Tornado 使用经验汇总

最近在做一个网站的后端开发。因为初期只有我一个人做,所以技术选择上很自由。在 web 服务器上我选择了Tornado。虽然曾经也读过它的源码,并做过一些小的 demo,但毕竟这是第一次在工作中使用,难免又发现了一些值得分享的东西。

首先想说的是它的安全性,这方面确实能让我感受到它的良苦用心。这主要可以分为两点:

  1. 防范跨站伪造请求(Cross-site request forgery,简称 CSRF 或 XSRF)。
    CSRF 的意思简单来说就是,攻击者伪造真实用户来发送请求。

    举例来说,假设某个银行网站有这样的 URL:

    http://bank.example.com/withdraw?amount=1000000&for=Eve

    当这个银行网站的用户访问该 URL 时,就会给 Eve 这名用户一百万元。用户当然不会轻易地点击这个 URL,但是攻击者可以在其他网站上嵌入一张伪造的图片,将图片地址设为该 URL:

    <img src="http://bank.example.com/withdraw?amount=1000000&for=Eve">

    那么当用户访问那个恶意网站时,浏览器就会对该 URL 发起一个 GET 请求,于是在用户毫不知情的情况下,一百万就被转走了。

    要防范上述攻击很简单,不允许通过 GET 请求来执行更改操作(例如转账)即可。不过其他类型的请求照样也不安全,假如攻击者构造这样一个表单:

    <form action="http://bank.example.com/withdraw" method="post">
        <p>转发抽奖送 iPad 啊!</p>
        <input type="hidden" name="amount" value="1000000">
        <input type="hidden" name="for" value="Eve">
        <input type="submit" value="转发">
    </form>

    不明真相的用户点了下“转发”按钮,结果钱就被转走了…

    要杜绝这种情况,就需要在非 GET 请求时添加一个攻击者无法伪造的字段,处理请求时验证这个字段是否修改过。
    Tornado 的处理方法很简单,在请求中增加了一个随机生成的 _xsrf 字段,并且 cookie 中也增加这个字段,在接收请求时,比较这 2 个字段的值。
    由于非本站的网页是不能获取或修改 cookie 的,这就保证了 _xsrf 无法被第三方网站伪造(HTTP 嗅探例外)。
    当然,用户自己是可以随意获取和修改 cookie 的,不过这已经不属于 CSRF 的范畴了:用户自己伪造自己所做的事情,当然由他自己来承担。

    要使用该功能的话,需要在生成 tornado.web.Application 对象时,加上 xsrf_cookies=True 参数,这会给用户生成一个名为 _xsrf 的 cookie 字段。
    此外还需要你在非 GET 请求的表单里加上 xsrf_form_html(),如果不用 Tornado 的模板的话,在 tornado.web.RequestHandler 内部可以用 self.xsrf_form_html() 来生成。

    对于 AJAX 请求来说,基本上是不需要担心跨站的,所以 Tornado 1.1.1 以前的版本并不对带有 X-Requested-With: XMLHTTPRequest 的请求做验证。
    后来 Google 的工程师指出,恶意的浏览器插件可以伪造跨域 AJAX 请求,所以也应该进行验证。对此我不置可否,因为浏览器插件的权限可以非常大,伪造 cookie 或是直接提交表单都行。
    不过解决办法仍然要说,其实只要从 cookie 中获取 _xsrf 字段,然后在 AJAX 请求时加上这个参数,或者放在 X-Xsrftoken 或 X-Csrftoken 请求头里即可。嫌麻烦的话,可以用 jQuery 的 $.ajaxSetup() 来处理:

    $.ajaxSetup({
        beforeSend: function(jqXHR, settings) {
            type = settings.type
            if (type != 'GET' && type != 'HEAD' && type != 'OPTIONS') {
                var pattern = /(.+; *)?_xsrf *= *([^;" ]+)/;
                var xsrf = pattern.exec(document.cookie);
                if (xsrf) {
                    jqXHR.setRequestHeader('X-Xsrftoken', xsrf[2]);
                }
            }
    }});

    此外再顺便谈谈跨站脚本(Cross-site scripting,简称 XSS)。和 CSRF 相反的是,XSS 是利用被攻击网站自身的漏洞,在该网站上注入攻击者想执行的脚本代码,让浏览该网站的用户执行。
    不过只要不让用户随意输入 HTML(例如对 < 和 > 进行转义),对 HTML 元素的属性做验证(例如属性里的引号要转义,src 和 事件处理等属性不能随意填写 JavaScript 代码等),并检查 CSS(含 style 属性)中的 expression 即可避免。

