【Flask 全解析 · 下】数据库 ORM / 用户认证 / RESTful API / 部署上线:从开发到生产一次搞定
·
【Flask 全解析 · 下】数据库 ORM / 用户认证 / RESTful API / 部署上线:从开发到生产一次搞定
导语:上篇我们搞定了 Flask 的路由、模板、表单和项目结构,能跑起来一个像样的 Web 应用了。但一个真正的项目还需要:数据库持久化、用户登录认证、前后端分离 API、生产环境部署——这些才是从"能跑"到"能上线"的关键跨越。这篇是 Flask 系列的下篇,把 SQLAlchemy ORM、Flask-Login 认证、RESTful API 设计、Gunicorn + Nginx + Docker 部署全部讲透。学完这篇,你的 Flask 项目就能真正上线了。
一、Flask-SQLAlchemy:用 Python 对象操作数据库
1.1 为什么需要 ORM?
原生 SQL 写起来又臭又长:
SELECT u.username, p.title, p.created_at
FROM users u
JOIN posts p ON u.id = p.author_id
WHERE u.username = 'flask'
ORDER BY p.created_at DESC
LIMIT 10;
用 SQLAlchemy ORM,同样的事情变成:
posts = Post.query.join(User).filter(User.username == 'flask')\
.order_by(Post.created_at.desc()).limit(10).all()
ORM 的核心价值:用 Python 对象代替 SQL 字符串,用方法调用代替字符串拼接。好处有三:
- 类型安全:IDE 自动补全、静态检查,拼错字段名立刻报错
- 数据库无关:同一套代码,SQLite 开发、PostgreSQL 上线,只改配置
- 防 SQL 注入:参数化查询是默认行为,不是额外操作
1.2 配置与初始化
安装:
pip install Flask-SQLAlchemy Flask-Migrate
在工厂模式中初始化:
# extensions.py
from flask_sqlalchemy import SQLAlchemy
from flask_migrate import Migrate
db = SQLAlchemy()
migrate = Migrate()
# app/__init__.py
from flask import Flask
from app.extensions import db, migrate
def create_app(config_name='default'):
app = Flask(__name__)
app.config.from_object(config[config_name])
# 初始化扩展
db.init_app(app)
migrate.init_app(app, db)
# 注册蓝图
from app.models import user, post
from app.routes import auth, main, api
app.register_blueprint(auth.bp)
app.register_blueprint(main.bp)
app.register_blueprint(api.bp)
return app
数据库配置:
# config.py
import os
class Config:
SECRET_KEY = os.environ.get('SECRET_KEY') or 'hard-to-guess-string'
SQLALCHEMY_TRACK_MODIFICATIONS = False # 关闭信号追踪,节省内存
class DevelopmentConfig(Config):
DEBUG = True
SQLALCHEMY_DATABASE_URI = 'sqlite:///dev.db' # 开发用 SQLite
class ProductionConfig(Config):
SQLALCHEMY_DATABASE_URI = os.environ.get('DATABASE_URL') # 生产从环境变量读
SQLALCHEMY_ENGINE_OPTIONS = {
'pool_size': 10, # 连接池大小
'max_overflow': 20, # 超出 pool_size 后最多再创建 20 个连接
'pool_recycle': 3600, # 连接回收时间(秒)
}
config = {
'development': DevelopmentConfig,
'production': ProductionConfig,
}
1.3 定义模型
如上图所示,一个典型的博客系统包含 User、Post、Comment、Tag 五张表,以及一张多对多关联表。下面逐个实现:
# app/models/user.py
from werkzeug.security import generate_password_hash, check_password_hash
from app.extensions import db
# 多对多关联表(不需要独立模型类)
post_tags = db.Table('post_tags',
db.Column('post_id', db.Integer, db.ForeignKey('post.id'), primary_key=True),
db.Column('tag_id', db.Integer, db.ForeignKey('tag.id'), primary_key=True)
)
class User(db.Model):
__tablename__ = 'user'
id = db.Column(db.Integer, primary_key=True)
username = db.Column(db.String(80), unique=True, nullable=False, index=True)
email = db.Column(db.String(120), unique=True, nullable=False, index=True)
password_hash = db.Column(db.String(128), nullable=False)
avatar = db.Column(db.String(200), default='default.jpg')
created_at = db.Column(db.DateTime, default=db.func.now())
# 关系:一个用户有多篇文章、多条评论
posts = db.relationship('Post', backref='author', lazy='dynamic')
comments = db.relationship('Comment', backref='author', lazy='dynamic')
# 密码处理:只存哈希,不存明文
def set_password(self, password):
self.password_hash = generate_password_hash(password)
def verify_password(self, password):
return check_password_hash(self.password_hash, password)
def __repr__(self):
return f'<User {self.username}>'
# app/models/post.py
from app.extensions import db
from app.models.user import post_tags
class Post(db.Model):
__tablename__ = 'post'
id = db.Column(db.Integer, primary_key=True)
title = db.Column(db.String(200), nullable=False)
body = db.Column(db.Text, nullable=False)
author_id = db.Column(db.Integer, db.ForeignKey('user.id'), nullable=False)
