# 关系数据库

基础的SQL学习

## Python DB-API

通过API包，使用Python控制数据库。

使用的模式大致如下：

先链接数据库（connect），这样就能得到一个Connection的实例，该实例可以：
- `.cursor()`，生成Cursor实例，即光标，可以进一步：
    - `.execute(SQL Code)`，执行SQL代码，然后
    - `.fetchone()`，获得第一行结果，或者
    - `.fetchall()`，获得所有结果
- 当执行一些修改代码（如插入、删除等），需要执行`.commit()`确认更改，或者
- 执行`.rollback()`回滚修改操作。

### SQL注入攻击

当我们在python中执行一些SQL查询时，可能会写如下的代码：
```python
c = connection.cursor()
c.execute("insert into posts values ('%s')" % content)
```

如上代码在执行普通查询时，并不会产生错误，但是如果插入的`content`中，包含`'`，就会报错

当插入的content为`'); delete from posts; --`时，会导致我们数据库`posts`中的全部数据被删除，这就是**SQL注入攻击**

我们可以修改代码为：
```python
c.execute("insert into posts values(%s)",(content,))
```
来避免SQL注入攻击。

**关键：在使用Python DB-API时，执行SQL代码不要使用输出格式化，如%，format或者f''string等**

### 脚本注入攻击

如果将content修改为：
```javascript
<script>
setTimeout(function() {
    var tt = document.getElementById('content');
    tt.value = "<h2 style='color: #FF6699; font-family: Comic Sans MS'>Spam, spam, spam, spam,<br>Wonderful spam, glorious spam!</h2>";
    tt.form.submit();
}, 2500);
</script>
```
也会发生错误，浏览器会不断输出spam（如上js代码的输出），这是因为，对于SQL来说，如上内容即字符串，但是当返回到浏览器中，进行解析时，浏览器会把它当作js并执行。

这并不是我们想要的结果，那该如何解决呢？

我们可以使用[Bleach](https://bleach.readthedocs.io/en/latest/)库，来帮我们对输入内容进行清理：
```python
# 安装bleach
pip install bleach
# 使用
import bleach

bleach.clean('an <script>evil()</script> example')
```
输出：`u'an &lt;script&gt;evil()&lt;/script&gt; example'`


如何处理数据库中已经存在的垃圾信息呢？
- 使用`UPDATE`，将垃圾信息替换为无害信息，比如说cheese!
    ```SQL
    UPDATE table
    SET column = value
    WHERE xxxxx;
    ```
- 使用`DELETE`，将垃圾信息删除
    ```SQL
    DELETE FROM table
    WHERE xxxxx;
    ```

## 数据库设计

要遵循规范式设计（Normalized Design）：
- 每一行都要有相同数量的列；
- 每张表中包含关键列（key），每一行都说明了该关键列的某些信息；
- 每张表中不需要包含说明非关键列信息的列，   
    比如：`姓名，年龄，购买商品，商品价格`中，`姓名`为关键列，而`商品价格`是对`购买商品`的说明，  
    所以，我们需要拆成两张表，即`姓名，年龄，购买商品`与`商品，商品价格`
- 表中的各列不应该有关系暗示，会产生误导，  
    比如：在员工技能表中
    <img src="https://s3.ax1x.com/2020/12/03/DTVuuR.png" alt="DTVuuR.png" border="0" width="300px"/>
    
    可能会误导，Annabel会Databases与English有关；会Linux与French有关。这时候，我们最好可以拆成两张表：
    
    <img src="https://s3.ax1x.com/2020/12/03/DTVRrn.md.png" alt="DTVRrn.png" border="0" width="500px"/>
    


# 后端基础
## CRUD（Create，Read，Update，Delete）模式

先来了解一下**对象关系映射（Object Relational Mapping,ORM）**，是一种程序设计技术，用于实现面向对象编程语言里不同类型系统的数据之间的转换。其实就是以对象形式表示的数据库，更方便我们在面向对象语言（如Python）中使用。