  2. 防止伪造 cookie。
    前面提到的 CSRF 和 XSS 都是攻击者在用户不知情的情况下,冒用他的名义来进行操作;而伪造 cookie 则是攻击者自己主动伪造其他用户来进行操作。
    举例来说,假设网站的登录验证就是检查 cookie 中的用户名,只要符合的话,就认为该用户已登录。那么攻击者只要在 cookie 中设置 username=admin 之类的值,就可以冒充管理员来操作了。

    要防止 cookie 被伪造,首先需要提到设置 cookie 时的两个参数:secure 和 httponly。这两个参数并不在 tornado.web.RequestHandler.set_cookie() 的参数列表里,而是作为关键字参数传递,并在 Cookie.Morsel._reserved 中定义的。
    前者是指这个 cookie 只能通过安全连接传递(即 HTTPS),这就使得嗅探者无法截获该 cookie;后者则要求其只能在 HTTP 协议下访问(即无法通过 JavaScript 来获取 document.cookie 中的该字段,并且设置后也不会通过 HTTP 协议向服务器发送),这便使得攻击者无法简单地通过 JavaScript 脚本来伪造 cookie。

    不过对于恶意的攻击者,这两个参数并不能杜绝 cookie 被伪造。为此就需要对 cookie 做个签名,一旦被修改,服务器端可以判断出来。
    Tornado 中提供了 set_secure_cookie() 这个方法来对 cookie 做签名。签名时需要提供一串秘钥(生成 tornado.web.Application 对象时的 cookie_secret 参数),这个秘钥可以通过如下代码来生成:

    base64.b64encode(uuid.uuid4().bytes + uuid.uuid4().bytes)

    这个参数可以随机生成,但如果同时有多个 Tornado 进程来服务的话,或者有时会重启的话,还是共用一个常量比较好,并且注意不要泄露。

    这个签名用的是 HMAC 算法,hash 算法采用的是 SHA1。简单来说就是把 cookie 名、值和时间戳的 hash 作为签名,再把“值|时间戳|签名”作为新的值。这样服务器端只要拿秘钥再次加密,比较签名是否有变化过即可判断真伪。
    值得一提的是读源码时还发现这样一个函数:

    def _time_independent_equals(a, b):
        if len(a) != len(b):
            return False
        result = 0
        if type(a[0]) is int:  # python3 byte strings
            for x, y in zip(a, b):
                result |= x ^ y
        else:  # python2
            for x, y in zip(a, b):
                result |= ord(x) ^ ord(y)
        return result == 0

    读了半天也没发现和普通的字符串比较有什么优点,直到看了 StackOverflow 上的答案才知道:为了避免攻击者通过测试比较时间来判断正确的位数,这个函数让比较的时间比较恒定,也就杜绝了这种情况。(话说这答案看得我各种佩服啊,搞安全的专家果然不是我那么肤浅的…)

接着是继承 tornado.web.RequestHandler。
在执行流程上,tornado.web.Application 会根据 URL 寻找一个匹配的 RequestHandler 类,并初始化它。它的 __init__() 方法会调用 initialize() 方法,所以只要覆盖后者即可,并且不需要调用父类的 initialize()。
接着根据不同的 HTTP 方法寻找该 handler 的 get/post() 等方法,并在执行前运行 prepare()。这些方法都不会主动调用父类的,因此有需要时,自行调用吧。
最后会调用 handler 的 finish() 方法,这个方法最好别覆盖。它会调用 on_finish() 方法,它可以被覆盖,用于处理一些善后的事情(例如关闭数据库连接),但不能再向浏览器发送数据了(因为 HTTP 响应已发送,连接也可能已被关闭)。

顺便说下怎么处理错误页面。
简单来说,执行 RequestHandler 的 _execute() 方法(内部依次执行 prepare()、get() 和 finish() 等方法)时,任何未捕捉的错误都会被它的 write_error() 方法捕捉,因此覆盖这个方法即可:

class RequestHandler(tornado.web.RequestHandler):
    def write_error(self, status_code, **kwargs):
        if status_code == 404:
            self.render('404.html')
        elif status_code == 500:
            self.render('500.html')
        else:
            super(RequestHandler, self).write_error(status_code, **kwargs)