created_at = db.Column(db.DateTime, default=db.func.now(), index=True)
views = db.Column(db.Integer, default=0)
is_published = db.Column(db.Boolean, default=True)
# 关系
comments = db.relationship('Comment', backref='post', lazy='dynamic')
tags = db.relationship('Tag', secondary=post_tags, backref=db.backref('posts', lazy='dynamic'))
def __repr__(self):
return f'<Post {self.title}>'
class Comment(db.Model):
__tablename__ = 'comment'
id = db.Column(db.Integer, primary_key=True)
body = db.Column(db.Text, nullable=False)
author_id = db.Column(db.Integer, db.ForeignKey('user.id'), nullable=False)
post_id = db.Column(db.Integer, db.ForeignKey('post.id'), nullable=False)
created_at = db.Column(db.DateTime, default=db.func.now())
def __repr__(self):
return f'<Comment on Post {self.post_id}>'
class Tag(db.Model):
__tablename__ = 'tag'
id = db.Column(db.Integer, primary_key=True)
name = db.Column(db.String(64), unique=True, nullable=False)
def __repr__(self):
return f'<Tag {self.name}>'
1.4 关系类型速查
| 关系类型 | ORM 写法 | 数据库实现 | 典型场景 |
|---|---|---|---|
| 一对多 | db.relationship('Post', backref='author') |
外键在"多"的一方 | 用户→文章 |
| 多对多 | secondary=关联表 |
中间关联表 | 文章↔标签 |
| 一对一 | uselist=False |
外键 + unique=True |
用户→资料 |
1.5 数据库迁移:Flask-Migrate
模型改了,数据库表结构也要跟着改。手动改 SQL 容易出错,Flask-Migrate 自动生成迁移脚本:
# 初始化迁移仓库(只需执行一次)
flask db init
# 生成迁移脚本(检测模型变化,生成 alembic 版本文件)
flask db migrate -m "add user table"
# 执行迁移(把变更应用到数据库)
flask db upgrade
# 回滚到上一版本
flask db downgrade
迁移脚本长这样(自动生成,一般不需要手动改):
# migrations/versions/001_add_user_table.py
def upgrade():
op.create_table('user',
sa.Column('id', sa.Integer(), nullable=False),
sa.Column('username', sa.String(length=80), nullable=False),
sa.Column('email', sa.String(length=120), nullable=False),
sa.Column('password_hash', sa.String(length=128), nullable=False),
sa.PrimaryKeyConstraint('id'),
sa.UniqueConstraint('username'),
sa.UniqueConstraint('email')
)
def downgrade():
op.drop_table('user')
1.6 CRUD 操作实战
# ===== Create(创建)=====
user = User(username='flask', email='flask@example.com')
user.set_password('mypassword')
db.session.add(user)
db.session.commit() # 提交事务
# 批量创建
users = [User(username=f'user{i}', email=f'user{i}@example.com') for i in range(10)]
db.session.add_all(users)
db.session.commit()
# ===== Read(查询)=====
# 主键查询
user = User.query.get(1) # 返回对象或 None
user = db.session.get(User, 1) # SQLAlchemy 2.0 推荐写法
# 条件查询
user = User.query.filter_by(username='flask').first() # 精确匹配
users = User.query.filter(User.email.like('%@example.com')).all() # 模糊匹配
# 排序 + 分页
page = User.query.order_by(User.created_at.desc()).paginate(
page=1, per_page=20, error_out=False
)
users = page.items # 当前页数据
total = page.total # 总记录数
pages = page.pages # 总页数
# 聚合查询
from sqlalchemy import func
count = db.session.query(func.count(User.id)).scalar()
avg_views = db.session.query(func.avg(Post.views)).scalar()
# ===== Update(更新)=====
user = User.query.get(1)
user.username = 'new_flask'
db.session.commit() # 自动检测变更
# 批量更新
User.query.filter(User.username.like('old_%')).update(
{User.username: User.username.replace('old_', 'new_')},
synchronize_session=False
)
db.session.commit()
# ===== Delete(删除)=====
user = User.query.get(1)
db.session.delete(user)
db.session.commit()
# 批量删除
Post.query.filter(Post.is_published == False).delete()
db.session.commit()
1.7 常见查询模式
# 连接查询(JOIN)
posts = Post.query.join(User).filter(User.username == 'flask').all()
# 子查询
from sqlalchemy import exists
has_posts = User.query.filter(exists().where(Post.author_id == User.id)).all()
# 预加载(避免 N+1 问题)
# 错误:N+1 查询
posts = Post.query.all()
for post in posts:
print(post.author.username) # 每次循环都发一条 SQL!
