flask中响应错误的处理及errorhandler的应用方式

目录

• flask响应错误处理及errorhandler应用
• flask学习笔记：错误处理
• 1. 做好准备工作
• 2. Flask中的错误处理
• 3. 调试模式
• 4. 自定义错误页面
• 5. 通过邮件发送错误
• 6. 记录到文件
• 7.  修复用户名重名漏洞
• 总结

flask响应错误处理及errorhandler应用

@app.errorhandler(404)
def page_not_found(error):
    return render_template('404.html'),404

则当互出现请求错误时，并不一定需要设置重定向路由，仅定义一个errorhandler对应的错误页面即可

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h1>404</h1>
<h1>很抱歉！</h1>
<p>您访问的页面不存在</p>
</body>
</html>!

flask学习笔记：错误处理

1. 做好准备工作

• 进入项目主目录
• 激活虚拟环境

2. Flask中的错误处理

登陆账号，点开编辑资料页面，试着将用户名改为一个已经存在的用户名，然后，你会看到屏幕显示“Internal Server Error”。

现在，看看命令行终端，你能看到错误堆栈跟踪，堆栈跟踪在错误调试时非常有用，因为它们显示该堆栈中的调用序列，一直到产生错误的那行：

(venv) $ flask run
 * Serving Flask app "microblog"
 * Running on http://127.0.0.1:5000/ (Press CTRL+C to quit)
[2017-09-14 22:40:02,027] ERROR in app: Exception on /edit_profile [POST]
Traceback (most recent call last):
  File "/home/miguel/microblog/venv/lib/python3.6/site-packages/sqlalchemy/engine/base.py", line 1182, in _execute_context
    context)
  File "/home/miguel/microblog/venv/lib/python3.6/site-packages/sqlalchemy/engine/default.py", line 470, in do_execute
    cursor.execute(statement, parameters)
sqlite3.IntegrityError: UNIQUE constraint failed: user.username

堆栈跟踪指出bug出在哪，应用允许用户更改用户名，但是并不会验证用户选择的新用户名是否与系统中已有的用户发生冲突。该错误来自SQLAlchemy，它试图将新用户名写入数据库，但由于用户名字段设置了 unique=True，所以写入被拒绝。

现在默认的错误页面很丑，与整个应用的布局不符。

3. 调试模式

在生产服务器中，上面那样的处理错误的方式很好，如果出现了错误，用户将看到一个笼统的错误页面，而详细的错误详细输出到服务器进程或者日志文件中。

但当你在开发应用时，你可以开启调试模式，Flask会在浏览器中输出非常好的调试器。先关闭应用，设置以下环境变量即可激活调试模式：

(venv) $ export FLASK_DEBUG=1

Windows中使用 set 来设置。

设置完 FLASK_DEBUG 后，重启应用，终端输出与之前看到的就不同了：

(venv) microblog2 $ flask run
 * Serving Flask app "microblog"
 * Forcing debug mode on
 * Running on http://127.0.0.1:5000/ (Press CTRL+C to quit)
 * Restarting with stat
 * Debugger is active!
 * Debugger PIN: 177-562-960

现在，再试试让程序奔溃，看看浏览器中的交互式调试器。

调试器允许你展开每个堆栈帧并查看响应的源码，你也可以在任何帧上打开Python提示符并执行任何有效的Python表达式，例如检查变量的值。

调试器允许用户远程执行服务器中的代码，因此对于想要渗入应用的而已用户来说有利。作为附加的安全措施，在浏览器中允许的调试器刚开始是锁定的，在第一次使用时，会要求输入PIN码，你可以在flask run命令的输出中看到。

另外，调试模式还有个很重要的特性，就是重新载入（reloader），这是个很有用的开发特性，如果你在开启调试模式时运行 flask run，修改了源文件并保存，应用就会自动重新载入。

4. 自定义错误页面

Flask提供了一种机制使应用可以安装自己的错误页面，而不是默认的无聊页面。比如，我们来定义404错误页面和500错误页面，这两种错误是最常见的。定义其他错误页面同理。

用 @errorhandler 装饰器可以自定义错误管理器。新建 app/errors.py 模块。

app/routes.py

from flask import render_template
from app import app, db
 
@app.errorhandler(404)
def not_found_error(error):
    return render_template('404.html'), 404
 