在Python中，我们使用最多的工具是[SQLAlchemy](https://www.sqlalchemy.org/)

### 使用SQLAlchemy创建数据库
#### 配置代码
用于导入所有必要的模块

`database_setup.py`
```python
import sys
from sql

from sqlalchemy import Column, ForeignKey, Integer, String
# 导入declarative_base，用于配置和类代码
from sqlalchemy.ext.declarative import declarative_base
# 用于创建外键关系，也会在创建mapper上派上用场
from sqlalchemy.orm import relationship
# 用于文末代码（创建或链接数据库）
from sqlalchemy import create_engine

Base = declarative_base()

# 连接数据库，这里也可以链接其他数据库，比如mysq等
engine = create_engine('sqlite:///restaurantmenu.db')

# 进入数据库
Base.metadata.create_all(engine)
```

#### Class 类
使用Python中的类代表我们的数据库

比如说，我们分别创建两张表：
- 餐厅表
- 菜单表

```python
class Restaurant(Base):
    
    
class MenuItem(Base):

```

#### Table 表
代表数据库中特定的表格

在如上对应的类中，添加表名（建议小写）
```python
# 在Restaurant类中
__tablename__ = 'restaurant'


# 在MenuItem类中
__tablename__ = 'menu_item'
```

#### Mapper映射器
用于将表格中的列与代表它的类链接，比如
```python
String(250) # 创建一个长度最多为250的字符串
Integer # 创建整型
relationship(Class) # 该表与其他表之间的关系
nullable = False # 是否允许有空值
primary_key = True # 是否是主键
ForeignKey('some_table.id') #与其他表中某列的外键关系
```

在刚才创建的表格中，分别添加上列：
- 餐厅表：
    - 餐厅名称
    - 餐厅id（主键）
- 菜单表：
    - 菜单名称
    - 菜单id
    - 菜品名称
    - 菜品描述
    - 菜品价格
    - 餐厅id
    

```python
# 在Restaurant类中
name = Column(String(80),nullable=False)# 餐厅名称，字符类型，不允许为空
id = Column(Integer,primary_key=True)
    


# 在MenuItem类中
name = Column(String(80),nullable=False)
id = Column(Integer,primary_key=True)
course = Column(String(250))
description = Column(String(250))
price = Column(String(8))
restaurant_id = Column(Integer,ForeignKey('restaurant.id'))
restaurant = relationship(Restaurant)
```

#### 合并所有代码

将如上代码合并，代码架构可以如下所示：
![DT4MOP.png](https://s3.ax1x.com/2020/12/03/DT4MOP.png)

In [3]:
import os
import sys
from sqlalchemy import Column, ForeignKey, Integer, String
from sqlalchemy.ext.declarative import declarative_base
from sqlalchemy.orm import relationship
from sqlalchemy import create_engine

Base = declarative_base()


class Restaurant(Base):
    __tablename__ = 'restaurant'

    id = Column(Integer, primary_key=True)
    name = Column(String(250), nullable=False)


class MenuItem(Base):
    __tablename__ = 'menu_item'

    name = Column(String(80), nullable=False)
    id = Column(Integer, primary_key=True)
    description = Column(String(250))
    price = Column(String(8))
    course = Column(String(250))
    restaurant_id = Column(Integer, ForeignKey('restaurant.id'))
    restaurant = relationship(Restaurant)


engine = create_engine('sqlite:///restaurantmenu.db')
# 创建
Base.metadata.create_all(engine)

### CRUD-CREATE

现在我们已经有了一个空的数据库，现在创建一些数据

In [5]:
from sqlalchemy import create_engine
from sqlalchemy.orm import sessionmaker
from database_setup import Base, Restaurant, MenuItem

In [6]:
# 链接数据库
engine = create_engine('sqlite:///restaurantmenu.db')

In [7]:
# 用bind将engine与Base绑定在一起
Base.metadata.bind = engine

In [9]:
# 创建一个session，与数据库进行会话
DBsession = sessionmaker(bind=engine)
# 实例化session
# 我们可以使用session进行CRUD操作，但之后需要使用commit进行确认
session = DBsession()