# 正确:joinedload 一次 JOIN 搞定
posts = Post.query.options(db.joinedload(Post.author)).all()
# 或者 subqueryload(子查询加载)
posts = Post.query.options(db.subqueryload(Post.author)).all()
N+1 问题是 ORM 最常见的性能杀手。上面的错误写法会发 1 + N 条 SQL(1 条查文章,N 条查每篇文章的作者),而
joinedload只发 1 条 JOIN 查询。生产环境一定要用预加载!
二、Flask-Login:用户认证全流程
2.1 认证 vs 授权
- 认证(Authentication):你是谁?→ 登录
- 授权(Authorization):你能做什么?→ 权限
Flask-Login 只管认证,不管授权。授权需要自己实现(或用 Flask-Principal)。
2.2 Flask-Login 四大要求
要让 Flask-Login 工作,你的 User 模型必须实现以下属性/方法:
| 方法/属性 | 说明 | 示例 |
|---|---|---|
is_authenticated |
是否已认证 | True / False |
is_active |
是否激活(未封禁) | True / False |
is_anonymous |
是否匿名 | False |
get_id() |
返回用户 ID(字符串) | str(self.id) |
最简单的方式:继承 UserMixin:
from flask_login import UserMixin
class User(UserMixin, db.Model):
id = db.Column(db.Integer, primary_key=True)
username = db.Column(db.String(80), unique=True)
# ... 其他字段
# UserMixin 自动实现 is_authenticated, is_active, is_anonymous, get_id()
2.3 初始化 Flask-Login
# extensions.py
from flask_login import LoginManager
login_manager = LoginManager()
login_manager.login_view = 'auth.login' # 未登录时重定向的视图
login_manager.login_message = '请先登录' # flash 消息
login_manager.login_message_category = 'warning'
# app/__init__.py
from app.extensions import db, migrate, login_manager
def create_app():
app = Flask(__name__)