@app.errorhandler(500)
def internal_error(error):
    db.session.rollback()
    return render_template('500.html'), 500

错误函数的工作方式和视图函数类似。这两个错误会返回各自模板的内容。注意这两个函数都返回了除模板外的第二个值，也就是错误代码。在之前创建的视图函数中，我都没有显式的定义第二个值，因为默认值是200（代表成功响应）。而这两个是错误页面，所以我希望在响应时能反映这一点。

数据库错误会调用500错误。本例中的用户名重名会造成这个错误。为了确保数据库事务错误不会干扰模板触发的数据库访问，程序会执行事务回滚。

下面是404错误的模板：

app/templates/404.html

{% extends "base.html" %}
 
{% block content %}
    <h1>File Not Found</h1>
    <p><a href="{{ url_for('index') }}" rel="external nofollow"  rel="external nofollow" >Back</a></p>
{% endblock %}

这是500错误的：

app/templates/500.html

{% extends "base.html" %}
 
{% block content %}
    <h1>An unexpected error has occurred</h1>
    <p>The administrator has been notified. Sorry for the inconvenience!</p>
    <p><a href="{{ url_for('index') }}" rel="external nofollow"  rel="external nofollow" >Back</a></p>
{% endblock %}

两个模板都继承自 base.html 模板。

在 app/errors.py 模块导入到 __init__.py 文件中应用实例的后面。

app/__init__.py

# ...
 
from app import routes, models, errors

在终端设置 FLASK_DEBUG=0 ，然后试着再次触发用户名重名错误，你就能看到更友好的错误页面了。

5. 通过邮件发送错误

Flask提供的错误处理机制有个问题，就是没有提示，只会在终端输出堆栈跟踪，开发时倒是没事，但如果应用部署到了生产服务器，没人会盯着输出看，所以要想个别的办法。

第一种解决方案是触发错误后发邮件通知管理员，邮件正文包含堆栈跟踪。

第一步，将邮件服务信息添加到配置文件：

config.py

class Config(object):
    # ...
    MAIL_SERVER = os.environ.get('MAIL_SERVER')
    MAIL_PORT = int(os.environ.get('MAIL_PORT') or 25)
    MAIL_USE_TLS = os.environ.get('MAIL_USE_TLS') is not None
    MAIL_USERNAME = os.environ.get('MAIL_USERNAME')
    MAIL_PASSWORD = os.environ.get('MAIL_PASSWORD')
    ADMINS = ['your-email@example.com']

邮件配置变量包含服务器和端口，用于启用加密连接的布尔值，以及可选的用户名和密码。这五个配置变量都从环境变量中加载。如果环境中没有设置邮件服务器，我就会禁用邮件错误提示。邮件端口也可以在环境变量中设置，如果没有设置，就用25端口。ADMIN 配置变量代表用于接收错误报告的邮箱地址。

Flask用Python的 logging 包来写入日志，这个包可用于用邮件发送日志。我要做的就是添加 SMTPHandler 实例到Flask记录器对象，也就是 app.logger：

app/__init__.py

import logging
from logging.handlers import SMTPHandler
 
# ...
 
if not app.debug:
    if app.config['MAIL_SERVER']:
        auth = None
        if app.config['MAIL_USERNAME'] or app.config['MAIL_PASSWORD']:
            auth = (app.config['MAIL_USERNAME'], app.config['MAIL_PASSWORD'])
        secure = None
        if app.config['MAIL_USE_TLS']:
            secure = ()
        mail_handler = SMTPHandler(
            mailhost=(app.config['MAIL_SERVER'], app.config['MAIL_PORT']),
            fromaddr='no-reply@' + app.config['MAIL_SERVER'],
            toaddrs=app.config['ADMINS'], subject='Microblog Failure',
            credentials=auth, secure=secure)
        mail_handler.setLevel(logging.ERROR)
        app.logger.addHandler(mail_handler)

以上程序只在调试模式为开启时才会开启邮件记录器功能，也就是当 app.debug 为 True 以及邮件服务可用时。
设置邮件记录器有些繁琐，因为必须要处理许多邮件服务的安全可选项。但实际上，上面的代码创建了 SMTPHandler 实例。设置其级别，使其只报告错误信息。

