在本章中，我们将学习如何编写覆盖博客应用程序所有部分的单元测试。我们将利用Flask的测试客户端来模拟实时请求，并了解Mock库如何简化测试复杂交互，比如调用数据库等第三方服务。

在本章中，我们将学习以下主题：

单元测试是一个让我们对代码、bug修复和未来功能有信心的过程。单元测试的理念很简单；你编写与你的功能代码相辅相成的代码。

举个例子，假设我们设计了一个需要正确计算一些数学的程序；你怎么知道它成功了？为什么不拿出一个计算器，你知道计算机是什么吗？一个大计算器。此外，计算机在乏味的重复任务上确实非常擅长，那么为什么不编写一个单元测试来为你计算出答案呢？对代码的所有部分重复这种模式，将这些测试捆绑在一起，你就对自己编写的代码完全有信心了。

有人说测试是代码“味道”的标志，你的代码如此复杂，以至于需要测试来证明它的工作。这意味着代码应该更简单。然而，这真的取决于你的情况，你需要自己做出判断。在我们开始简化代码之前，单元测试是一个很好的起点。

单元测试的巧妙之处在于测试与功能代码相辅相成。这些方法证明了测试的有效性，而测试证明了方法的有效性。它减少了代码出现重大功能错误的可能性，减少了将来重新编写代码的头痛，并允许你专注于你想要处理的新功能的细枝末节。

单元测试的理念是验证代码的小部分，或者说是测试简单的功能部分。这将构建成应用程序的整体。很容易写出大量测试代码，测试的是代码的功能而不是代码本身。如果你的测试看起来很大，通常表明你的主要代码应该被分解成更小的方法。

幸运的是，几乎总是如此，Python有一个内置的单元测试模块。就像Flask一样，很容易放置一个简单的单元测试模块。在你的主要博客应用程序中，创建一个名为tests的新目录，并在该目录中创建一个名为test.py的新文件。现在，使用你喜欢的文本编辑器，输入以下代码：

importunittestclassExampleTest(unittest.TestCase):defsetUp(self):passdeftearDown(self):passdeftest_some_functionality(self):passdeftest_some_other_functionality(self):passif__name__=="__main__":unittest.main()前面的片段演示了我们将编写的所有单元测试模块的基本框架。它简单地利用内置的Python模块unittest，然后创建一个包装特定测试集的类。在这个例子中，测试是以单词test开头的方法。单元测试模块将这些方法识别为每次调用unittest.main时应该运行的方法。此外，TestCase类（ExampleTest类在这里继承自它）具有一些特殊方法，单元测试将始终尝试使用。其中之一是setUp，这是在运行每个测试方法之前运行的方法。当您想要在隔离环境中运行每个测试，但是，例如，要在数据库中建立连接时，这可能特别有用。

另一个特殊的方法是tearDown。每次运行测试方法时都会运行此方法。同样，当我们想要维护数据库时，这对于每个测试都在隔离环境中运行非常有用。

显然，这个代码示例如果运行将不会做任何事情。要使其处于可用状态，并且遵循测试驱动开发（TDD）的原则，我们首先需要编写一个测试，验证我们即将编写的代码是否正确，然后编写满足该测试的代码。

在这个示例中，我们将编写一个测试，验证一个方法将接受两个数字作为参数，从第二个参数中减去一个，然后将它们相乘。看一下以下示例：

在你的test.py文件中，你可以创建一个在ExampleTest类中表示前面表格的方法，如下所示：

deftest_minus_one_multiplication(self):self.assertEqual(my_multiplication(1,1),0)self.assertEqual(my_multiplication(1,2),1)self.assertEqual(my_multiplication(2,3),4)self.assertNotEqual(my_multiplication(2,2),3)前面的代码创建了一个新的方法，使用Python的unittest模块来断言问题的答案。assertEqual函数将my_multiplication方法返回的响应作为第一个参数，并将其与第二个参数进行比较。如果通过了，它将什么也不做，等待下一个断言进行测试。但如果不匹配，它将抛出一个错误，并且你的测试方法将停止执行，告诉你出现了错误。

在前面的代码示例中，还有一个assertNotEqual方法。它的工作方式与assertEqual类似，但是检查值是否不匹配。还有一个好主意是检查你的方法何时可能失败。如果你只检查了方法将起作用的情况，那么你只完成了一半的工作，并且可能会在边缘情况下遇到问题。Python的unittest模块提供了各种各样的断言方法，这将是有用的去探索。

现在我们可以编写将给出这些结果的方法。为简单起见，我们将在同一个文件中编写该方法。在文件中，创建以下方法：

defmy_multiplication(value1,value2):returnvalue1*value2–1保存文件并使用以下命令运行它：

哎呀！它失败了。为什么？嗯，回顾my_multiplication方法发现我们漏掉了一些括号。让我们回去纠正一下：

defmy_multiplication(value1,value2):returnvalue1*(value2–1)现在让我们再次运行它：

成功了！现在我们有了一个正确的方法；将来，我们将知道它是否被更改过，以及在以后需要如何更改。现在来用这个新技能与Flask一起使用。

你可能会想：“单元测试对于代码的小部分看起来很棒，但是如何为整个Flask应用程序进行测试呢？”嗯，正如之前提到的一种方法是确保所有的方法尽可能离散——也就是说，确保你的方法尽可能少地完成它们的功能，并避免方法之间的重复。如果你的方法不是离散的，现在是整理它们的好时机。

另一件有用的事情是，Flask已经准备好进行单元测试。任何现有应用程序都有可能至少可以应用一些单元测试。特别是，任何API区域，例如无法验证的区域，都可以通过利用Flask中已有的代表HTTP请求的方法来进行极其容易的测试。以下是一个简单的示例：

importunittestfromflaskimportrequestfrommainimportappclassAppTest(unittest.TestCase):defsetUp(self):self.app=app.test_client()deftest_homepage_works(self):response=self.app.get("/")self.assertEqual(response.status_code,200)if__name__=="__main__":unittest.main()这段代码应该看起来非常熟悉。它只是重新编写了前面的示例，以验证主页是否正常工作。Flask公开的test_client方法允许通过代表HTTP调用的方法简单访问应用程序，就像test方法的第一行所示。test方法本身并不检查页面的内容，而只是检查页面是否成功加载。这可能听起来微不足道，但知道主页是否正常工作是很有用的。结果呢？你可以在这里看到：