由于历史原因,你也可以覆盖 get_error_html() 方法,不过不被推荐。
此外,你还可能没到 _execute() 方法就出错了。
例如 initialize() 方法抛出了一个未捕捉的异常,这个异常会被 IOStream 捕捉到,然后直接关闭连接,不能向用户输出任何错误页面。
再比如没有找到一个能处理该请求的 handler,就会用 tornado.web.ErrorHandler 去处理 404 错误。这种情况可以替换这个类来实现自定义错误页面:

class PageNotFoundHandler(RequestHandler):
    def get(self):
        raise tornado.web.HTTPError(404)

tornado.web.ErrorHandler = PageNotFoundHandler

另一种方法就是在 Application 的 handlers 参数的最后,加上一个能捕捉任何 URL 的 handler:

application = tornado.web.Application([
    # ...
    ('.*', PageNotFoundHandler)
])

接着说说处理登录。
Tornado 提供了 @tornado.web.authenticated 这个装饰器,在 handler 的 get() 等方法前加上即可。
它会依赖三处代码:

  1. 需要定义 handler 的 get_current_user() 方法,例如:
    def get_current_user(self):
        return self.get_secure_cookie('user_id', 0)

    它的返回值为假时,就会跳转到登录页面了。

  2. 创建 application 时设置 login_url 参数:
    application = tornado.web.Application(
        [
            # ...
        ],
        login_url = '/login'
    )
  3. 定义 handler 的 get_login_url() 方法。
    如果不能使用默认的 login_url 参数(例如普通用户和管理员需要不同的登录地址),那么可以覆盖 get_login_url() 方法:

    class AdminHandler(RequestHandler):
        def get_login_url(self):
            return '/admin/login'

顺带一提,跳转到登录页后时会附带一个 next 参数,指向登录前访问的网址。为达到更好的用户体验,需要在登录后跳转到该网址:

class LoginHandler(RequestHandler):
    def get(self):
        if self.get_current_user():
            self.redirect('/')
            return
        self.render('login.html')

    def post(self):
        if self.get_current_user():
            raise tornado.web.HTTPError(403)
        # check username and password
        if success:
            self.redirect(self.get_argument('next', '/'))

此外,我很多地方都使用了 AJAX 技术,而前端懒得去处理 403 错误,所以我只能改造一下 authenticated() 了:

def authenticated(method):
    """Decorate methods with this to require that the user be logged in."""
    @functools.wraps(method)
    def wrapper(self, *args, **kwargs):
        if not self.current_user:
            if self.request.headers.get('X-Requested-With') == 'XMLHttpRequest': # jQuery 等库会附带这个头
                self.set_header('Content-Type', 'application/json; charset=UTF-8')
                self.write(json.dumps({'success': False, 'msg': u'您的会话已过期,请重新登录!'}))
                return
            if self.request.method in ("GET", "HEAD"):
                url = self.get_login_url()
                if "?" not in url:
                    if urlparse.urlsplit(url).scheme:
                        # if login url is absolute, make next absolute too
                        next_url = self.request.full_url()
                    else:
                        next_url = self.request.uri
                    url += "?" + urllib.urlencode(dict(next=next_url))
                self.redirect(url)
                return
            raise tornado.web.HTTPError(403)
        return method(self, *args, **kwargs)
    return wrapper

然后说下获取用户的 IP 地址。
简单来说,在 handler 的方法里用 self.request.remote_ip 就能拿到了。
不过如果使用了反向代理,拿到的就是代理的 IP 了,这时候就需要在创建 HTTPServer 时增加 xheaders 的设置了:

if __name__ == '__main__':
    from tornado.httpserver import HTTPServer
    from tornado.netutil import bind_sockets

    sockets = bind_sockets(80)
    server = HTTPServer(application, xheaders=True)
    server.add_sockets(sockets)
    tornado.ioloop.IOLoop.instance().start()

此外,我只需要处理 IPv4,但本地测试时会拿到 ::1 这种 IPv6 地址,所以还需要设置一下:

if settings.IPV4_ONLY:
    import socket
    sockets = bind_sockets(80, family=socket.AF_INET)
else:
    sockets = bind_sockets(80)