# ...
login_manager.init_app(app)
# 用户加载回调:根据 session 中的 user_id 加载用户对象
@login_manager.user_loader
def load_user(user_id):
return db.session.get(User, int(user_id))
return app
2.4 登录 / 登出 / 注册
如上图所示,左侧是登录流程(表单提交→验证→写 session),右侧是请求认证流程(@login_required 拦截→检查 session→放行或重定向)。
# app/routes/auth.py
from flask import Blueprint, render_template, redirect, url_for, flash, request
from flask_login import login_user, logout_user, login_required, current_user
from app.extensions import db
from app.models.user import User
from werkzeug.urls import url_parse
bp = Blueprint('auth', __name__, url_prefix='/auth')
@bp.route('/register', methods=['GET', 'POST'])
def register():
if request.method == 'POST':
username = request.form.get('username', '').strip()
email = request.form.get('email', '').strip()
password = request.form.get('password', '')
confirm = request.form.get('confirm_password', '')
# 服务端验证
errors = []
if not username or not email or not password:
errors.append('所有字段都是必填的')
if User.query.filter_by(username=username).first():
errors.append('用户名已存在')
if User.query.filter_by(email=email).first():
errors.append('邮箱已被注册')
if password != confirm:
errors.append('两次密码不一致')
if len(password) < 6:
errors.append('密码至少6位')
if errors:
for e in errors:
flash(e, 'danger')
return render_template('auth/register.html')
# 创建用户
user = User(username=username, email=email)
user.set_password(password)
db.session.add(user)
db.session.commit()
flash('注册成功,请登录', 'success')
return redirect(url_for('auth.login'))
return render_template('auth/register.html')
@bp.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'POST':
username = request.form.get('username', '')
password = request.form.get('password', '')
remember = request.form.get('remember', False) # 记住我
user = User.query.filter_by(username=username).first()
if user is None or not user.verify_password(password):
flash('用户名或密码错误', 'danger')
return redirect(url_for('auth.login'))
# 登录成功:写入 session
login_user(user, remember=remember)
# 安全重定向:防止 Open Redirect 攻击
next_page = request.args.get('next')
if not next_page or url_parse(next_page).netloc != '':
next_page = url_for('main.index')
flash('登录成功', 'success')
return redirect(next_page)
return render_template('auth/login.html')
@bp.route('/logout')
@login_required
def logout():
logout_user()
flash('已退出登录', 'info')
return redirect(url_for('main.index'))
@bp.route('/profile')
@login_required
def profile():
return render_template('auth/profile.html', user=current_user)
2.5 模板中使用认证状态
<!-- base.html -->
<nav class="navbar">
<a href="{{ url_for('main.index') }}">首页</a>
{% if current_user.is_authenticated %}
<span>你好, {{ current_user.username }}</span>
<a href="{{ url_for('auth.profile') }}">个人中心</a>
<a href="{{ url_for('auth.logout') }}">退出</a>
{% else %}
<a href="{{ url_for('auth.login') }}">登录</a>
<a href="{{ url_for('auth.register') }}">注册</a>
{% endif %}
</nav>
2.6 密码安全:bcrypt 哈希
Werkzeug 提供的 generate_password_hash 默认使用 PBKDF2-SHA256。生产环境建议换成更安全的 bcrypt:
pip install bcrypt
# 使用 bcrypt(自动检测已安装的库)
from werkzeug.security import generate_password_hash, check_password_hash
# generate_password_hash 内部会自动使用 bcrypt(如果已安装)
hash = generate_password_hash('mypassword', method='bcrypt')
# $2b$12$xxxxx...(bcrypt 哈希格式)
check_password_hash(hash, 'mypassword') # True
bcrypt 的核心优势:自带盐值(salt)+ 可调计算成本(cost factor)。cost 越高,哈希越慢,暴力破解越难。默认 cost=12,约 250ms/次。
三、RESTful API:前后端分离的标配
3.1 什么是 RESTful?
REST(Representational State Transfer)不是框架,是一组架构约束:
| 约束 | 含义 |
|---|---|
| 资源化 | URL 代表资源,不是动作:/users 而不是 /getUsers |
| HTTP 方法语义化 | GET=查、POST=建、PUT=改、DELETE=删 |
| 无状态 | 每个请求自带认证信息,不依赖 session |
| 统一接口 | JSON 格式,标准 HTTP 状态码 |
3.2 API 蓝图结构
app/
├── routes/
│ └── api/
│ ├── __init__.py # API 蓝图注册
│ ├── v1/
│ │ ├── __init__.py
│ │ ├── auth.py # /api/v1/auth/
│ │ ├── users.py # /api/v1/users/
│ │ └── posts.py # /api/v1/posts/
│ └── errors.py # 统一错误处理