需要注意的一件事是，我们不需要测试Flask本身，必须避免测试它，以免为自己创造太多工作。

这是单元测试开始变成功能测试的部分。虽然这本身并没有什么错，但值得注意的是，较小的测试更好。

在团队中编写测试或在生产环境中编写测试时遇到的第一个障碍之一是，我们如何确保测试在不干扰生产甚至开发数据库的情况下运行。您肯定不希望尝试修复错误或试验新功能，然后发现它所依赖的数据已经发生了变化。有时，只需要在本地数据库的副本上运行一个快速测试，而不受任何其他人的干扰，Flask应用程序知道如何使用它。

Flask内置的一个功能是根据环境变量加载配置文件。

app.config.from_envvar('FLASK_APP_BLOG_CONFIG_FILE')前面的方法调用通知您的Flask应用程序应该加载在环境变量FLASK_APP_BLOG_CONFIG_FILE中指定的文件中的配置。这必须是要加载的文件的绝对路径。因此，当您运行测试时，应该在这里引用一个特定于运行测试的文件。

由于我们已经为我们的环境设置了一个配置文件，并且正在创建一个测试配置文件，一个有用的技巧是利用现有的配置并覆盖重要的部分。首先要做的是创建一个带有init.py文件的config目录。然后可以将我们的testing.py配置文件添加到该目录中，并覆盖config.py配置文件的一些方面。例如，你的新测试配置文件可能如下所示：

TESTING=TrueDATABASE="sqlite://上面的代码添加了TESTING属性，可以用来确定你的应用程序当前是否正在进行测试，并将DATABASE值更改为更适合测试的数据库，一个内存中的SQLite数据库，不必在测试结束后清除。

然后这些值可以像Flask中的任何其他配置一样使用，并且在运行测试时，可以指定环境变量指向该文件。如果我们想要自动更新测试的环境变量，我们可以在test文件夹中的test.py文件中更新Python的内置OS环境变量对象：

importosos.environ['FLASK_APP_BLOG_CONFIG_FILE']=os.path.join(os.getcwd(),"config","testing.py")模拟对象模拟是测试人员工具箱中非常有用的一部分。模拟允许自定义对象被一个对象覆盖，该对象可以用来验证方法对其参数是否执行正确的操作。有时，这可能需要重新构想和重构你的应用程序，以便以可测试的方式工作，但是概念很简单。我们创建一个模拟对象，将其运行通过方法，然后对该对象运行测试。它特别适用于数据库和ORM模型，比如SQLAlchemy。

有很多模拟框架可用，但是在本书中，我们将使用Mockito：

pipinstallmockito这是最简单的之一：

>>>frommockitoimport*>>>mock_object=mock()>>>mock_object.example()>>>verify(mock_object).example()True上面的代码从Mockito库导入函数，创建一个可以用于模拟的mock对象，对其运行一个方法，并验证该方法已经运行。显然，如果你希望被测试的方法在没有错误的情况下正常运行，你需要在调用模拟对象上的方法时返回一个有效的值。

>>>duck=mock()>>>when(duck).quack().thenReturn("quack")>>>duck.quack()"quack"在上面的例子中，我们创建了一个模拟的duck对象，赋予它quack的能力，然后证明它可以quack。

在Python这样的动态类型语言中，当你拥有的对象可能不是你期望的对象时，使用鸭子类型是一种常见的做法。正如这句话所说“如果它走起来像鸭子，叫起来像鸭子，那它一定是鸭子”。这在创建模拟对象时非常有用，因为很容易使用一个假的模拟对象而不让你的方法注意到切换。

当Flask使用其装饰器在你的方法运行之前运行方法，并且你需要覆盖它，例如，替换数据库初始化程序时，就会出现困难。这里可以使用的技术是让装饰器运行一个对模块全局可用的方法，比如创建一个连接到数据库的方法。

假设你的app.py看起来像下面这样：

fromflaskimportFlask,gapp=Flask("example")defget_db():return{}@app.before_requestdefsetup_db():g.db=get_db()@app.route("/")defhomepage():returng.db.get("foo")上面的代码设置了一个非常简单的应用程序，创建了一个Python字典对象作为一个虚假的数据库。现在要覆盖为我们自己的数据库如下：

frommockitoimport*importunittestimportappclassFlaskExampleTest(unittest.TestCase):defsetUp(self):self.app=app.app.test_client()self.db=mock()defget_fake_db():returnself.dbapp.get_db=get_fake_dbdeftest_before_request_override(self):when(self.db).get("foo").thenReturn("123")response=self.app.get("/")self.assertEqual(response.status_code,200)self.assertEqual(response.data,"123")if__name__=="__main__":unittest.main()上面的代码使用Mockito库创建一个虚假的数据库对象。它还创建了一个方法，覆盖了app模块中创建数据库连接的方法，这里是一个简单的字典对象。你会注意到，当使用Mockito时，你也可以指定方法的参数。现在当测试运行时，它会向数据库插入一个值，以便页面返回；然后进行测试。

记录和错误报告对于一个生产就绪的网络应用来说是内在的。即使你的应用程序崩溃，记录仍然会记录所有问题，而错误报告可以直接通知我们特定的问题，即使网站仍在运行。

在任何人报告错误之前发现错误可能是非常令人满意的。这也使得您能够在用户开始向您抱怨之前推出修复。然而，为了做到这一点，您需要知道这些错误是什么，它们是在什么时候发生的，以及是什么导致了它们。

幸运的是，现在您应该非常熟悉，Python和Flask已经掌握了这一点。

Flask自带一个内置的记录器——Python内置记录器的一个已定义实例。你现在应该对它非常熟悉了。默认情况下，每次访问页面时都会显示记录器消息。

前面的屏幕截图显然显示了终端的输出。我们可以在这里看到有人在特定日期从localhost（127.0.0.1）访问了根页面，使用了GET请求，以及其他一些目录。服务器响应了一个“200成功”消息和两个“404未找到错误”消息。虽然在开发时拥有这个终端输出是有用的，但如果您的应用程序在生产环境中运行时崩溃，这并不一定很有用。我们需要从写入的文件中查看发生了什么。

有各种各样依赖于操作系统的将这样的日志写入文件的方法。然而，如前所述，Python已经内置了这个功能，Flask只是遵循Python的计划，这是非常简单的。将以下内容添加到app.py文件中：

fromlogging.handlersimportRotatingFileHandlerfile_handler=RotatingFileHandler('blog.log')app.logger.addHandler(file_handler)需要注意的一点是，记录器使用不同的处理程序来完成其功能。我们在这里使用的处理程序是RotatingFileHandler。这个处理程序不仅会将文件写入磁盘（在这种情况下是blog.log），还会确保我们的文件不会变得太大并填满磁盘，潜在地导致网站崩溃。

