今回の教材では下記Gitを使います。  
https://github.com/miguelgrinberg/flasky

## Web Forms(ウェブフォーム）

以前紹介したrequestオブジェクトは、クライアントが要求に応じて送信したすべての情報を公開します。  
特に、request.formは、POST要求で送信されたフォームデータへのアクセスを提供します。  
Flaskの要求オブジェクトで提供されるサポートは、Webフォームの処理には十分ですが、反復的になる可能性がある多くのタスクがあります。   
2つの良い例は、フォームのHTMLコードの生成と送信されたフォームデータの検証です。   
Flask-WTFの拡張機能により、Webフォームはより快適な操作を実現します。この拡張モジュールは、フレームワークに依存しないWTFormsパッケージのFlask統合ラッパーです。 Flask-WTFとその依存関係はpipでインストールできます：

### Cross-Site Request Forgery (CSRF) Protection

デフォルトでは、Flask-WTFはすべてのフォームをCSRF（Cross-Site Request Forgery）攻撃から保護します。   
掲示板や問い合わせフォームなどを処理するWebアプリケーションが、本来拒否すべき他サイトからのリクエストを受信し処理してしまいます。 
Flask-WTFは、CSRF保護するために、暗号化キーを設定するアプリケーションです。  
Flask-WTFはこのキーを使用して、フォームデータによる要求の真正性を検証するために使用される暗号化トークンを生成します。例4-1に、暗号化キーを構成する方法を示します。

app.configディクショナリーは、フレームワーク、拡張機能、またはアプリケーション自体が使用する構成変数を格納するための場所で設定値を追加できます。  
構成オブジェクトには、ファイルまたは環境から構成値をインポートするメソッドもあります。  
SECRET_KEYの設定変数は、Flaskとサードパーティの拡張機能による暗号化キーとして使用されます。  
ビルドする各アプリケーションで別の秘密鍵を選択し、この文字列が誰にも知られていないことを確認します。

## Form Classes

Flask-WTFを使用する場合、各WebフォームはFormクラスを継承するクラスで表されます。  
クラスはフォーム内のフィールドのリストを定義し、それぞれはオブジェクトで表されます。  
各フィールドオブジェクトには、1つまたは複数のバリデータを設定できます。  
バリデーターは、ユーザーした入力が有効かどうかをチェックする関数です。

WTFormsでサポートされている標準HTMLフィールドのリストが表示されます

 - RadioField  | List of radio buttons    ラジオボタンのリスト  
 - SelectField  | Drop-down list of choices  選択肢のドロップダウンリスト  
 - SelectMultipleField  | Drop-down list of choices with multiple selection   
 - 複数の選択肢を持つ選択肢のドロップダウンリスト  
 - FileField   | File upload field   ファイルアップロードフィールド  
 - SubmitField  | Form submission button    フォーム提出ボタン   
 - FormField  | Embed a form as a field in a container form   フォームをコンテナ形式のフィールドとして埋め込む  
 - FieldList   | List of fields of a given type  指定されたタイプのフィールドのリスト   

 - Email | Validates an email address 電子メールアドレスを検証する  
EqualTo  | 
 - Compares the values of two fields; useful when requesting a password to be entered twice for confirmation   
2つのフィールドの値を比較します。確認のためにパスワードを2回入力する必要がある場合に便利です  
 - IPAddress  | Validates an IPv4 network address IPv4ネットワークアドレスを検証する  
 - Length  | Validates the length of the string entered 入力された文字列の長さを検証します。  
 - NumberRange  | Validates that the value entered is within a numeric range 入力された値が数値範囲内にあることを検証します。  
 - Optional  | Allows empty input on the field, skipping additional validators フィールドに空の入力を許可し、追加のバリデータをスキップします  
 - Required  | Validates that the field contains data フィールドにデータが含まれていることを検証します。  
 - Regexp  | Validates the input against a regular expression 入力を正規表現と照合して検証します。  
 - URL  | Validates a URL   
 - AnyOf  | Validates that the input is one of a list of possible values 入力が可能な値のリストの1つであることを立証する  
 - NoneOf  | Validates that the input is none of a list of possible values 入力が可能な値のリストではないことを検証します


## HTML Rendering of Forms

フォームフィールドは、テンプレートから呼び出されたときに自分自身をHTMLにレンダリングする呼び出し可能オブジェクトです。  
ビュー関数がNameFormインスタンスをテンプレートという名前の引数としてformに渡すと仮定すると、テンプレートは次のように単純なHTMLフォームを生成できます。

nameフィールドとsubmitフィールドの他に、form.hidden_​​tag（）要素があることに注意してください。  
この要素は、Flask-WTFがCSRF保護を実装するために使用する、表示から隠された余分なフォームフィールドを定義します。  
もちろん、結果は非常に裸です。フォームの外観を改善するために、フィールドをレンダリングする呼び出しに送られた引数は、フィールドのHTML属性に変換されます。  
たとえば、フィールドのid属性またはclass属性を指定してから、CSSスタイルを定義することができます。