添加数据时，可以按照如下模板：
```python 
newEntry = ClassName(property="value",...)
session.add(newEntry)
session.commit()
```

In [10]:
# 添加餐厅
myFirstRestaurant = Restaurant(name="Pizza Palace")
session.add(myFirstRestaurant)
session.commit()

In [11]:
# 查看是否添加成功
session.query(Restaurant).all()

[<database_setup.Restaurant at 0x8289198>]

可以发现，确实有数据存在内存的某处了。至于如何筛选，我们后面再了解。

In [12]:
# 添加菜单
cheesepizza = MenuItem(name="Cheese Pizza", description="Made by Franchise",
                      course="Entree",price="$8.99",restaurant=myFirstRestaurant)
session.add(cheesepizza)
session.commit()

In [13]:
# 查看是否添加成功
session.query(MenuItem).all()

[<database_setup.MenuItem at 0x8398518>]

### CRUD-READ

In [14]:
# 查看第一条
firstResult = session.query(Restaurant).first()

In [15]:
# 使用类调用的方式去查看
firstResult.name

'Pizza Palace'

当有多条时，只需要使用for循环配合就可以，如：
```python
allResult = session.query(Restaurant).all()
for item in allResult:
    print(item.name)
```

### CRUD-QUERY（查询）

我们还需要涉及到一些条件筛选，就像在SQL中做的那样。

In [16]:
# 首先，我们需要使用query创建一个query对象
q = session.query(Restaurant)

当然，也可以针对某几列，如：
```python
q = session.query(MenuItem.name,MenuItem.description)
```

#### filter

- 方案A：使用Pythonic的方式

**算术运算符**：

```python
q.filter(User.name == 'ed') # !=不等于；>大于；<小于等等
```


**成员运算符：**
```python
# IN
q.filter(User.name.in_(['a','b','v']))
# NOT IN
q.filter(~User.name.in_(['a','b','v']))
```

**模糊筛选：**
```python
q.filter(User.name.like('%ed%'))
```

**NULL筛选**
```
# IS NULL
query.filter(User.name == None)
# 或者
query.filter(User.name.is_(None))

# NOT NULL
query.filter(User.name != None)
# 或者
query.filter(User.name.isnot(None))
```

**多条件逻辑运算符**
```python
# 与
# 方法1
from sqlalchemy import and_
query.filter(and_(User.name == 'ed', User.fullname == 'Ed Jones'))

# 方法2
query.filter(User.name == 'ed', User.fullname == 'Ed Jones')

# 方法3
query.filter(User.name == 'ed').filter(User.fullname == 'Ed Jones')
```

```python
# 或
from sqlalchemy import or_
query.filter(or_(User.name == 'ed', User.name == 'wendy'))
```

```python
# 非
q.filter(~User.name.in_(['a','b','v']))
```

- 方案B：使用SQL原生语句

```python
from sqlalchemy import text
q.filter(text("id<224"))
# 或者
q.from_statement(text("SELECT * FROM users where name=:name")).params(name='ed')
```


#### 聚合，排序，联合表

**聚合**
```SQL
SELECT school, COUNT(*) AS c 
FROM persons 
WHERE gender="male" 
GROUP BY age 
HAVING c >1
```
等价于
```python
from sqlalchemy import func
# label用于别名，与SQL代码中的AS一致
# 对于其他的聚合计算函数，如SUM，AVG等分别对应于
nums = func.count('*').label('c')

results = sessin.query( Person.school, nums ).filter(
    Person.gender=='male'
).group_by(
    Person.age
).having(
    nums > 10
)
```