在尝试调试难以追踪的问题时，一个非常有用的事情是我们可以向我们的博客应用程序添加更多的日志记录。这可以通过Flask内置的日志对象来实现，如下所示：

日志级别的原则是：日志的重要性越高，级别越高，根据您的日志级别，记录的可能性就越小。例如，要能够记录警告（以及以上级别，如ERROR），我们需要将日志级别调整为WARNING。我们可以在配置文件中进行这样的调整。编辑config文件夹中的config.py文件，添加以下内容：

importloggingLOG_LEVEL=logging.WARNINGNowinyourapp.pyaddtheline:app.logger.setLevel(config['LOG_LEVEL'])前面的代码片段只是使用内置的Python记录器告诉Flask如何处理日志。当然，您可以根据您的环境设置不同的日志级别。例如，在config文件夹中的testing.py文件中，我们应该使用以下内容：

LOG_LEVEL=logging.ERROR至于测试的目的，我们不需要警告。同样，我们应该为任何生产配置文件做同样的处理；对于任何开发配置文件，使用样式。

在机器上记录错误是很好的，但如果错误直接发送到您的收件箱，您可以立即收到通知，那就更好了。幸运的是，像所有这些东西一样，Python有一种内置的方法可以做到这一点，Flask可以利用它。这只是另一个处理程序，比如RotatingFileHandler。

在下一章中，我们将学习如何通过扩展来改进我们的博客，这些扩展可以在我们的部分付出最小的努力的情况下添加额外的功能。

在本章中，我们将学习如何通过一些流行的第三方扩展增强我们的Flask安装。扩展允许我们以非常少的工作量添加额外的安全性或功能，并可以很好地完善您的博客应用程序。我们将研究跨站点请求伪造（CSRF）保护您的表单，Atom订阅源以便其他人可以找到您的博客更新，为您使用的代码添加语法高亮，减少渲染模板时的负载的缓存，以及异步任务，以便您的应用程序在进行密集操作时不会变得无响应。

在本章中，我们将学习以下内容：

CSRF保护实际上证明了包含CSRF字段的模板用于生成表单。这可以减轻来自其他站点的最基本的CSRF攻击，但不能确定表单提交只来自我们的服务器。例如，脚本仍然可以屏幕抓取页面的内容。

现在，自己构建CSRF保护并不难，而且通常用于生成我们的表单的WTForms已经内置了这个功能。但是，让我们来看看SeaSurf：

pipinstallflask-seasurf安装SeaSurf并使用WTForms后，将其集成到我们的应用程序中现在变得非常容易。打开您的app.py文件并添加以下内容：

fromflask.ext.seasurfimportSeaSurfcsrf=SeaSurf(app)这只是为您的应用程序启用了SeaSurf。现在，要在您的表单中启用CSRF，请打开forms.py并创建以下Mixin：

classLoginForm(Form,CSRFMixin):就是这样。我们需要对所有要保护的表单进行这些更改，通常是所有表单。

任何博客都非常有用的一个功能是让读者能够及时了解最新内容。这通常是通过RSS阅读器客户端来实现的，它会轮询您的RSS订阅源。虽然RSS被广泛使用，但更好、更成熟的订阅格式是可用的，称为Atom。

这两个文件都可以由客户端请求，并且是标准和简单的XML数据结构。幸运的是，Flask内置了Atom订阅源生成器；或者更具体地说，Flask使用的WSGI接口中内置了一个贡献的模块，称为Werkzeug。

让它运行起来很简单，我们只需要从数据库中获取最近发布的帖子。最好为此创建一个新的Blueprint；但是，您也可以在main.py中完成。我们只需要利用一些额外的模块：

fromurlparseimporturljoinfromflaskimportrequest,url_forfromwerkzeug.contrib.atomimportAtomFeedfrommodelsimportEntry并创建一个新的路由：

通常，作为编码人员，我们希望能够在网页上显示代码，虽然不使用语法高亮显示阅读代码是一种技能，但一些颜色可以使阅读体验更加愉快。

与Python一样，已经有一个模块可以为您完成这项工作，当然，您可以通过以下命令轻松安装它：

pipinstallPygments注意Pygments仅适用于已知的代码部分。因此，如果您想显示代码片段，我们可以这样做。但是，如果您想突出显示代码的内联部分，我们要么遵循Markdown的下一节，要么需要使用一些在线Javascript，例如highlight.js。

要创建代码片段，我们需要首先创建一个新的蓝图。让我们创建一个名为snippets的目录，然后创建一个__init__.py文件，接着创建一个名为blueprint.py的文件，其中包含以下代码：

{%extends"base.html"%}{%blocktitle%}{{entry.title}}-Snippets{%endblock%}{%blockcontent_title%}Snippet{%endblock%}{%blockcontent%}{{entry.body|pygments|safe}}{%endblock%}这基本上与我们在书中早期使用的detail.html相同，只是现在我们通过我们在应用程序中创建的Pygments过滤器传递它。由于我们早期使用的模板过滤器生成原始HTML，我们还需要将其输出标记为安全。

我们还需要更新博客的CSS文件，因为Pygments使用CSS选择器来突出显示单词，而不是在页面上浪费地编写输出。它还允许我们根据需要修改颜色。要找出我们的CSS应该是什么样子，打开Pythonshell并运行以下命令：

>>>frompygments.formattersimportHtmlFormatter>>>printHtmlFormatter().get_style_defs('.highlight')前面的命令现在将打印出Pygments建议的示例CSS，我们可以将其复制粘贴到static目录中的.css文件中。

这段代码的其余部分与之前的Entry对象没有太大不同。它只是允许您创建、更新和查看代码片段。您会注意到我们在这里使用了一个SnippetForm，我们稍后会定义。

还要创建一个models.py，其中包含以下内容：

classSnippet(db.Model):STATUS_PUBLIC=0STATUS_DRAFT=1id=db.Column(db.Integer,primary_key=True)title=db.Column(db.String(100))slug=db.Column(db.String(100),unique=True)body=db.Column(db.Text)status=db.Column(db.SmallInteger,default=STATUS_PUBLIC)created_timestamp=db.Column(db.DateTime,default=datetime.datetime.now)modified_timestamp=db.Column(db.DateTime,default=datetime.datetime.now,onupdate=datetime.datetime.now)def__init__(self,*args,**kwargs):super(Snippet,self).__init__(*args,**kwargs)#Callparentconstructor.self.generate_slug()defgenerate_slug(self):self.slug=''ifself.title:self.slug=slugify(self.title)def__repr__(self):return''%self.title现在我们必须重新运行create_db.py脚本以创建新表。

