# 3장 : Web Forms

## Flask-WTF

- web form을 다루기 위해서 Flask-WTF extension을 이용함. 
- WTForms 패키지를 Flask와 잘 통합한 wrapper임.
- extension : Flask 생태계에서는 매우 중요한 부분임. Flask의 몇몇 문제점에 대한 해결방법을 제시해줌
- pip install flask-wtf
- 설정 : 설정변수들을 app.config 파일에 정의하는 것이 가장 기본적인 방법이나, 설정과 어플리케이션을 분리하고 확장성을 높이기 위해 별도 파일을 생성함.  
Top level 폴더에 config.py를 만들어서 config 클래스 안에 변수로 명시함.
- SECRET_KEY 설정 변수 : 서명 또는 토큰 생성에 사용함. Flask-WTF extension에서는 CSRF(Cross-Site Request Forgery)을 막기 위해서 사용함.  
config.py에서 환경변수 값을 사용하거나 하드코딩된 값을 사용하는데, secret.json 파일로 분리하여 하드코딩 값을 별도 관리하였음.



## User Login Form

- app/forms.py 참고

## Form Templates

- app/templates/login.html 참고
- 폼 태그는 default가 GET request여서, POST로 보내려면 method="post" 를 명시해야 함
- novalidate 속성 : 서버 측에서 각 요소에 대한 validation을 수행하지 않도록 함.
- form.hidden_tag() : CSRF 공격으로부터 폼을 보호할 수 있는 토큰이 포함된 히든 필드를 만듦. Flask 설정에 SECRET_KEY 변수 세팅하고, 이 히든 필드만 추가하면 됨.
- {{ form.<field_name>() }} : html 요소 렌더링. input 태그의 속성으로 들어갈 인자도 넘겨줄 수 있음.(CSS class나 id 등)


## Form Views

- app/routes.py 에 로그인에 해당하는 view function을 만듦
- app/templates/base.html에 로그인 메뉴 추가함

## Form Data 받기

1) app/routes.py 의 login view function에 submit한 것 받을 수 있도록 수정함.
- @app.route('/login', methods=['GET', 'POST']) : 디폴트는 GET request만 받을 수 있는 것이므로, POST를 추가해줌. 
- form.validate_on_submit() : 사용자가 submit 버튼을 눌러서 브라우저가 POST request를 보내면, 이 함수가 모든 데이터를 모아서 각 필드에 붙어있는 validator들을 돌림. 그리고 모든 validation이 정상이면 True를 반환함. 하나라도 validation 통과 못하면 False이고, 사용자에게 render back됨. 
- flash() : 사용자에게 메시지 표시. 이 함수가 불리면 Flask는 메시지를 보관한다. 이 메시지를 표현하기 위해서 base.html에 요소 추가해줌.
- redirect()

2) base.html에서 flashed message 표현
- get_flashed_messages() : Flask에서 이전에 flash()로 등록된 모든 메시지들을 반환해줌. 이 함수가 불려서 메시지들이 한 번 꺼내지면, 그 메시지들은 리스트에서 사라짐.

## Field Validation 개선하기

- login.html 에 validator로부터 생성된 에러 메시지를 렌더링할 수 있는 span을 추가함.
- form.<field_name>.errors : validation 결과로부터 나온 에러 메시지들. 여러 개의 validator들이 붙을 수 있기 때문에 리스트임.


## Links 생성하기

- '/index' 와 같이 직접적으로 링크를 쓰는 것의 문제점 : 링크 바꾸면 전체 앱을 다 고쳐야 함.
- url_for('view function name') : URL과 view function 간의 내부적인 매핑을 이용해서, URL을 생성함.
ex) url_for('login') : login view function에 매핑되어있는 '/login' url을 리턴해줌
- 왜 url 대신 함수명을 쓰는가?  
1) 함수 이름이 url보다 변경 빈도가 낮음
2) url이 dynamic component로 구성된 경우, 여러 요소들을 이어붙여 url을 만드는 것이 에러를 유발할 수 있음
- base.html과 routes.py의 url직접 명시 부분을 모두 url_for()로 변경함