**排序**
```python
q.order_by(User.create_time.desc())
# 或者
from sqlalchemy import desc
q.order_by(desc(Usser_ID))
# 或者直接在定义数据类（Class）的时候，添加上默认排序方式，如
class User(Base):　　
　　__tablename__ = "user"　　
　　id = Column(Integer , primary_key=True , autoincrement=True)　　
　　name = Column(String(50) , nullable=False)　　
　　create_time = Column(DateTime , nullable=False , default=datetime.now)
　　
　　__mapper_args__ = {　　
　　"order_by":create_time.desc()　　
　　}　　

# 这样，所有的筛选都会按照create_time的倒序给出结果

```


**多表联合**
```python
# User与Address为表
session.query(User, Address).\
    filter(User.id==Address.user_id).\
    filter(Address.email_address=='jack@google.com')
# 等价于
# 此方法需要在定义数据库时，设定好外键
session.query(User).join(Address).\
    filter(Address.email_address=='jack@google.com')
# 如果没有设置好外键，需要指定关键列
session.query(User).\
    join(Address, User.id==Address.user_id).\
    filter(Address.email_address=='jack@google.com')
# 如上的join默认为inner-join
# outerjoin的话直接使用函数outerjoin即可，不过这里都是left outerjoin
# 如果想使用full outerjoin的话，只需要创建两个left outerjoin，然后再合并即可，如下所示：
q1 = (db.session.query(
        tb1.user_id.label('u_id'),
        func.count(tb1.id).label('tb1_c')
    )
    .group_by(tb1.user_id)
).cte('q1')

q2 = (db.session.query(
        tb2.user_id.label('u_id'),
        func.count(tb2.id).label('tb2_c')
    )
    .group_by(tb2.user_id)
).cte('q2')

result = db.session.query(
    func.coalesce(q1.u_id, q2.u_id).label('u_id'),
    q1.tb1_c,
    q2.tb2_c
).join(
    q2,
    q1.u_id == q2.u_id,
    full=True
)
```

更多筛选可以去这里查询：[SQLAlchemy-Query](https://www.osgeo.cn/sqlalchemy/orm/query.html)

### CRUD-UPDATE

```python
# 先筛选对应的数据，并用one返回
need_update = session.query(MenuItem).filter(id=8).one()
# 更新某数据
need_update.price = "$2.99"
session.add(need_update)
session.commit()
```


### CRUD-DELETE

```python
# 先筛选对应的数据
need_delete = session.query(MenuItem).filter(id=8).one()
# 删除
session.delete(need_delete)
session.commit()
```

## 搭建web服务 


Flask可以提供便捷的web服务框架。

### Hello world



**Hello world!**

`project.py`
```python
from flask import Flask

# 实例化flask
app = Flask(__name__)

# @表示装饰器（decorator），可以将我们定义的函数Helloworld包裹在app.route函数中
# 这里实现的就是定义 访问括号内的url地址，即可执行定义的函数Helloworld
@app.route('/')
@app.route('/hello')
def Helloworld():
    return "Hello World!"

# 启动服务
if __name__=="__main__":
    app.debug = True
    # 定义host地址与port端口
    app.run(host="0.0.0.0",port=5000)
    
```

### 添加数据库 

只需要按照之前数据库的添加方式，进行处理。
```python
from flask import Flask

from sqlalchemy import create_engine
from sqlalchemy.orm import sessionmaker
from database_setup import Base, Restaurant, MenuItem
# 实例化flask
app = Flask(__name__)

# 链接数据库
engine = create_engine('sqlite:///restaurantmenu.db')
# 用bind将engine与Base绑定在一起
Base.metadata.bind = engine
# 创建一个session，与数据库进行会话
DBsession = sessionmaker(bind=engine)
# 实例化session
session = DBsession()

@app.route('/')
@app.route('/hello')
def Helloworld():
    # 查询Restaurant中的第一家餐厅
    restaurant = session.query(Restaurant).first()
    items = session.query(MenuItem).filter_by(restaurant_id=restaurant.id)
    output = ''
    for i in items:
        output += i.name
        output += '<br>'
    return output

# 启动服务
if __name__=="__main__":
    app.debug = True
    # 定义host地址与port端口
    app.run(host="0.0.0.0",port=5000)
```