最后再提下生产环境下如何提高性能。Tornado 可以在 HTTPServer 调用 add_sockets() 前创建多个子进程,利用多 CPU 的优势来处理并发请求。
简单来说,代码如下:

if __name__ == '__main__':
    if settings.IPV4_ONLY:
        import socket
        sockets = bind_sockets(80, family=socket.AF_INET)
    else:
        sockets = bind_sockets(80)
    if not settings.DEBUG_MODE:
        import tornado.process
        tornado.process.fork_processes(0) # 0 表示按 CPU 数目创建相应数目的子进程
    server = HTTPServer(application, xheaders=True)
    server.add_sockets(sockets)
    tornado.ioloop.IOLoop.instance().start()

注意这种方式下不能启用 autoreload 功能(application 在创建时,debug 参数不能为真)。

SQLAlchemy Tornado增删改查实例

import tornado.ioloop
import tornado.httpserver
import tornado.web
import os, json

from datetime import datetime

from sqlalchemy.orm import scoped_session, sessionmaker
from models import *

class Application(tornado.web.Application):
    def __init__(self):
        handlers = [
            (r"/", MainHandler),
            (r"/todos\/?([0-9]*)", RESTfulHandler),
        ]

        settings = dict(
            static_path=os.path.join(os.path.dirname(__file__), "static"),
            template_path=os.path.join(os.path.dirname(__file__), "templates"),
            debug=True,
        )

        tornado.web.Application.__init__(self, handlers, **settings)

        self.db = scoped_session(sessionmaker(bind=engine))

class BaseHandler(tornado.web.RequestHandler):
    @property
    def db(self):
        return self.application.db

class MainHandler(BaseHandler):
    def get(self):
        if self.get_cookie('todos') is None:
            remote_ip = self.request.remote_ip
            user = User(remote_ip)
            self.db.add(user)
            self.db.commit()
            self.set_cookie('todos', user.session, expires=datetime(2020, 1, 1))
        self.render("index.html")

class RESTfulHandler(BaseHandler):
    def get(self, id):
        session_hash = self.get_cookie('todos')
        user = self.db.query(User).filter_by(session=session_hash).first()
        todos = []
        for todo in user.todos:
            todos.append(todo.toDict())
        todos = json.dumps(todos)
        self.write(todos)

    def post(self, id):
        session_hash = self.get_cookie('todos')
        user = self.db.query(User).filter_by(session=session_hash).first()
        todo = json.loads(self.request.body)
        todo = Todo(order=todo['order'],
                    content=todo['content'],
                    done=todo['done'],
                    user=user.id)
        self.db.add(todo)
        self.db.commit()
        todo = json.dumps(todo.toDict())
        self.write(todo)

    def put(self, id):
        session_hash = self.get_cookie('todos')
        user = self.db.query(User).filter_by(session=session_hash).first()
        todo = self.db.query(Todo).filter(Todo.id == id).filter(Todo.user == user.id).first()
        if todo is not None:
           tmp = json.loads(self.request.body)
           todo.content = tmp['content']
           todo.done = tmp['done']
           self.db.commit()
           todo = json.dumps(todo.toDict())
           self.write(todo)
        else:
           self.set_status(403)

    def delete(self, id):
        session_hash = self.get_cookie('todos')
        user = self.db.query(User).filter_by(session=session_hash).first()
        todo = self.db.query(Todo).filter(Todo.id == id).filter(Todo.user == user.id).first()
        if todo is not None:
            self.db.delete(todo)
            self.db.commit()
        else:
            self.set_status(403)

def main():
    http_server = tornado.httpserver.HTTPServer(Application())
    http_server.listen(8888)
    tornado.ioloop.IOLoop.instance().start()

if __name__ == "__main__":
    main()

根据不同的浏览器提示不同内容

<script type=”text/javascript”>
var ua = navigator.userAgent;
if (ua.indexOf(“iPhone”)>=0) {
document.write(‘<h1>iOS版本正在抓紧研发中,敬请期待,请使用Android手机下载安装 :)</h1> ‘);
}else if (ua.indexOf(“MicroMessenger”) > 0 && ua.indexOf(“iPhone”)<0) {
//如果是在微信中并且不是iphone中
//alert(1111);
document.write(‘<h1>请在浏览器中打开!</h1>’);
}else{
window.location=’http://xxx.apk’
}

</script>

SQLAlchemy 使用经验

转:
上篇文章提到了,最近在用 Python 做一个网站。除了 Tornado ,主要还用到了 SQLAlchemy。这篇就是介绍我在使用 SQLAlchemy 的过程中,学到的一些知识。