3.3 统一响应格式
# app/api/errors.py
from flask import jsonify
class APIError(Exception):
"""API 统一错误基类"""
def __init__(self, message, status_code=400, payload=None):
super().__init__()
self.message = message
self.status_code = status_code
self.payload = payload
def to_dict(self):
rv = dict(self.payload or {})
rv['error'] = self.message
rv['code'] = self.status_code
return rv
def api_response(data=None, message='success', code=200):
"""统一成功响应"""
return jsonify({
'code': code,
'message': message,
'data': data
}), code
# app/__init__.py 中注册错误处理
@app.errorhandler(APIError)
def handle_api_error(error):
response = jsonify(error.to_dict())
response.status_code = error.status_code
return response
@app.errorhandler(404)
def not_found(error):
return jsonify({'code': 404, 'error': 'Resource not found'}), 404
@app.errorhandler(500)
def internal_error(error):
return jsonify({'code': 500, 'error': 'Internal server error'}), 500
3.4 Token 认证(JWT)
前后端分离不用 session,用 JWT(JSON Web Token):
pip install PyJWT
# app/api/auth.py
import jwt
from datetime import datetime, timedelta
from flask import Blueprint, request, jsonify, current_app
from app.models.user import User
from app.extensions import db
from app.api.errors import APIError, api_response
bp = Blueprint('api_auth', __name__, url_prefix='/api/v1/auth')
def generate_token(user_id, expires_in=3600):
"""生成 JWT Token"""
payload = {
'user_id': user_id,
'exp': datetime.utcnow() + timedelta(seconds=expires_in),
'iat': datetime.utcnow(),
}
return jwt.encode(payload, current_app.config['SECRET_KEY'], algorithm='HS256')
def verify_token(token):
"""验证 JWT Token"""
try:
payload = jwt.decode(token, current_app.config['SECRET_KEY'], algorithms=['HS256'])
return payload['user_id']
except jwt.ExpiredSignatureError:
raise APIError('Token 已过期', 401)
except jwt.InvalidTokenError:
raise APIError('无效 Token', 401)
@bp.route('/login', methods=['POST'])
def api_login():
"""API 登录:返回 JWT Token"""
data = request.get_json()
if not data or not data.get('username') or not data.get('password'):
raise APIError('缺少用户名或密码', 400)
user = User.query.filter_by(username=data['username']).first()
if not user or not user.verify_password(data['password']):
raise APIError('用户名或密码错误', 401)
token = generate_token(user.id)
return api_response({
'token': token,
'expires_in': 3600,
'user': {
'id': user.id,
'username': user.username,
'email': user.email,
}
})
3.5 Token 认证装饰器
# app/api/decorators.py
from functools import wraps
from flask import request
from flask_login import current_user
from app.models.user import User
from app.api.auth import verify_token
from app.api.errors import APIError
def token_required(f):
"""要求携带有效 Token 的装饰器"""
@wraps(f)
def decorated(*args, **kwargs):
token = request.headers.get('Authorization', '')
if token.startswith('Bearer '):
token = token[7:]
if not token:
raise APIError('缺少认证 Token', 401)
user_id = verify_token(token)
user = User.query.get(user_id)
if not user:
raise APIError('用户不存在', 401)
# 把当前用户存到 request 上下文
request.current_user = user
return f(*args, **kwargs)
return decorated
3.6 完整 CRUD API
# app/api/v1/posts.py
from flask import Blueprint, request
from app.extensions import db
from app.models.post import Post, Tag
from app.models.user import User
from app.api.errors import APIError, api_response
from app.api.decorators import token_required
bp = Blueprint('api_posts', __name__, url_prefix='/api/v1/posts')
@bp.route('', methods=['GET'])
def get_posts():
"""获取文章列表(公开接口)"""
page = request.args.get('page', 1, type=int)
per_page = request.args.get('per_page', 20, type=int)
pagination = Post.query.filter_by(is_published=True)\
.order_by(Post.created_at.desc())\
.paginate(page=page, per_page=per_page, error_out=False)
return api_response({
'items': [post.to_dict() for post in pagination.items],
'total': pagination.total,
'page': page,
'pages': pagination.pages,
})