### 在route中使用变量

如上我们筛选出了第一家餐厅的菜单，那如何实现对任意一家餐厅菜单的查询呢？

我们可以在route中使用变量，模板如：`path/<type:variable_name>/path`

如，我们可以把如上代码修改为：
```python
@app.route('/')
# 修改route，使用int变量restaurant_id
@app.route('/restaurant/<int:restaurant_id>/')
# 将restaurant_id作为函数的参数
def restaurantMenu(restaurant_id):
    # 查询Restaurant中restaurant_id对应的餐厅
    restaurant = session.query(Restaurant).filter_by(id=restaurant_id).first()
    items = session.query(MenuItem).filter_by(restaurant_id=restaurant_id)
    output = restaurant.name + '<br>'
    for i in items:
        output += i.name
        output += '<br>'
    return output
```

这时候，在浏览器中访问`localhost:5000/restaurant/3/`即可查询到restaurant_id为3的餐厅信息。

### 使用模板

前面我们只是将结果进行了简单的输出，那当网页复杂时，就需要使用模板了。

在Flask中，可以使用如下代码调用模板：
`return render_template(templateName.html,variables)`

- 1. 创建`templates`文件夹：`mkdir templates`
- 2. 在该文件夹中，创建模板：`cd templates; vscode menu.html`
- 3. 在vscode打开的文件中，写入：
```HTML
<html>
    <body>
        <h1>{{ restaurant.name }} </h1>
        {% for i in items %}
        {{ i.name }}
        <br>
        {% endfor %}
    </body>
</html>
```
> 在这里涉及的语法，还有如`{% if state %} {% endif %}`等，可以在这里查看更多：[模板设计者文档](http://docs.jinkan.org/docs/jinja2/templates.html)

- 4. 修改python代码：

    ```python
    from flask import render_template

    @app.route('/')
    # 修改route，使用int变量restaurant_id
    @app.route('/restaurant/<int:restaurant_id>/')
    # 将restaurant_id作为函数的参数
    def restaurantMenu(restaurant_id):
        # 查询Restaurant中restaurant_id对应的餐厅
        restaurant = session.query(Restaurant).filter_by(id=restaurant_id).first()
        items = session.query(MenuItem).filter_by(restaurant_id=restaurant_id)
        return render_template('menu.html',
                                restaurant=restaurant,
                                items=items)
    ```

### 添加超链接

在网页中需要设计跳转，这时候就需要使用`url_for()`来帮助，基础用法为：

`url_for(functionName,arg_1,arg_2,...)`

如，我们可以在如上网页中，增加“编辑”与“删除”链接：
```html
<html>
<body>
   <h1>{{ restaurant.name }} </h1>
   {% for i in items %}
   {{ i.name }}
   <br>
    <a href="{{url_for('editMenuItem',restaurant_id=restaurant.id,menu_id=i.id)}}" > Edit </a>
    <br>
    <a href="{{url_for('deleteMenuItem',restaurant_id=restaurant.id,menu_id=i.id)}}" > Delete </a>
    <br>
   {% endfor %}
</body>
</html>
```

在Python中，添加对应函数：
```python

@app.route('/restaurant/<int:restaurant_id>/<int:menu_id>/edit')
def editMenuItem(restaurant_id,menu_id):
   return "page to edit."

@app.route('/restaurant/<int:restaurant_id>/<int:menu_id>/delete')
def deleteMenuItem(restaurant_id,menu_id):
   return "page to delete."
```

### 表单与重定向

需要用户给餐厅添加新的表单，并储存至数据库中。

首先，创建一个表单填写的html`newmenuitem.html`：
```html
<html>
    <body>
        <h1> New Menu Item </h1>
        <form action="{{url_for('newMenuItem',restaurant_id=restaurant_id)}}" method='post'>
            <p>Name:</p>
            <input type='text' size='30' name='Name'>
            <input type='submit' value='Create'>
        </form>
    </body>
</html>
```

