Flask请求对象包含包含客户端在请求中发送的全部信息,对包含表单数据的post请求来说,request.form可以轻松访问用户填写的信息。Flask-WTF扩展可以把处理WEB表单的过程(如:生成表单的HTML代码和验证表单提交的数据)变成一种愉悦的体验。Flask-WTF及其依赖可以通过pip安装:
pip install flask-wtf
一. 使用flask-wtf前的配置
Flask-WTF无需在应用层初始化,但是它要求应用配置一个秘钥,由随机字符构成,通常保存在环境变量中,而非写入源码。Flask使用这个秘钥保护用户会话,以防篡改。
from flask import Flask
app = Flask(__name__)
# 配置Flaks-WTF
app.config['SECRET_KEY'] = "hard to guess string"
app.config字典可用于存储Flask、扩展和应用自身的配置变量,并且支持从文件或环境变量中导入配置(在原书第七章介绍)。 Flask-WTF之所以要求应用配置一个秘钥,是为了防止表单遭到跨站请求伪造(CSRF)攻击。Flask为所有表单生成安全令牌,存储在用户会话中。令牌是一种加密签名,根据秘钥生成。
二. wtforms表单类
使用Flask-WTF时,在服务器端,每个Web表单都由一个继承自FlaskForm的类表示:
from flask_wtf import FlaskForm
from wtforms import StringField, SubmitField
from wtforms.validators import DataRequired
class NameForm(FlaskForm):
name = StringField("What's your name?", validators=[DataRequired()])
submit = SubmitField("SUBMIT")
表单中的字段都定义为类变量:NameForm表单中有一个名为name的文本字段和一个名为submit的提交按钮。字段构造函数的第一个参数把表单渲染成HTML时使用的标注(label),第二个参数是一个由验证函数组成的列表,用于验证用户提交的数据是否有效。