@bp.route('/<int:id>', methods=['GET'])
def get_post(id):
"""获取单篇文章(公开接口)"""
post = Post.query.get_or_404(id)
post.views += 1
db.session.commit()
return api_response(post.to_dict())
@bp.route('', methods=['POST'])
@token_required
def create_post():
"""创建文章(需认证)"""
data = request.get_json()
if not data or not data.get('title') or not data.get('body'):
raise APIError('标题和内容不能为空', 400)
post = Post(
title=data['title'],
body=data['body'],
author_id=request.current_user.id,
)
# 处理标签
if data.get('tags'):
for tag_name in data['tags']:
tag = Tag.query.filter_by(name=tag_name).first()
if not tag:
tag = Tag(name=tag_name)
db.session.add(tag)
post.tags.append(tag)
db.session.add(post)
db.session.commit()
return api_response(post.to_dict(), message='创建成功', code=201)
@bp.route('/<int:id>', methods=['PUT'])
@token_required
def update_post(id):
"""更新文章(需认证 + 本人)"""
post = Post.query.get_or_404(id)
if post.author_id != request.current_user.id:
raise APIError('无权修改他人文章', 403)
data = request.get_json()
if data.get('title'):
post.title = data['title']
if data.get('body'):
post.body = data['body']
db.session.commit()
return api_response(post.to_dict(), message='更新成功')
@bp.route('/<int:id>', methods=['DELETE'])
@token_required
def delete_post(id):
"""删除文章(需认证 + 本人)"""
post = Post.query.get_or_404(id)
if post.author_id != request.current_user.id:
raise APIError('无权删除他人文章', 403)
db.session.delete(post)
db.session.commit()
return api_response(message='删除成功')
3.7 HTTP 状态码速查
| 状态码 | 含义 | 使用场景 |
|---|---|---|
| 200 | OK | GET/PUT 成功 |
| 201 | Created | POST 创建成功 |
| 204 | No Content | DELETE 成功 |
| 400 | Bad Request | 参数错误 |
| 401 | Unauthorized | 未认证 / Token 无效 |
| 403 | Forbidden | 无权限 |
| 404 | Not Found | 资源不存在 |
| 422 | Unprocessable Entity | 验证失败 |
| 500 | Internal Error | 服务器错误 |
四、生产部署:从开发到上线
4.1 为什么不能直接 flask run 上线?
Flask 自带的开发服务器有三个致命问题:
- 单线程:一次只能处理一个请求,并发直接挂
- 不安全:debug 模式下可以执行任意代码
- 不稳定:没有进程管理、自动重启、日志轮转
生产环境需要:WSGI 服务器(Gunicorn)+ 反向代理(Nginx)+ 容器化(Docker)。
4.2 部署架构全景
如上图所示,一个完整的 Flask 生产部署架构包含:
- Nginx:最前端,处理 SSL、静态文件、负载均衡
- Gunicorn:WSGI 服务器,管理多个 Worker 进程
- Flask App:每个 Worker 中运行一个应用实例
- PostgreSQL:生产数据库
- Redis:缓存 + Session + Celery Broker
- Celery:异步任务处理
- Docker:容器化部署
4.3 Gunicorn 配置
pip install gunicorn
# gunicorn.conf.py
import multiprocessing
# 监听地址
bind = "0.0.0.0:8000"
# Worker 数量:推荐 2 * CPU核心数 + 1
workers = multiprocessing.cpu_count() * 2 + 1
# 每个 Worker 的线程数(使用 gevent 异步 Worker)
worker_class = "gthread"
threads = 2
# 或者使用 gevent(需要 pip install gevent)
# worker_class = "gevent"
# worker_connections = 1000
# 最大并发请求数
max_requests = 1000
max_requests_jitter = 50
# Worker 超时时间(秒)
timeout = 30
graceful_timeout = 10
# 日志
accesslog = "-"
errorlog = "-"
loglevel = "info"
# 预加载应用(节省内存,但 Worker 之间不共享连接)
preload_app = True
启动命令:
gunicorn -c gunicorn.conf.py "app:create_app()"
4.4 Nginx 配置
# /etc/nginx/sites-available/flask-app
upstream flask_app {
server 127.0.0.1:8000;
# 多个 Gunicorn 实例做负载均衡
# server 127.0.0.1:8001;
# server 127.0.0.1:8002;
}
server {
listen 80;
server_name example.com;
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl http2;
server_name example.com;
# SSL 证书
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
# 安全 Header
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-XSS-Protection "1; mode=block" always;
# 静态文件:Nginx 直接服务,不经过 Gunicorn
location /static/ {
alias /app/app/static/;
expires 30d;
add_header Cache-Control "public, immutable";
}
# 媒体文件
location /uploads/ {
alias /app/uploads/;
expires 7d;
}
# API 请求:代理到 Gunicorn
location / {
proxy_pass http://flask_app;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# WebSocket 支持
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
# 超时
proxy_connect_timeout 30s;
proxy_read_timeout 30s;
}
}
4.5 Docker 容器化
Dockerfile:
# ---- 构建阶段 ----
FROM python:3.12-slim AS builder
WORKDIR /app
# 安装依赖(利用 Docker 缓存层)
COPY requirements.txt .