然后，在`menu.html`中，添加转到`newmenuitem.html`的超链接：
```html
<html>
<body>
   <h1>{{ restaurant.name }} </h1>
   <a href = "{{url_for('newMenuItem', restaurant_id = restaurant.id) }}">Create New Item</a>
   {% for i in items %}
   {{ i.name }}
   <br>
    <a href="{{url_for('editMenuItem',restaurant_id=restaurant.id,menu_id=i.id)}}" > Edit </a>
    <br>
    <a href="{{url_for('deleteMenuItem',restaurant_id=restaurant.id,menu_id=i.id)}}" > Delete </a>
    <br>
   {% endfor %}
</body>
</html>
```

在`project.py`中，添加对应函数：
```python 
from flask import request, redirect
# 添加上post请求
@app.route('/restaurants/<int:restaurant_id>/new',methods=['GET','POST'])
def newMenuItem(restaurant_id):
    if request.method == 'POST':
        newItem = MenuItem(name=request.form['name'],restaurant_id=restaurant_id)
        session.add(newItem)
        session.commit()
        # 添加成功后，重定向为最开始的查询页面
        return redirect(url_for('restaurantMenu',restaurant_id=restaurant_id))
    else:
        return render_template('newmenuitem.html',restaurant_id=restaurant_id)
```

### 交互提示：flash

一个优秀的web app，应该是具有较好的用户交互体验的，也就是说，在用户执行一些操作之后，给他一些反馈，在flask中我们可以用flash来实现。

其用法为：
```python
# 在python脚本中设置要显示的消息
flask('message')
# 由于flash是基于session的，所以，在启动app时还需要添加上密钥
if __name__ == "__main__":
    app.secret_key = 'super_secret_key'
    ...
```
```html
<!--  在HTML的合适位置使用如下代码显示message信息 -->
get_flashed_messages()
```

比如说，我们想在用户添加新菜单之后，进行提示，那么可以：


在`project.py`中，修改对应函数：
```python 
# 导入flash
from flask import flash
# 添加上post请求
@app.route('/restaurants/<int:restaurant_id>/new',methods=['GET','POST'])
def newMenuItem(restaurant_id):
    if request.method == 'POST':
        newItem = MenuItem(name=request.form['name'],restaurant_id=restaurant_id)
        session.add(newItem)
        session.commit()
        # 添加成功后，输出flash提醒
        flash("new menu item created!")
        # 添加成功后，重定向为最开始的查询页面
        return redirect(url_for('restaurantMenu',restaurant_id=restaurant_id))
    else:
        return render_template('newmenuitem.html',restaurant_id=restaurant_id)
```

修改`menu.html`，在合适位置添加提醒：
```html
<html>
<body>
   <h1>{{ restaurant.name }} </h1>
    <a href = "{{url_for('newMenuItem', restaurant_id = restaurant.id) }}">Create New Item</a>
    <!--MESSAGE FLASHING EXAMPLE -->
    {% with messages = get_flashed_messages() %}
    {% if messages %}
        <ul>
    {% for message in messages %}
      <li><strong>{{message}}</strong></li>
      {% endfor %}
    </ul>
    {% endif %}
    {% endwith %}

   
   {% for i in items %}
   {{ i.name }}
   <br>
    <a href="{{url_for('editMenuItem',restaurant_id=restaurant.id,menu_id=i.id)}}" > Edit </a>
    <br>
    <a href="{{url_for('deleteMenuItem',restaurant_id=restaurant.id,menu_id=i.id)}}" > Delete </a>
    <br>
   {% endfor %}
</body>
</html>
```

### 添加样式

现在我们的网页基本逻辑已经没问题了，但就是很丑，这时候就需要添加上CSS样式来美化。

- 1. 先创建`static`文件夹，`mkdir static`
- 2. 在文件夹中，创建css文件，`cd static; vscode style.css`
- 3. 在html模板文件中，添加上指向该css的url：
```html
<link rel='stylesheet' href="{{url_for('static',filename='style.css')}}">
```