首先说下,由于最新的 0.8 版还是开发版本,因此我使用的是 0.79 版,API 也许会有些不同。
因为我是搭配 MySQL InnoDB 使用,所以使用其他数据库的也不能完全照搬本文。

接着就从安装开始介绍吧,以 Debian/Ubuntu 为例(请确保有管理员权限):
MySQL
apt-get install mysql-server
apt-get install mysql-client
apt-get install libmysqlclient15-dev
python-mysqldb
apt-get install python-mysqldb
easy_install
wget http://peak.telecommunity.com/dist/ez_setup.py
python ez_setup.py
MySQL-Python
easy_install MySQL-Python
SQLAlchemy
easy_install SQLAlchemy
如果是用其他操作系统,遇到问题就 Google 一下吧。我是在 Mac OS X 上开发的,途中也遇到些问题,不过当时没记下来……
值得一提的是我用了 MySQL-Python 来连 MySQL,因为不支持异步调用,所以和 Tornado 不是很搭。不过性能其实很好,因此以后再去研究下其他方案吧……

装好后就可以开始使用了:
from sqlalchemy import create_engine
from sqlalchemy.orm import sessionmaker

DB_CONNECT_STRING = ‘mysql+mysqldb://root:123@localhost/ooxx?charset=utf8’
engine = create_engine(DB_CONNECT_STRING, echo=True)
DB_Session = sessionmaker(bind=engine)
session = DB_Session()
这里的 DB_CONNECT_STRING 就是连接数据库的路径。“mysql+mysqldb”指定了使用 MySQL-Python 来连接,“root”和“123”分别是用户名和密码,“localhost”是数据库的域名,“ooxx”是使用的数据库名(可省略),“charset”指定了连接时使用的字符集(可省略)。
create_engine() 会返回一个数据库引擎,echo 参数为 True 时,会显示每条执行的 SQL 语句,生产环境下可关闭。
sessionmaker() 会生成一个数据库会话类。这个类的实例可以当成一个数据库连接,它同时还记录了一些查询的数据,并决定什么时候执行 SQL 语句。由于 SQLAlchemy 自己维护了一个数据库连接池(默认 5 个连接),因此初始化一个会话的开销并不大。对 Tornado 而言,可以在 BaseHandler 的 initialize() 里初始化:
class BaseHandler(tornado.web.RequestHandler):
def initialize(self):
self.session = models.DB_Session()

def on_finish(self):
self.session.close()
对其他 Web 服务器来说,可以使用 sqlalchemy.orm.scoped_session,它能保证每个线程获得的 session 对象都是唯一的。不过 Tornado 本身就是单线程的,如果使用了异步方式,就可能会出现问题,因此我并没使用它。

拿到 session 后,就可以执行 SQL 了:
session.execute(‘create database abc’)
print session.execute(‘show databases’).fetchall()
session.execute(‘use abc’)
# 建 user 表的过程略
print session.execute(‘select * from user where id = 1’).first()
print session.execute(‘select * from user where id = :id’, {‘id’: 1}).first()
不过这和直接使用 MySQL-Python 没啥区别,所以就不介绍了;我还是喜欢 ORM 的方式,这也是我采用 SQLAlchemy 的唯一原因。

于是来定义一个表:
from sqlalchemy import Column
from sqlalchemy.types import CHAR, Integer, String
from sqlalchemy.ext.declarative import declarative_base

BaseModel = declarative_base()

def init_db():
BaseModel.metadata.create_all(engine)

def drop_db():
BaseModel.metadata.drop_all(engine)

class User(BaseModel):
__tablename__ = ‘user’

id = Column(Integer, primary_key=True)
name = Column(CHAR(30)) # or Column(String(30))

init_db()
declarative_base() 创建了一个 BaseModel 类,这个类的子类可以自动与一个表关联。
以 User 类为例,它的 __tablename__ 属性就是数据库中该表的名称,它有 id 和 name 这两个字段,分别为整型和 30 个定长字符。Column 还有一些其他的参数,我就不解释了。
最后,BaseModel.metadata.create_all(engine) 会找到 BaseModel 的所有子类,并在数据库中建立这些表;drop_all() 则是删除这些表。