我们还需要创建一个新的表单，以便可以创建代码片段。在forms.py中添加以下代码：

frommodelsimportSnippetclassSnippetForm(wtforms.Form):title=wtforms.StringField('Title',validators=[DataRequired()])body=wtforms.TextAreaField('Body',validators=[DataRequired()])status=wtforms.SelectField('Entrystatus',choices=((Snippet.STATUS_PUBLIC,'Public'),(Snippet.STATUS_DRAFT,'Draft')),coerce=int)defsave_entry(self,entry):self.populate_obj(entry)entry.generate_slug()returnentry最后，我们需要确保通过编辑main.py文件使用此蓝图并添加以下内容：

fromsnippets.blueprintimportsnippetsapp.register_blueprint(snippets,url_prefix='/snippets')一旦我们在这里添加了一些代码，使用Snippet模型，生成的代码将如下图所示呈现：

Markdown的一个有趣之处在于，您仍然可以同时使用HTML和Markdown。

当然，在Python中快速简单地运行这个是很容易的。我们按照以下步骤安装它：

sudopipinstallFlask-Markdown然后我们可以将其应用到我们的蓝图或应用程序中，如下所示：

fromflaskext.markdownimportMarkdownMarkdown(app)这将在我们的模板中创建一个名为markdown的新过滤器，并且在渲染模板时可以使用它：

{{entry.body|markdown}}现在，您只需要在Markdown中编写并保存您的博客条目内容。

如前所述，您可能还希望美化代码块；Markdown内置了这个功能，因此我们需要扩展先前的示例如下：

fromflaskext.markdownimportMarkdownMarkdown(app,extensions=['codehilite'])现在可以使用Pygments来渲染Markdown代码块。但是，由于Pygments使用CSS为代码添加颜色，我们需要从Pygments生成我们的CSS。但是，这次使用的父块具有一个名为codehilite的类（之前称为highlight），因此我们需要进行调整。在Pythonshell中，键入以下内容：

>>>frompygments.formattersimportHtmlFormatter>>>printHtmlFormatter().get_style_defs('.codehilite')现在将输出添加到static目录中的.css文件中。因此，使用包含的CSS，您的Markdown条目现在可能如下所示：

还有许多其他内置的Markdown扩展可以使用；您可以查看它们，只需在初始化Markdown对象时使用它们的名称作为字符串。

有时（我知道很难想象），我们会为我们的网站付出很多努力，添加功能，这通常意味着我们最终不得不为一个简单的静态博客条目执行大量数据库调用或复杂的模板渲染。现在数据库调用不应该很慢，大量模板渲染也不应该引人注目，但是，如果将其扩展到大量用户（希望您是在预期的），这可能会成为一个问题。

因此，如果网站大部分是静态的，为什么不将响应存储在单个高速内存数据存储中呢？无需进行昂贵的数据库调用或复杂的模板渲染；对于相同的输入或路径，获取相同的内容，而且更快。

正如现在已经成为一种口头禅，我们已经可以在Python中做到这一点，而且就像以下这样简单：

sudopipinstallFlask-Cache要使其运行，请将其添加到您的应用程序或蓝图中：

fromflask.ext.cacheimportCacheapp=Flask(__name__)cache=Cache(app,config={'CACHE_TYPE':'redis'})当然，您还需要安装Redis，这在Debian和Ubuntu系统上非常简单：

sudoapt-getinstallredis-server不幸的是，Redis尚未在RedHat和CentOS的打包系统中提供。但是，您可以从他们的网站上下载并编译Redis

默认情况下，Redis是不安全的；只要我们不将其暴露给我们的网络，这应该没问题，而且对于Flask-Cache，我们不需要进行任何其他配置。但是，如果您希望对其进行锁定，请查看Redis的Flask-Cache配置。

现在我们可以在视图中使用缓存（以及任何方法）。这就像在路由上使用装饰器一样简单。因此，打开一个视图并添加以下内容：

对于低动态内容的高流量网站的一种技术是创建一个简单的静态副本。这对博客非常有效，因为内容通常是静态的，并且每天最多更新几次。但是，您仍然需要为实际上没有变化的内容执行大量数据库调用和模板渲染。

当然，有一个Flask扩展程序可以解决这个问题：Frozen-Flask。Frozen-Flask识别Flask应用程序中的URL，并生成应该在那里的内容。

因此，对于生成的页面，它会生成HTML，对于JavaScript和图像等静态内容，它会将它们提取到一个基本目录中，这是您网站的静态副本，并且可以由您的Web服务器作为静态内容提供。

这样做的另一个好处是，网站的活动版本更加安全，因为无法使用Flask应用程序或Web服务器更改它。

pipinstallFrozen-Flask接下来，我们需要创建一个名为freeze.py的文件。这是一个简单的脚本，可以自动设置Frozen-Flask：

fromflask_frozenimportFreezerfrommainimportappfreezer=Freezer(app)if__name__=='__main__':freezer.freeze()以上代码使用了Frozen-Flask的所有默认设置，并在以下方式运行：

pythonfreeze.py将创建（或覆盖）包含博客静态副本的build目录。

importmodels@freezer.register_generatordefarchive():forpostinmodels.Entry.all():yield{'detail':product.id}Frozen-Flask很聪明，并使用Flask提供的url_for方法来创建静态文件。这意味着url_for方法可用的任何内容都可以被Frozen-Flask使用，如果无法通过正常路由找到。

因此，您可能已经猜到，通过创建静态站点，您会失去一些博客基本原理——这是鼓励交流和辩论的一个领域。幸运的是，有一个简单的解决方案。

Frozen-Flask的另一个问题是，对于分布在网络上的多个作者，您如何管理存储帖子的数据库？每个人都需要相同的最新数据库副本；否则，当您生成站点的静态副本时，它将无法创建所有内容。

如果您都在同一个环境中工作，一个解决方案是在网络内的服务器上运行博客的工作副本，并且在发布时，它将使用集中式数据库来创建博客的已发布版本。

然而，如果您都在不同的地方工作，集中式数据库不是理想的解决方案或无法保护，另一个解决方案是使用基于文件系统的数据库引擎，如SQLite。然后，当对数据库进行更新时，可以通过电子邮件、Dropbox、Skype等方式将该文件传播给其他人。然后，他们可以从本地运行Frozen-Flask创建可发布内容的最新副本。