### 获取json格式的数据

获取json格式的数据，更方便我们后续的处理。

python代码如下：
```python 
from flask import jsonify

# ADD JSON ENDPOINT HERE
@app.route('/restaurants/<int:restaurant_id>/menu/<int:menu_id>/JSON')
def menuItemJSON(restaurant_id, menu_id):
    menuItem = session.query(MenuItem).filter_by(id=menu_id).one()
    # 在执行jsonify之前，需要先对数据进行『序列化serialize』处理
    return jsonify(MenuItem=menuItem.serialize)
```

## 迭代开发

迭代开发，是指，我们先从构建简单的、基本的模型开始，然后不断通过与同事之间的沟通，增加需求，增加功能&调试，最终完善的过程。

基本套路为：
- Mock-ups先创建各个页面
- Routing 链接各个页面
- Templates&Forms 添加模板与表单
- CRUD functionality 实现数据库的CRUD功能
- API Endpoints 添加API访问接口（如json数据等）
- Styling&Message Flashing 美化样式&优化交互

### Mock-ups

这部分可以直接用画板、纸笔完成，我们需要构思产品需要哪些功能，不同功能对应那些页面，彼此之间的连接方式等等。

<img src="https://s3.ax1x.com/2020/12/04/DbV4hV.md.png" alt="DbV4hV.png" border="0" width="450px"/>

设计对应的url：
<img src="https://s3.ax1x.com/2020/12/04/DbZs4x.md.png" alt="DbZs4x.png" border="0" width="450px"/>

构思网页的显示形式，并跟同事（需求方）讨论：
<img src="https://s3.ax1x.com/2020/12/04/DbZo5t.md.png" alt="DbZo5t.png" border="0" width="450px"/>

### Routing

接着，我们依据前面设计好的url：
- 编写python脚本，添加对应的函数
- 在对应函数中，使用return返回提示信息（这里就是占个坑，方便测试）
- 测试如上各页面之间的访问

<img src="https://s3.ax1x.com/2020/12/04/DbeS5q.md.png" alt="DbeS5q.png" border="0" width="450px"/>

### Templates&Forms

编写各个页面的模板，实现各页面中的功能，如表单提交等等，在这里，可以先在python脚本中使用虚拟测试数据。

### CRUD functionality

在这一步，我们将会针对网页中的CRUD需求，在python中创建CRUD对应的函数，这里经常会用到：
- `url_for`
- `redirect`
- `GET&POST`

<img src="https://s3.ax1x.com/2020/12/04/Dbm8pV.md.png" alt="Dbm8pV.png" border="0" width="450px"/>

### API Endpoints

根据产品中的数据，创建指向不同数据的API接口，如：
<img src="https://s3.ax1x.com/2020/12/04/Dbma79.md.png" alt="Dbma79.png" border="0" width="450px"/>

这里会经常用到：
- `jsonify`
- `serialize`

### Styling&Message Flashing

最后对网页进行美化，可以在`static`文件夹中，添加CSS、JS、图片等。

然后使用`flash`用于操作完成提示。

## 认证（Authentication）与 授权（Authorization ）

认证（Authentication）是让系统确认你是谁，比如我们在访问Github时需要登录账户&密码。

如何做好认证呢？
- 使用强密码
- 对数据进行加密
- 客户端与服务端安全通信
- 将密码储存至加密数据库中
- 密码恢复功能
- 双重身份验证
- 添加防止中间人攻击保护

但如上这些认证方式加密方法不同，位置也不同，所幸，除了我们自己设置认证之外，可以很方便的使用第三方认证，如：微信认证、支付宝认证等等。

但是认证之后，并不代表我们可以访问用户在第三方平台上的所有数据，这需要用户进行**授权**。

当然，一般情况下授权都发生在认证之后，但也有些时候，并不需要认证即可授权，比如：
- 优惠券的使用，不需要认证，只需要你有优惠码，便可以使用这个权利；
- 网盘的文件分享，不需要登陆，只需要文件分享链接，便可以下载该文件。

常用的授权标准为**OAuth**