在之前的文章中，我们讲到Flask中的SERVER_NAME主要做两件事：

1. 协助Flask生成请求上下文之外的URL（比如邮件）
2. 用于子域名支持

今天我们就来讲讲子域名这部分。

Flask子域名

一般用于数量比较少的子域名，一个模块对应一个子域名。先看下面一个例子：

modules.py:

from flask import Blueprint

public = Blueprint('public', __name__)

@public.route('/')
def home():
    return 'hello flask'

app.py:

app = Flask(__name__)
app.config['SERVER_NAME'] = 'example.com'
from modules import public
app.register_blueprint(public, subdomain='public')

现在可以通过public.example.com/来访问public模块了。

通配符子域

通配符子域，即通过一个模块来匹配很多个子域名。比如某些网站提供的个性化域名功能，就是这种形式。

先来看段示例代码：

modules.py:

from flask import Blueprint

member = Blueprint('member', __name__)

@member.route('/')
def home():
    return g.subdomain

app.py:

app = Flask(__name__)
app.config['SERVER_NAME'] = 'example.com'
from modules import member
app.register_blueprint(member, subdomain='<subdomain>')

这段代码和上一节的第像，不同之处是这里的subdomain使用了动态参数<subdomain>（路由中的URL变量也是这种方式）。我们可以用这个参数在请求回调函数之前利用的组合的url处理器来获取相关的用户。这样我们就可以通过*.example.com的形式来访问member模块了。

下面是为任何Flask或Blueprint对象增加子域名支持的便捷函数：

def add_subdomain_to_global(endpoint, values):
    g.subdomain = values.pop('subdomain', None)

def add_subdomain_to_url_params(endpoint, values):
    if not 'subdomain' in values:
        values['subdomain'] = g.subdomain

def add_subdomain_support(app):
    app.url_value_preprocessor(add_subdomain_to_global)
    app.url_defaults(add_subdomain_to_url_params)

然后你可以使用before_request回调函数来处理子域名：

add_subdomain_support(blueprint)

@blueprint.before_request
def add_user_to_global():
    g.user = None
    if g.subdomain:
        g.user = User.query.filter_by(username=g.subdomain).first_or_404()

注：这里的blueprint请改为实际对象。

特别说明：通配符子域调试不是不太方便，需要做泛域名解析才可以。修改hosts文件来指定域名的方法是不可行的（子域名较少时可以逐个添加，子域名多了就不太现实了）。本机调试时，可以安装DNS服务器（比如LINUX BIND服务等），并做好泛域名解析，然后再进行调试。当然使用公网域名和服务器来调试也未尝不可。

英文好的同学可以参阅：Getting bigger with Flask

本文链接: http://flask123.sinaapp.com/article/45/ 
版权所有。转载时必须以链接形式注明作者和原始出处及本声明。

SERVER_NAME是Flask中比较容易用错的一个设置值，本文将介绍如何正确使用SERVER_NAME。

Flask中的SERVER_NAME主要做两件事：

1. 协助Flask在活动的请求（request）之外生成绝对URL（比如邮件中嵌入网站URL）
2. 用于子域名支持

很多人误以为它可以做这两件事之外的其它事情。

第一件事：绝对URL

我们知道，url_for默认情况下是生成相对URL，它有个参数_external，如果设置为真，则会生成一个绝对URL（就是HTTP开头带域名等信息的）。若不指定SERVER_NAME，默认使用当前活动的请求（request）来生成URL。

下面举个例子演示一下：

# filename myapp.py
from flask import Flask, url_for

app = Flask(__name__)

@app.route('/')
def index():
    return 'hello flask'

@app.route('/test')
def test():
    return url_for('index', _external=True)

if __name__ == '__main__':
    app.run(debug=True)

【情景1】通过浏览器访问

app运行之后，在本地5000端口监听。

(env) F:\tmp>python myapp.py
 * Running on http://127.0.0.1:5000/
 * Restarting with reloader

若我们通过浏览器访问http://127.0.0.1:5000/test，则返回的内容是：http://127.0.0.1:5000/。

若我们通过浏览器访问http://localhost:5000/test，则返回的内容是：http://localhost:5000/。

可以看出，在未设置SERVER_NAME的情况下，url_for生成的绝对URL是依赖于请求的URL的。下面我们来看看不通过浏览器访问的情况。

【情景2】非浏览器访问

这个情景是指不存在request请求的情况。

我们通过Python Shell来模拟：

>>> from myapp import app
>>> with app.app_context():
...     print url_for('index', _external=True)
...
Traceback (most recent call last):
  File "<stdin>", line 2, in <module>
  File "F:\tmp\env\lib\site-packages\flask\helpers.py", line 287, in url_for
    raise RuntimeError('Application was not able to create a URL '
RuntimeError: Application was not able to create a URL adapter for request indep
endent URL generation. You might be able to fix this by setting the SERVER_NAME
config variable.

上面的意思是说应用程序不能创建一个用于与request不相关的URL生成的URL适配器，可以通过设置SERVER_NAME来解决这个问题。

好，下面我们为SERVER_NAME设置一个值之后再试试：

>>> app.config['SERVER_NAME'] = 'example.com'
>>> with app.app_context():
...     print url_for('index', _external=True)
...
http://example.com/

PS: 一般SERVER_NAME设置为网站的域名。

在Flask-Mail相关的文章中有这么一段话：

许多Flask的扩展都是假定自己运行在一个活动的应用和请求上下文中，Flask-Mail
的send函数使用到current_app这个上下文了，所以当mail.send()函数在一个
线程中执行的时候需要人为的创建一个上下文，所有在send_async_email中使用了
app.app_context()来创建一个上下文。

原文如下:

Many Flask extensions operate under the assumption that there are active
application and request contexts. Flask-Mail's send() function uses
current_app, so it requires the application context to be active. But
when the mail.send() function executes in a different thread, the
application context needs to be created artificially using
app.app_context().