一个这样的例子是电子邮件。用户可能会请求发送电子邮件，例如重置密码请求，您不希望他们在生成和发送电子邮件时等待页面加载。我们可以将其设置为启动和丢弃操作，并让用户知道该请求正在处理中。

Celery能够摆脱Python的单线程环境的方式是，我们必须单独运行一个Celery代理实例；这会创建Celery所谓的执行实际工作的工作进程。然后，您的Flask应用程序和工作进程通过消息代理进行通信。

显然，我们需要安装Celery，我相信您现在可以猜到您需要的命令是以下命令：

pipinstallcelery现在我们需要一个消息代理服务器。有很多选择；查看Celery的网站以获取支持的选择，但是，由于我们已经在Flask-Cache设置中设置了Redis，让我们使用它。

现在我们需要告诉Celery如何使用Redis服务器。打开Flask应用程序配置文件并添加以下行：

CELERY_BROKER_URL='redis://localhost:6379/0'此配置告诉您的Celery实例在哪里找到它需要与Celery代理通信的消息代理。现在我们需要在我们的应用程序中初始化Celery实例。在main.py文件中添加以下内容：

fromceleryimportCelerycelery=Celery(app.name,broker=app.config['CELERY_BROKER_URL'])这将使用来自Flask配置文件的配置创建一个Celery实例，因此我们还可以从Celery代理访问celery对象并共享相同的设置。

现在我们需要为Celery工作进程做一些事情。在这一点上，我们将利用Flask-Mail库：

pipinstallFlask-Mail我们还需要一些配置才能运行。将以下参数添加到您的Flask配置文件中：

MAIL_SERVER="example.com"MAIL_PORT=25MAIL_USERNAME="email_username"MAIL_PASSWORD="email_password"此配置告诉Flask-Mail您的电子邮件服务器在哪里。很可能默认设置对您来说已经足够好，或者您可能需要更多选项。查看Flask-Mail配置以获取更多选项。

现在让我们创建一个名为tasks.py的新文件，并创建一些要运行的任务，如下所示：

fromflask_mailimportMail,Messagefrommainimportapp,celerymail=Mail(app)@celery.taskdefsend_password_verification(email,verification_code):msg=Message("Yourpasswordresetverificationcodeis:{0}".format(verification_code),sender="from@example.com",recipients=[email])mail.send(msg)这是一个非常简单的消息生成；我们只是生成一封电子邮件，内容是新密码是什么，电子邮件来自哪里（我们的邮件服务器），电子邮件发送给谁，以及假设是用户账户的电子邮件地址，然后发送；然后通过已设置的邮件实例发送消息。

现在我们需要让我们的Flask应用程序利用新的异步能力。让我们创建一个视图，监听被POST到它的电子邮件地址。这可以在与帐户或主应用程序有关的任何蓝图中进行。

importtasks@app.route("/reset-password",methods=['POST'])defreset_password():user_email=request.form.get('email')user=db.User.query.filter(email=user_email).first()ifuser:new_password=db.User.make_password("imawally")user.update({"password_hash":new_password})user.commit()tasks.send_password_verification.delay(user.email,new_password)flash("Verificatione-mailsent")else:flash("Usernotfound.")redirect(url_for('homepage'))前面的视图接受来自浏览器的POST消息，其中包含声称忘记密码的用户的电子邮件。我们首先通过他们的电子邮件地址查找用户，以查看用户是否确实存在于我们的数据库中。显然，在不存在的帐户上重置密码是没有意义的。当然，如果他们不存在，用户将收到相应的消息。

请注意，这不是进行密码重置的最佳解决方案。这只是为了说明您可能希望以简洁的方式执行此操作。密码重置是一个令人惊讶地复杂的领域，有很多事情可以做来提高此功能的安全性和隐私性，例如检查CSRF值，限制调用方法的次数，并使用随机生成的URL供用户重置密码，而不是通过电子邮件发送的硬编码解决方案。

最后，当我们运行Flask应用程序时，我们需要运行Celery代理；否则，几乎不会发生任何事情。不要忘记，这个代理是启动所有异步工作者的进程。我们可以做的最简单的事情就是从Flask应用程序目录中运行以下命令：

celeryd-Amainworker这很简单地启动了Celery代理，并告诉它查找main应用程序中的celery配置，以便它可以找到配置和应该运行的任务。

现在我们可以启动我们的Flask应用程序并发送一些电子邮件。

使用Flask非常有用的一件事是创建一个命令行界面，这样当其他人使用您的软件时，他们可以轻松地使用您提供的方法，比如设置数据库、创建管理用户或更新CSRF密钥。

我们已经有一个类似的脚本，并且可以在这种方式中使用的脚本是第二章中的create_db.py脚本，使用SQLAlchemy的关系数据库。为此，再次有一个Flask扩展。只需运行以下命令：

pipinstallFlask-Script现在，Flask-Script的有趣之处在于，命令的工作方式与Flask中的路由和视图非常相似。让我们看一个例子：

fromflask.ext.scriptimportManagerfrommainimportappmanager=Manager(app)@manager.commanddefhello():print"HelloWorld"if__name__=="__main__":manager.run()您可以在这里看到，Flask-Script将自己称为Manager，但管理器也将自己挂钩到Flask应用程序中。这意味着您可以通过使用app引用来对Flask应用程序执行任何操作。

因此，如果我们将create_db.py应用程序转换为Flask-Script应用程序，我们应该创建一个文件来完成这项工作。让我们称之为manage.py，并从文件create_db.py中插入：

frommainimportdb@manager.commanddefcreate_db():db.create_all()所有这些只是设置一个装饰器，以便manage.py带有参数create_db将运行create_db.py中的方法。

现在我们可以从以下命令行运行：

pythonmanage.pycreate_db参考总结在本章中，我们做了各种各样的事情。您已经看到如何创建自己的Markdown渲染器，以便编辑更容易，并将命令移动到Flask中，使其更易管理。我们创建了Atomfeeds，这样我们的读者可以在发布新内容时找到它，并创建了异步任务，这样我们就不会在等待页面加载时锁定用户的浏览器。