RUN pip install --no-cache-dir --user -r requirements.txt
# ---- 运行阶段 ----
FROM python:3.12-slim
WORKDIR /app
# 从构建阶段复制已安装的包
COPY --from=builder /root/.local /root/.local
ENV PATH=/root/.local/bin:$PATH
# 复制应用代码
COPY . .
# 创建非 root 用户
RUN useradd -m flaskuser
USER flaskuser
# 暴露端口
EXPOSE 8000
# 健康检查
HEALTHCHECK --interval=30s --timeout=5s --retries=3 \
CMD python -c "import urllib.request; urllib.request.urlopen('http://localhost:8000/health')"
# 启动 Gunicorn
CMD ["gunicorn", "-c", "gunicorn.conf.py", "app:create_app()"]
docker-compose.yml:
version: '3.8'
services:
app:
build: .
ports:
- "8000:8000"
environment:
- FLASK_ENV=production
- SECRET_KEY=${SECRET_KEY}
- DATABASE_URL=postgresql://flask:password@db:5432/flaskdb
- REDIS_URL=redis://redis:6379/0
depends_on:
db:
condition: service_healthy
redis:
condition: service_started
volumes:
- ./uploads:/app/uploads
restart: unless-stopped
db:
image: postgres:16-alpine
environment:
POSTGRES_USER: flask
POSTGRES_PASSWORD: password
POSTGRES_DB: flaskdb
volumes:
- postgres_data:/var/lib/postgresql/data
healthcheck:
test: ["CMD-SHELL", "pg_isready -U flask"]
interval: 10s
timeout: 5s
retries: 5
restart: unless-stopped
redis:
image: redis:7-alpine
volumes:
- redis_data:/data
restart: unless-stopped
nginx:
image: nginx:alpine
ports:
- "80:80"
- "443:443"
volumes:
- ./nginx.conf:/etc/nginx/conf.d/default.conf
- ./app/static:/app/static
depends_on:
- app
restart: unless-stopped
celery:
build: .
command: celery -A app.celery worker --loglevel=info
environment:
- FLASK_ENV=production
- SECRET_KEY=${SECRET_KEY}
- DATABASE_URL=postgresql://flask:password@db:5432/flaskdb
- REDIS_URL=redis://redis:6379/0
depends_on:
- db
- redis
restart: unless-stopped
volumes:
postgres_data:
redis_data:
4.6 一键部署
# 1. 克隆项目
git clone https://github.com/yourname/flask-app.git
cd flask-app
# 2. 创建环境变量文件
echo "SECRET_KEY=$(python -c 'import secrets; print(secrets.token_hex(32))')" > .env
# 3. 构建并启动
docker-compose up -d --build
# 4. 初始化数据库
docker-compose exec app flask db upgrade
docker-compose exec app flask seed # 初始化种子数据(如果有)
# 5. 查看日志
docker-compose logs -f app
# 6. 检查状态
docker-compose ps
五、性能优化:让 Flask 飞起来
5.1 数据库层优化
| 优化手段 | 效果 | 实现方式 |
|---|---|---|
| 添加索引 | 查询加速 10~100x | db.Column(..., index=True) |
| 预加载关系 | 消除 N+1 问题 | db.joinedload() / db.subqueryload() |
| 连接池 | 减少连接创建开销 | SQLALCHEMY_ENGINE_OPTIONS |
| 查询缓存 | 重复查询零开销 | Redis + 自定义缓存装饰器 |
| 只查需要的列 | 减少数据传输 | db.session.query(User.username) |
5.2 应用层优化
# Redis 缓存装饰器
import json
from functools import wraps
from app.extensions import redis_client
def cache(timeout=300):
"""简单的 Redis 缓存装饰器"""
def decorator(f):
@wraps(f)
def decorated(*args, **kwargs):
cache_key = f'{f.__name__}:{str(args)}:{str(kwargs)}'
result = redis_client.get(cache_key)
if result:
return json.loads(result)
result = f(*args, **kwargs)
redis_client.setex(cache_key, timeout, json.dumps(result))
return result
return decorated
return decorator
# 使用
@cache(timeout=60)
def get_hot_posts():
return [post.to_dict() for post in Post.query.order_by(Post.views.desc()).limit(10).all()]
5.3 Gunicorn Worker 选型
| Worker 类型 | 适用场景 | 并发模型 |
|---|---|---|
sync(默认) |
CPU 密集型 | 一个请求一个线程 |
gthread |
通用 | 线程池,推荐首选 |
gevent |
I/O 密集型 | 协程,高并发 |
eventlet |
I/O 密集型 | 协程,gevent 的替代 |
经验法则:大部分 Web 应用是 I/O 密集型(等数据库、等网络),用 gthread 或 gevent 都比 sync 好。如果用了 gevent,注意所有 I/O 操作必须用 gevent 补丁过的库(monkey.patch_all())。
六、面试高频问题速查
Q1:Flask 的上下文有几种?分别是什么?
