这门课要求具备Python实战基础,强调WSGI原理、请求生命周期、Excel处理规范、权限动态控制及生产部署细节。
这门课不是学完就能直接用的“速成课”,它默认你已经写过至少 3 个真实 Python 脚本(比如用 pandas 处理 Excel、用 requests 调 API、用 schedule 做定时任务),否则讲到「权限校验中间件如何与 Flask-Login 解耦」或「异步导出任务在 Celery 中的状态回传机制」时,你会卡在基础概念上。
为什么不能跳过 WSGI 和请求生命周期?
几乎所有办公系统崩溃的根源,都藏在 WSGI 层——比如你改了 app.run(debug=True) 就以为部署好了,结果上线后所有 POST 请求都报 400 Bad Request;又或者用了 gunicorn --preload,但没意识到 __init__.py 里初始化的全局数据库连接在 fork 后会复用同一个 socket,导致事务混乱。
-
werkzeug.Request对象在进入路由前就已解析好form、args、files,手动调request.get_data()会清空原始流,后续再读就拿不到数据 - Flask 的
before_request钩子在请求上下文建立后才触发,但日志记录、IP 白名单这类逻辑必须在 WSGIenviron层做,否则拦截不了恶意路径遍历 - 本地调试用
flask run是单线程,但生产用gunicorn -w 4 -k gevent时,threading.local()存的用户信息会跨请求污染
Excel 导入功能最常踩的三个坑
不是不会写 openpyxl,而是没想清楚「谁该负责校验」:前端传来的文件名带 ../ 怎么拦?字段类型不匹配是前端提示还是后端返回统一错误码?空行、合并单元格、公式值要不要转成实际值?
- 永远用
tempfile.NamedTemporaryFile(delete=False)接收上传的.xlsx,别直接读request.files['file'].stream——后者在大文件时会吃光内存 -
openpyxl.load_workbook(data_only=True)才能拿到公式计算结果;但若要保留原始格式(如颜色、字体),必须设为False,再手动处理cell.value和cell.data_type - 批量插入前务必用
pandas.DataFrame.to_sql(..., if_exists='append', index=False)替代循环session.add(),否则万级数据导入从 2 秒拖到 8 分钟
权限控制别只靠装饰器 @login_required
办公系统里真正的难点从来不是「登录」,而是「这个人能不能看这个部门的报销单」「那个审批人是否在当前流程节点有操作权」。硬编码角色判断(如 if user.role == 'admin')会导致后期加一个「财务复核员」角色就得改七八个文件。
立即学习“Python免费学习笔记(深入)”;
- 用
flask-principal定义Permission和Need,把权限逻辑抽到独立模块,比如need = ItemNeed('view', 'reimbursement', department_id) - 数据库里建
role_permission表,而不是在代码里写死「admin 可以删所有」——这样 HR 在后台勾选一下就能给新角色开通某模块导出权限 - 接口返回数据前必须做
current_user.can(DeleteNeed('reimbursement', item.id))检查,否则前端隐藏了删除按钮,后端没拦住照样能删
from flask_principal import Permission, ItemNeed不要这样写
if current_user.is_admin: return item.delete()
要这样写(配合数据库权限表 + identity_loaded 回调)
delete_reimbursement = Permission(ItemNeed('delete', 'reimbursement', item.id)) if delete_reimbursement.can(): return item.delete() else: abort(403)
真正难的不是写出能跑的代码,而是当老板说「下周要让销售部只能导出自己客户的合同,且每份合同最多导出 3 次」时,你能在不重写整个导出模块的前提下,只改两处配置和一行策略逻辑就上线。