在我们的最后一章中，我们将学习如何将我们的简单应用程序转变为一个完全部署的博客，具有所有讨论的功能，已经得到保护，并且可以使用。

在本章中，我们将学习如何以安全和自动化的可重复方式部署我们的Flask应用程序。我们将看到如何配置常用的WSGI（Web服务器网关接口）能力服务器，如Apache、Nginx，以及PythonWeb服务器Gunicorn。然后，我们将看到如何使用SSL保护部分或整个站点，最后将我们的应用程序包装在配置管理工具中，以自动化我们的部署。

重要的是要注意，Flask本身并不是一个Web服务器。Web服务器是面向互联网的工具，经过多年的开发和修补，并且可以同时运行多个服务。

在互联网上仅运行Flask作为Web服务器可能会很好，这要归功于WerkzeugWSGI层。然而，Flask在页面路由和渲染系统上的真正重点是开发。作为Web服务器运行Flask可能会产生意想不到的影响。理想情况下，Flask将位于Web服务器后面，并在服务器识别到对您的应用程序的请求时被调用。为此，Web服务器和Flask需要能够使用相同的语言进行通信。

然而，要让Werkzeug使用WSGI协议与您的Web服务器通信，我们必须使用一个网关。这将接收来自您的Web服务器和Python应用程序的请求，并在它们之间进行转换。大多数Web服务器都会使用WSGI，尽管有些需要一个模块，有些需要一个单独的网关，如uWSGI。

首先要做的一件事是为WSGI网关创建一个WSGI文件以进行通信。这只是一个具有已知结构的Python文件，以便WSGI网关可以访问它。我们需要在与您的博客应用程序的其余部分相同的目录中创建一个名为wsgi.py的文件，它将包含：

要确保在基于Debian和Ubuntu的系统上安装了Apache和WSGI模块，请运行以下命令：

sudoapt-getinstallapache2libapache2-mod-wsgi但是，在基于RedHat和Fedora的系统上运行以下命令：

在该配置文件中，使用以下代码更新内容：

WSGIScriptAlias//wsgi.py/>Orderdeny,allowAllowfromall此配置指示Apache，对于对端口80上主机的每个请求，都要尝试从wsgi.py脚本加载。目录部分告诉Apache如何处理对该目录的请求，并且默认情况下，最好拒绝任何访问Web服务器的人对源目录中的文件的访问。请注意，在这种情况下，是存储wsgi.py文件的目录的完整绝对路径。

LoadModulewsgi_modulemodules/mod_wsgi.so现在我们需要通过运行以下命令在基于Debian和Ubuntu的系统上启用我们的新站点：

sudoa2ensiteblog这指示Apache在/etc/apache2/sites-available和/etc/apache2/sites-enabled之间创建符号链接，Apache实际上从中获取其配置。现在我们需要重新启动Apache。在您的特定环境或分发中，可以以许多方式执行此操作。最简单的方法可能只是运行以下命令：

请注意，一些Linux发行版默认配置必须禁用。这可能可以通过在Debian和Ubuntu系统中输入以下命令来禁用：

sudoserviceapache2restart在基于RedHat和CentOS的系统中：

在使用Flask时，通过Web服务器，非常重要的一步是通过为站点的静态内容创建一个快捷方式来减少应用程序的负载。这将把相对琐碎的任务交给Web服务器，使得处理过程更快速、更响应。这也是一件简单的事情。

编辑您的blog.conf文件，在标签内添加以下行：

Alias/static/static在这里，是静态目录存在的完整绝对路径。然后按照以下步骤重新加载Debian和Ubuntu系统的Apache配置：

sudoserviceapache2restart对于基于RedHat和CentOS的系统如下：

sudoapt-getinstallnginx在基于RedHat或Fedora的系统中，以下

sudoyuminstallnginx现在由于uWSGI是一个Python模块，我们可以使用pip安装它：

sudopipinstalluwsgi要在基于Debian和Ubuntu的系统中配置Nginx，需要在/etc/nginx/sites-available中创建一个名为blog.conf的文件，或者在基于RedHat或Fedora的系统中，在/etc/nginx/conf.d中创建文件，并添加以下内容：

server{listen80;server_name_;location/{try_files$uri@blogapp;}location@blogapp{includeuwsgi_params;uwsgi_passunix:/var/run/blog.wsgi.sock;}}这个配置与Apache配置非常相似，尽管是以Nginx形式表达的。它在端口80上接受连接，并且对于任何服务器名称，它都会尝试访问blog.wsgi.sock，这是一个用于与uWSGI通信的Unix套接字文件。您会注意到@blogapp被用作指向位置的快捷方式引用。

只有在基于Debian和Ubuntu的系统中，我们现在需要通过从可用站点创建符号链接到已启用站点来启用新站点：

sudoln-s/etc/nginx/sites-available/blog.conf/etc/nginx/sites-enabled然后我们需要告诉uWSGI在哪里找到套接字文件，以便它可以与Nginx通信。为此，我们需要在blogapp目录中创建一个名为uwsgi.ini的uWSGI配置文件，其中包含以下内容：

[uwsgi]base=app=appmodule=appsocket=/var/run/blog.wsgi.sock您将需要将更改为您的app.py文件存在的路径。还要注意套接字是如何设置在与Nginx站点配置文件中指定的相同路径中的。

您可能会注意到INI文件的格式和结构非常类似于Windows的INI文件。

我们可以通过运行以下命令来验证此配置是否有效：

uwsgi–iniuwsgi.ini现在Nginx知道如何与网关通信，但还没有使用站点配置文件；我们需要重新启动它。在您特定的环境中可以通过多种方式执行此操作。最简单的方法可能就是运行以下命令：

请注意，一些Linux发行版附带了必须禁用的默认配置。在基于Debian和Ubuntu的系统以及基于RedHat和CentOS的系统中，通常可以通过删除/etc/nginx/conf.d/default.conf文件来完成此操作。

sudorm/etc/nginx/conf.d/default.conf并重新启动nginx服务：

sudoservicenginxrestart注意Nginx还有一个重新加载选项，而不是重新启动。这告诉服务器再次查看配置文件并与其一起工作。这通常比重新启动更快，并且可以保持现有的连接打开。而重新启动会退出服务器并重新启动，带走打开的连接。重新启动的好处在于它更加明确，并且对于设置目的更加一致。

在使用Flask通过Web服务器时，非常重要的一步是通过为站点上的静态内容创建一个快捷方式，以减轻应用程序的负载。这将使Web服务器从相对琐碎的任务中解脱出来，使得向最终浏览器提供基本文件的过程更快速、更响应。这也是一个简单的任务。