HTML属性であっても、このようにフォームをレンダリングするために必要な作業は重要なので、できるだけブートストラップ自身のフォームスタイルセットを活用することが最善です。 
Flask-Bootstrapは、Bootstrapの定義済みフォームスタイルを使用してFlask-WTFフォーム全体を単一の呼び出しでレンダリングする、非常に高度なヘルパー関数を提供します。 Flask-Bootstrapを使用すると、前のフォームを次のようにレンダリングできます。

importディレクティブは通常のPythonスクリプトと同じように動作し、テンプレート要素をインポートして多くのテンプレートで使用できるようにします。  
インポートされたbootstrap/wtf.htmlファイルは、ブートストラップを使用してFlask-WTFフォームをレンダリングするヘルパー関数を定義します。   
wtf.quick_form（）関数は、Flask-WTFフォームオブジェクトを取り、デフォルトのブートストラップスタイルを使用してレンダリングします。

テンプレートのコンテンツ領域に2つのセクションが追加されました。  
最初のセクションは、挨拶を示すページヘッダーです。ここでは、条件付きテンプレートが使用されています。   
Jinja2の条件式は、{％if condition％} ... {％else％} ... {％endif％}の形式です。  
条件がTrueと評価された場合、ifおよびelseディレクティブの間に現れるものがテンプレートにレンダリングされます。  
条件がFalseと評価された場合、elseとendifの間に何がレンダリングされます。サンプルのテンプレートは、名前テンプレートの引数が未定義のときに文字列 "Hello、Stranger！"を表示します。  
コンテンツの2番目のセクションは、wtf.quick_form（）関数を使用してNameFormオブジェクトをレンダリングします。

## Form Handling in View Functions(View関数でのフォーム画面のハンドリング）

index（）ビュー関数がフォームをレンダリングし、そのデータを受け取っています。

app.routeデコレータに追加されたmethods引数は、Flaskに、URLマップ内のGETおよびPOSTリクエストのハンドラとしてビュー関数を登録するように指示します。  
メソッドが与えられていない場合、ビュー関数はGET要求のみを処理するように登録されます。

フォーム送信はPOST要求としてはるかに便利に処理されるので、メソッドリストにPOSTを追加する必要があります。  
フォームをGETリクエストとして送信することは可能ですが、GETリクエストには本文がないため、データはURLにクエリ文字列として追加され、ブラウザのアドレスバーに表示されます。これと他のいくつかの理由から、フォームの提出はほぼ普遍的にPOSTリクエストとして行われます。

ローカル変数名は、使用可能なときにフォームから受け取った名前を保持するために使用されます。
名前がわからない場合、変数はNoneに初期化されます。  
ビュー関数は、前にフォームを表すNameFormクラスのインスタンスを作成します。  

フォームのvalidate_on_submit（）メソッドは、フォームが送信され、データがすべてのフィールドバリデーターによって受け入れられたときにTrueを返します。　　
それ以外の場合、validate_on_submit（）はFalseを返します。　　
このメソッドの戻り値は、フォームをレンダリングまたは処理する
必要があるかどうかを判断するのに効果的です。

ユーザーが最初にアプリケーションにナビゲートすると、サーバーはフォームデータなしでGET要求を受信するため、validate_on_submit（）はFalseを返します。 

if文の本体はスキップされ、テンプレートをレンダリングすることによって要求が処理され、フォームオブジェクトとname変数が引数としてNoneに設定されます。　　
ユーザーはブラウザに表示されたフォームを見ることができます。　　
ユーザーがフォームを送信すると、サーバーはそのデータでPOST要求を受け取ります。 
validate_on_submit（）を呼び出すと、nameフィールドに付加されたRequired（）バリデーターが呼び出されます。　　

名前が空でない場合、バリデーターはそれを受け入れ、validate_on_submit（）はTrueを返します。　　
ユーザが入力した名前は、フィールドのデータ属性としてアクセスできるようになりました。 　　
if文の本体の内部では、この名前はローカル名変数に割り当てられ、フォームのフィールドはそのデータ属性を空の文字列に設定することでクリアされます。　　
最後の行のrender_template（）を呼び出すとテンプレートがレンダリングされますが、今回はname引数にフォームの名前が含まれるため、挨拶がパーソナライズされます。