因此，若要生成不依赖于request的绝对URL（比如异步发送邮件时在邮件中生成网站某个页面的URL），就必须要设置SERVER_NAME。

第二件事：子域名支持

SERVER_NAME键是用于子域名支持。因为 Flask 在得知现有服务器名之前不能猜测出子域名部分，所以如果你想使用子域名，这个选项必要的，并且也用于会话cookie。

请牢记不只有 Flask 存在不知道子域名的问题，你的浏览器同样存在这样的问题。 大多数现代 web 浏览器不允许服务器名不含有点的跨子域名 cookie。因此如果你的服务器的 名称为 localhost，你将不能为 localhost 和所有它的子域名设置一个 cookie。 请选择一个合适的服务器名，像 'myapplication.local'， 并添加你想要的服务器名 + 子域名 到你的 host 配置或设置一个本地 bind。

对于子域名部分，会有另外一篇文章详细说明。

原文：http://flask123.sinaapp.com/article/44/

本文介绍Flask密码生成和密码验证的一种通用方法。所使用的函数为Flask框架内
置的函数：generate_password_hash, check_password_hash。

密码加密简介

密码存储的主要形式：

• 明文存储：肉眼就可以识别，没有任何安全性。
• 加密存储：通过一定的变换形式，使得密码原文不易被识别。

密码加密的几类方式：

• 明文转码加密：BASE64, 7BIT等，这种方式只是个障眼法，不是真正的加密。

• 对称算法加密：DES, RSA等。

• 签名算法加密：也可以理解为单向哈希加密，比如MD5, SHA1等。加密算法固定，容
  易被暴力破解。如果密码相同，得到的哈希值是一样的。

• 加盐哈希加密：加密时混入一段“随机”字符串（盐值）再进行哈希加密。即使
  密码相同，如果盐值不同，那么哈希值也是不一样的。现在网站开发中主要是运
  用这种加密方法。

密码生成函数：generate_password_hash

函数定义：

werkzeug.security.generate_password_hash(password, method='pbkdf2:sha1', salt_length=8)

generate_password_hash是一个密码加盐哈希函数，生成的哈希值可通过
check_password_hash()进行验证。

哈希之后的哈希字符串格式是这样的：

method$salt$hash

参数说明：

• password: 明文密码

• method: 哈希的方式（需要是hashlib库支持的），格式为
  pbpdf2:<method>[:iterations]。参数说明：

  • method：哈希的方式，一般为SHA1，
  • iterations：（可选参数）迭代次数，默认为1000。

• slat_length: 盐值的长度，默认为8。

密码生成示例：

>>> from werkzeug.security import generate_password_hash
>>> print generate_password_hash('123456')
'pbkdf2:sha1:1000$X97hPa3g$252c0cca000c3674b8ef7a2b8ecd409695aac370'

因为盐值是随机的，所以就算是相同的密码，生成的哈希值也不会是一样的。

密码验证函数：check_password_hash

函数定义：

werkzeug.security.check_password_hash(pwhash, password)

check_password_hash函数用于验证经过generate_password_hash哈希的密码
。若密码匹配，则返回真，否则返回假。

参数：

• pwhash: generate_password_hash生成的哈希字符串

• password: 需要验证的明文密码

密码验证示例：

>>> from werkzeug.security import check_password_hash
>>> pwhash = 'pbkdf2:sha1:1000$X97hPa3g$252c0cca000c3674b8ef7a2b8ecd409695aac370'
>>> print check_password_hash(pwhash, '123456')
True

小结

上面就是密码生成和验证的方法，一般来说，默认的加密强度已经足够了，如果需
要更复杂的密码，可以加大盐值长度和迭代次数。

原文：Flask加盐密码生成和验证函数

WTForms 是一个 Python 表单验证、渲染开发包。WTForms 2.0 于2014年5月发布，这是继 WTForms 1.0.5 之后第一个重要的版本。

新特性

• Class Meta 可以从多方面定制 WTForms
• CSRF 和 i18n 由扩展变成核心特性
• Widget 渲染变更

不推荐使用的API

这些API仍然有效，但在很多情况下，会引发弃用警告。这些API在3.0的时候将完全移除，尽量写符合新API的代码，除非需要在 WTForms 1.X 和 2.X 交叉使用。

核心API

• Form._get_translations 改为 Meta.get_translations
• TextField （ StringField 的另一种形式）弃用
• wtforms.validators.Required 改为 wtforms.validators.DataRequired
• wtforms.fields._unset_value 改为 wtforms.utils.unset_value

WTForms 扩展

所有扩展将会被弃用。这些扩展会从 WTForms 中抽离出来，允许他们有单独的发布时间表，使得适合于他们的companion libraries。

• wtforms.ext.appengine 被弃用。参考 WTForms-Appengine
• wtforms.ext.csrf CSRF为内置模块
• wtforms.ext.dateutil 被弃用, 但现在没有找到好归宿
• wtforms.ext.django 被弃用。 参考 WTForms-Django
• wtforms.ext.i18n i18n为内置模块
• wtforms.ext.sqlalchemy 被弃用。参考 WTForms-Alchemy

详细信息请查看：http://wtforms.readthedocs.org/en/latest/whats_new.html

原文：http://flask123.sinaapp.com/article/32/