编辑您的blog.conf文件，在server{标签内添加以下行：

location/static{root/static;}其中是静态目录存在的完整绝对路径。重新加载Nginx配置：

sudoservicenginxrestart这将告诉Nginx在浏览器请求/static时在哪里查找文件。您可以通过查看Nginx日志文件/var/log/nginx/access.log来看到这一点。

Gunicorn是一个用Python编写的Web服务器。它已经理解了WSGI，Flask也是如此，因此让Gunicorn运行起来就像输入以下代码一样简单：

pipinstallgunicorngunicornapp:app其中app:app是您的应用程序，模块名称是我们在其中使用的（与uWSGI配置基本相同）。除此之外还有更多选项，但例如，从中工作并设置端口和绑定是有用的：

gunicorn--bind127.0.0.1:8000app:app--bind标志告诉Gunicorn要连接到哪个接口以及在哪个端口。如果我们只需要在内部使用Web应用程序，这是有用的。

另一个有用的标志是--daemon标志，它告诉Gunicorn在后台运行并与您的shell分离。这意味着我们不再直接控制该进程，但它正在运行，并且可以通过设置的绑定接口和端口进行访问。

在一个日益残酷的互联网上，通过证明其真实性来提高网站的安全性是很重要的。改善网站安全性的常用工具是使用SSL，甚至更好的是TLS。

SSL和TLS证书允许您的服务器通过受信任的第三方基于您的浏览器连接的域名进行验证。这意味着，作为网站用户，我们可以确保我们正在交谈的网站在传输过程中没有被更改，是我们正在交谈的正确服务器，并且在服务器和我们的浏览器之间发送的数据不能被嗅探。当我们想要验证用户发送给我们的信息是否有效和受保护时，这显然变得重要，而我们的用户希望知道我们的数据在传输过程中受到保护。

首先要做的是生成您的SSL证书请求。这与第三方一起使用，该第三方签署请求以验证您的服务器与任何浏览器。有几种方法可以做到这一点，取决于您的系统，但最简单的方法是运行以下命令：

CountryName(2lettercode)[AU]:GBStateorProvinceName(fullname)[Some-State]:LondonLocalityName(eg,city)[]:LondonOrganizationName(eg,company)[InternetWidgitsPtyLtd]:ExampleCompanyOrganizationalUnitName(eg,section)[]:ITCommonName(eg,YOURname)[]:blog.example.comEmailAddress[]:Achallengepassword[]:Anoptionalcompanyname[]:在这里，您可以看到我们使用blog.example.com作为我们示例域名，我们的博客应用将在该域名下访问。您必须在这里使用您自己的域名。电子邮件地址和密码并不是非常重要的，可以留空，但您应该填写“组织名称”字段，因为这将是您的SSL证书被识别为的名称。如果您不是一家公司，只需使用您自己的名字。

该命令为我们生成了两个文件；一个是private.key文件，这是我们的服务器用来与浏览器签署通信的文件，另一个是public.csr，这是发送给处理服务器和浏览器之间验证的第三方服务的证书请求文件。

公钥/私钥加密是一个广泛但深入研究的主题。鉴于Heartbleed攻击，如果您希望保护服务器，了解这个是值得的。

下一步是使用第三方签署您的public.csr请求。有许多服务可以为您执行此操作，有些免费，有些略有成本；例如Let'sEncrypt等一些服务可以完全免费地自动化整个过程。它们都提供基本相同的服务，但它们可能不会全部内置到所有浏览器中，并且为不同成本的不同程度的支持提供不同程度的支持。

这些服务将与您进行验证过程，要求您的public.csr证书请求，并为您的主机名返回一个已签名的.crt证书文件。

请注意，将您的.crt和.key文件命名为其中申请证书的站点主机名可能会对您有所帮助。在我们的情况下，这将是blog.example.com.crt。

您的新.crt文件和现有的.key文件可以放在服务器的任何位置。但是，通常.crt文件放在/etc/ssl/certs中，而.key文件放在/etc/ssl/private中。

所有正确的文件都放在正确的位置后，我们需要重新打开用于我们的博客服务的现有Apache配置。最好运行一个正常的HTTP和HTTPS服务。但是，由于我们已经努力设置了HTTPS服务，强制执行它以重定向我们的用户是有意义的。这可以通过一个称为HSTS的新规范来实现，但并非所有的Web服务器构建都支持这一点，所以我们将使用重定向。

您可以通过向操作系统的主机文件添加一个条目来在本地机器上运行带有SSL证书的测试域。只是不要忘记在完成后将其删除。

首先要更改的是VirtualHost行上的端口，从默认的HTTP端口80更改为默认的HTTPS端口443：

我们还应该指定服务器的主机名正在使用的SSL证书；因此，在VirtualHost部分添加一个ServerName参数。这将确保证书不会在错误的域中使用。

ServerNameblog.example.com您必须用您将要使用的主机名替换blog.example.com。

我们还需要设置SSL配置，以告诉Apache如何响应：

SSLEngineonSSLProtocol-all+TLSv1+SSLv2SSLCertificateFile/etc/ssl/certs/blog.example.com.crtSSLCertificateKeyFile/etc/ssl/private/blog.example.com.keySSLVerifyClientNone这里的情况是，Apache中的SSL模块被启用，为该站点指定了公共证书和私钥文件，并且不需要客户端证书。禁用默认的SSL协议并启用TLS非常重要，因为TLS被认为比SSL更安全。但是，仍然启用SSLv2以支持旧版浏览器。

现在我们需要测试它。让我们重新启动Apache：

现在它正在工作，最后一步是将普通的HTTP重定向到HTTPS。在配置文件中，再次添加以下内容：

再次重启Apache：

sudoserviceapache2restart现在在网站上用浏览器测试这个配置；验证您被重定向到HTTPS，无论您访问哪个页面。

Nginx的配置非常简单。与Apache配置非常相似，我们需要更改Nginx将监听我们站点的端口。由于HTTPS在端口443上运行，这里的区别在于告诉Nginx期望SSL连接。在配置中，我们必须更新以下行：

listen443ssl;现在要将SSL配置添加到配置的服务器元素中，输入以下内容：

server_nameblog.example.com;ssl_certificate/etc/ssl/certs/blog.example.com.crt;ssl_certificate_key/etc/ssl/private/blog.example.com.key;ssl_protocolsTLSv1SSLv2;这告诉Nginx将此配置应用于对blog.example.com主机名的请求（不要忘记用您自己的替换它），因为我们不希望为不适用的域发送SSL证书。我们还指定了公共证书文件位置和文件系统上的私有SSL密钥文件位置。最后，我们指定了要使用的SSL协议，这意味着启用TLS（被认为比SSL更安全）。但是SSLv2仍然启用以支持旧版浏览器。