两种上下文,各有两个变量:
| 上下文类型 | 变量 | 生命周期 |
|---|---|---|
| 应用上下文 | current_app、g |
请求开始→请求结束 |
| 请求上下文 | request、session |
请求开始→请求结束 |
current_app 是当前 Flask 实例的代理,g 是请求级别的临时存储,request 是当前请求数据,session 是会话数据。
Q2:为什么用 Gunicorn 而不是 uWSGI?
| 维度 | Gunicorn | uWSGI |
|---|---|---|
| 配置 | 简单 | 复杂(几百个参数) |
| 性能 | 足够好 | 略高 |
| 生态 | Python 社区主流 | 逐渐边缘化 |
| 维护 | 活跃 | 放缓 |
| 兼容性 | 标准 WSGI | 自有协议 + WSGI |
2026 年的共识:Gunicorn 是 Python WSGI 部署的事实标准,除非你有特殊的 uWSGI 遗留需求。
Q3:JWT vs Session,怎么选?
| 维度 | JWT | Session |
|---|---|---|
| 存储位置 | 客户端(Token) | 服务端(Redis/DB) |
| 扩展性 | 天然支持分布式 | 需要 Redis 共享 |
| 注销 | 无法主动失效(除非黑名单) | 直接删 session |
| 安全性 | 需防 XSS(Token 在 header) | 需防 CSRF(Cookie) |
| 适用场景 | API / 移动端 / 微服务 | 传统 Web 应用 |
结论:前后端分离用 JWT,传统服务端渲染用 Session。也可以混合使用。
Q4:Flask 怎么做数据库迁移?
用 Flask-Migrate(基于 Alembic):flask db init(初始化)→ flask db migrate -m "描述"(生成迁移脚本)→ flask db upgrade(执行迁移)。核心原理是对比模型定义和数据库实际表结构的差异,自动生成 ALTER TABLE 语句。
Q5:Nginx 在部署中做了什么?
四件事:(1) SSL 终止:HTTPS 解密,Gunicorn 只处理 HTTP;(2) 静态文件服务:CSS/JS/图片直接返回,不经过 Python;(3) 负载均衡:把请求分发到多个 Gunicorn 实例;(4) 安全防护:限流、防 DDoS、安全 Header。
Q6:Docker 部署的好处是什么?
四个好处:(1) 环境一致性:开发、测试、生产环境完全相同;(2) 快速部署:docker-compose up -d 一键启动;(3) 资源隔离:每个服务独立容器,互不影响;(4) 弹性伸缩:docker-compose up --scale app=5 秒级扩容。
七、总结
Flask 系列上下两篇,覆盖了从入门到上线的完整链路:
| 模块 | 上篇 | 下篇 |
|---|---|---|
| 路由 | URL 映射、变量规则、url_for() |
— |
| 模板 | Jinja2 继承、过滤器、控制流 | — |
| 表单 | GET/POST、验证、flash、文件上传 | — |
| 项目结构 | 蓝图、工厂模式 | — |
| 数据库 | — | SQLAlchemy ORM、迁移、N+1 优化 |
| 认证 | — | Flask-Login、JWT Token、密码安全 |
| API | — | RESTful 设计、统一响应、Token 装饰器 |
| 部署 | — | Gunicorn + Nginx + Docker + 性能优化 |
一句话总结 Flask 的精髓:
Flask 不替你做决定,但给了你做决定的所有工具。路由、模板、ORM、认证、部署——每一层都可以自由选择、灵活组合。这种"微框架"哲学,才是 Flask 十几年不衰的真正原因。
如果觉得这个系列对你有帮助,欢迎点赞 + 收藏 + 关注,你的支持是我持续创作的动力!有问题欢迎在评论区交流~
AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。
更多推荐
0
0- 0
已为社区贡献177条内容
所有评论(0)