测试此功能的方法有两种。简单的这种是使用 Python 中的 SMTP 调试服务，接收邮件而不是发送邮件，并将其打印大盘控制台。再打开一个终端会话并运行以下命令：

(venv) $ python -m smtpd -n -c DebuggingServer localhost:8025

设置 MAIL_SERVER=localhost 和 MAIL_PORT=8025。如果用的是 Linux 或者 Mac OS 系统，命令前要加上 sudo 前缀。如果用的是 Windows 系统，要以管理员权限打开终端。此命令需要管理员权限，1024端口以下是是只有管理员才能使用的端口。或者你也可以改为更高的端口号，比如5025，并将 MAIL_PORT 变量设置为环境中选择的端口，这样就不需要管理员权限了。

第二个终端的SMTP调试服务保持运行，在第一个终端环境中设置 export MAIL_SERVER=localhost 和 MAIL_PORT=8025（Windows中用set）。由于在调试模式中应用不会发送邮件，所以将FLASK_DEBUG 变量设置为 0 或者不用设置。运行应用，再触发一次 SQLAlchemy 错误，在终端就能看到含有堆栈错误的邮件了。

第二种测试方式是配置真正的邮件服务。下面是如何使用 Gmail 的邮件服务：

export MAIL_SERVER=smtp.googlemail.com
export MAIL_PORT=587
export MAIL_USE_TLS=1
export MAIL_USERNAME=<your-gmail-username>
export MAIL_PASSWORD=<your-gmail-password>

在 Windows 系统种用 set 而不是 export 。

6. 记录到文件

app/__init__.py

# ...
from logging.handlers import RotatingFileHandler
import os
 
# ...
 
if not app.debug:
    # ...
 
    if not os.path.exists('logs'):
        os.mkdir('logs')
    file_handler = RotatingFileHandler('logs/microblog.log', maxBytes=10240,
                                       backupCount=10)
    file_handler.setFormatter(logging.Formatter(
        '%(asctime)s %(levelname)s: %(message)s [in %(pathname)s:%(lineno)d]'))
    file_handler.setLevel(logging.INFO)
    app.logger.addHandler(file_handler)
 
    app.logger.setLevel(logging.INFO)
    app.logger.info('Microblog startup')

我将文件名为 microblog.log 的日志文件写入 logs 文件夹。

RotatingFileHandler 类确保日志文件不会太大。在本例中我将日志文件的大小限制为 10KB，并且将最后10个日志文件保留为备份。

logging.Formatter 类为日志消息提供自定义格式。由于这些消息会被记录到文件，所以格式中包含时间戳，日志级别，消息，日志项起始位置的源文件和行号。

我将应用记录器和文件记录器处理器的日志等级都设置为 INFO。（日志级别按照严重程度分别是：DEBUG，INFO，WARNING，ERROR，CRITICAL）。

每次服务器启动时都会往日志写入行，当这个应用在生产服务器中运行时，能看出服务器上面时候重启。

7.  修复用户名重名漏洞

RegistrationForm 已经实现了用户名验证，但编辑表单并没有。

app/forms.py

class EditProfileForm(FlaskForm):
    username = StringField('Username', validators=[DataRequired()])
    about_me = TextAreaField('About me', validators=[Length(min=0, max=140)])
    submit = SubmitField('Submit')
 
    def __init__(self, original_username, *args, **kwargs):
        super(EditProfileForm, self).__init__(*args, **kwargs)
        self.original_username = original_username
 
    def validate_username(self, username):
        if username.data != self.original_username:
            user = User.query.filter_by(username=self.username.data).first()
            if user is not None:
                raise ValidationError('Please use a different username.')

通过自定义验证方法可以实现这个功能，但这里还有个重载构造函数，它接受原始用户名作为参数。此用户名被保存为实例变量，然后用validate_username()方法检查。如果表单中的用户名与原始用户名相同，就不需要检查数据库中环有没有重复项了。

将原始用户名作为参数加入到视图函数。

app/routes.py

@app.route('/edit_profile', methods=['GET', 'POST'])
@login_required
def edit_profile():
    form = EditProfileForm(current_user.username)
    # ...

总结

以上为个人经验，希望能给大家一个参考，也希望大家多多支持我们。