现在来测试它。让我们重新启动Nginx服务：

一旦我们证明它正在工作，最后一步是将普通的HTTP重定向到HTTPS。再次在配置文件中添加以下内容：

最后一次，重新启动Nginx：

sudoservicenginxrestart最后，在您被重定向到HTTPS的网站上测试您的浏览器，无论您访问哪个页面。

从0.17版本开始，Gunicorn也添加了SSL支持。要从命令行启用SSL，我们需要一些标志：

gunicorn--bind0.0.0.0:443--certfile/etc/ssl/certs/blog.example.com.crt--keyfile/etc/ssl/private/blog.example.com.key--ssl-version2--ciphersTLSv1app:app这与Nginx和ApacheSSL配置的工作方式非常相似。它指定要绑定的端口，以及在这种情况下的所有接口。然后，它将Gunicorn指向公共证书和私钥文件，并选择在旧版浏览器中使用SSLv2和（通常被认为更安全的）TLS密码协议。

通过在浏览器中输入主机名和HTTPS来测试这个。

现在准备好了，让我们将端口80重定向到端口443。这在Gunicorn中相当复杂，因为它没有内置的重定向功能。一个解决方案是创建一个非常简单的Flask应用程序，在Gunicorn上的端口80启动，并重定向到端口443。这将是一个新的应用程序，带有一个新的app.py文件，其内容如下：

请注意，空字符串对于urlunparse函数很重要，因为它期望一个完整的URL元组，就像由urlparse生成的那样。

您现在可能已经知道如何在Gunicorn中运行这个，尽管如此，要使用的命令如下：

gunicorn--bind0.0.0.0:80app:app现在使用浏览器连接到旧的HTTP主机，您应该被重定向到HTTPS版本。

Ansible是一个配置管理工具。它允许我们以可重复和可管理的方式自动化部署我们的应用程序，而无需每次考虑如何部署我们的应用程序。

Ansible可以在本地和通过SSH工作。您可以使用Ansible的一个聪明之处是让Ansible配置自身。根据您自己的配置，然后可以告诉它部署它需要的其他机器。

然而，我们只需要专注于使用Apache、WSGI和Flask构建我们自己的本地Flask实例。

首先要做的是在我们要部署Flask应用的机器上安装Ansible。由于Ansible是用Python编写的，我们可以通过使用pip来实现这一点：

sudopipinstallansible现在我们有了一个配置管理器，既然配置管理器是用来设置服务器的，让我们建立一个playbook，Ansible可以用来构建整个机器。

在一个新项目或目录中，创建一个名为blog.yml的文件。我们正在创建一个Ansible称为Playbook的文件；它是一个按顺序运行的命令列表，并构建我们在Apache下运行的博客。为简单起见，在这个文件中假定您使用的是一个Ubuntu衍生操作系统：

----hosts:webserversuser:ubuntusudo:Truevars:app_src:../blogapp_dest:/srv/blogtasks:-name:installnecessarypackagesaction:aptpkg=$itemstate=installedwith_items:-apache2-libapache2-mod-wsgi-python-setuptools-name:EnablewsgimoduleforApacheaction:commanda2enmodwsgi-name:BlogappconfigurationforApacheaction:templatesrc=templates/blogdest=/etc/apache/sites-available/blog-name:Copyblogappinaction:copysrc=${app_src}dest=${app_dest}-name:Enablesiteaction:commanda2ensiteblog-name:ReloadApacheaction:servicename=apache2state=reloadedAnsiblePlaybook是一个YAML文件，包含几个部分；主要部分描述了“play”。hosts值描述了后续设置应该应用于哪组机器。user描述了play应该以什么用户身份运行；对于您来说，这应该是Ansible可以运行以安装您的应用程序的用户。sudo设置告诉Ansible以sudo权限运行此play，而不是以root身份运行。

vars部分描述了playbook中常见的变量。这些设置很容易找到，因为它们位于顶部，但也可以在playbook配置中以${example_variable}的格式稍后使用，如果example_variable在这里的vars部分中定义。这里最重要的变量是app_src变量，它告诉Ansible在将应用程序复制到正确位置时在哪里找到我们的应用程序。在这个例子中，我们假设它在一个名为blog的目录中，但对于您来说，它可能位于文件系统的其他位置，您可能需要更新此变量。

最后一个最重要的部分是tasks部分。这告诉Ansible在更新它控制的机器时要运行什么。如果您熟悉Ubuntu，这些任务应该有些熟悉。例如，action:apt告诉apt确保with_items列表中指定的所有软件包都已安装。您将注意到$item变量与pkg参数。$item变量由Ansible自动填充，因为它在with_items命令和apt命令上进行迭代，apt命令使用pkg参数来验证软件包是否已安装。

NameVirtualHost*:80WSGIScriptAlias/{{app_dest}}/wsgi.pyOrderdeny,allowAllowfromall这应该很熟悉，这是Apache部分示例的直接剽窃；但是，我们已经利用了Ansible变量来填充博客应用程序的位置。这意味着，如果我们想将应用程序安装到另一个位置，只需更新app_dest变量即可。

最后，在Playbook任务中，它将我们非常重要的博客应用程序复制到机器上，使用Debian简写在Apache中启用站点，并重新加载Apache，以便可以使用该站点。

所以剩下的就是在那台机器上运行Ansible，并让它为您构建系统。

ansible-playbookblog.yml--connection=local这告诉Ansible运行我们之前创建的Playbook文件blog.yml，并在local连接类型上使用它，这意味着应用于本地机器。

Ansible提示

值得注意的是，这可能不是在大型分布式环境中使用Ansible的最佳方式。首先，您可能希望将其应用于远程机器，或者将Apache配置、ApacheWSGI配置、Flask应用程序配置和博客配置分开成Ansible称为角色的单独文件；这将使它们可重用。

另一个有用的提示是指定使用的配置文件并在Apache中设置静态目录。阅读Ansible文档，了解更多有关改进部署的方法的想法：

在本章中，我们已经看到了许多运行Flask应用程序的方法，包括在多个Web服务器中保护隐私和安全，并提供静态文件以减少Flask应用程序的负载。我们还为Ansible制作了一个配置文件，以实现可重复的应用程序部署，因此，如果需要重新构建机器，这将是一个简单的任务。