接着就开始使用这个表吧:
from sqlalchemy import func, or_, not_

user = User(name=’a’)
session.add(user)
user = User(name=’b’)
session.add(user)
user = User(name=’a’)
session.add(user)
user = User()
session.add(user)
session.commit()

query = session.query(User)
print query # 显示SQL 语句
print query.statement # 同上
for user in query: # 遍历时查询
print user.name
print query.all() # 返回的是一个类似列表的对象
print query.first().name # 记录不存在时,first() 会返回 None
# print query.one().name # 不存在,或有多行记录时会抛出异常
print query.filter(User.id == 2).first().name
print query.get(2).name # 以主键获取,等效于上句
print query.filter(‘id = 2’).first().name # 支持字符串

query2 = session.query(User.name)
print query2.all() # 每行是个元组
print query2.limit(1).all() # 最多返回 1 条记录
print query2.offset(1).all() # 从第 2 条记录开始返回
print query2.order_by(User.name).all()
print query2.order_by(‘name’).all()
print query2.order_by(User.name.desc()).all()
print query2.order_by(‘name desc’).all()
print session.query(User.id).order_by(User.name.desc(), User.id).all()

print query2.filter(User.id == 1).scalar() # 如果有记录,返回第一条记录的第一个元素
print session.query(‘id’).select_from(User).filter(‘id = 1’).scalar()
print query2.filter(User.id > 1, User.name != ‘a’).scalar() # and
query3 = query2.filter(User.id > 1) # 多次拼接的 filter 也是 and
query3 = query3.filter(User.name != ‘a’)
print query3.scalar()
print query2.filter(or_(User.id == 1, User.id == 2)).all() # or
print query2.filter(User.id.in_((1, 2))).all() # in

query4 = session.query(User.id)
print query4.filter(User.name == None).scalar()
print query4.filter(‘name is null’).scalar()
print query4.filter(not_(User.name == None)).all() # not
print query4.filter(User.name != None).all()

print query4.count()
print session.query(func.count(‘*’)).select_from(User).scalar()
print session.query(func.count(‘1’)).select_from(User).scalar()
print session.query(func.count(User.id)).scalar()
print session.query(func.count(‘*’)).filter(User.id > 0).scalar() # filter() 中包含 User,因此不需要指定表
print session.query(func.count(‘*’)).filter(User.name == ‘a’).limit(1).scalar() == 1 # 可以用 limit() 限制 count() 的返回数
print session.query(func.sum(User.id)).scalar()
print session.query(func.now()).scalar() # func 后可以跟任意函数名,只要该数据库支持
print session.query(func.current_timestamp()).scalar()
print session.query(func.md5(User.name)).filter(User.id == 1).scalar()

query.filter(User.id == 1).update({User.name: ‘c’})
user = query.get(1)
print user.name

user.name = ‘d’
session.flush() # 写数据库,但并不提交
print query.get(1).name

session.delete(user)
session.flush()
print query.get(1)

session.rollback()
print query.get(1).name
query.filter(User.id == 1).delete()
session.commit()
print query.get(1)
增删改查都涉及到了,自己看看输出的 SQL 语句就知道了,于是基础知识就介绍到此了。

下面开始介绍一些进阶的知识。

如何批量插入大批数据?
可以使用非 ORM 的方式:
session.execute(
User.__table__.insert(),
[{‘name’: `randint(1, 100)`,’age’: randint(1, 100)} for i in xrange(10000)]
)
session.commit()
上面我批量插入了 10000 条记录,半秒内就执行完了;而 ORM 方式会花掉很长时间。

如何让执行的 SQL 语句增加前缀?
使用 query 对象的 prefix_with() 方法:
session.query(User.name).prefix_with(‘HIGH_PRIORITY’).all()
session.execute(User.__table__.insert().prefix_with(‘IGNORE’), {‘id’: 1, ‘name’: ‘1’})

如何替换一个已有主键的记录?
使用 session.merge() 方法替代 session.add(),其实就是 SELECT + UPDATE:
user = User(id=1, name=’ooxx’)
session.merge(user)
session.commit()
或者使用 MySQL 的 INSERT … ON DUPLICATE KEY UPDATE,需要用到 @compiles 装饰器,有点难懂,自己看吧:《SQLAlchemy ON DUPLICATE KEY UPDATE》 和 sqlalchemy_mysql_ext。

如何使用无符号整数?
可以使用 MySQL 的方言:
from sqlalchemy.dialects.mysql import INTEGER

id = Column(INTEGER(unsigned=True), primary_key=True)

模型的属性名需要和表的字段名不一样怎么办?
开发时遇到过一个奇怪的需求,有个其他系统的表里包含了一个“from”字段,这在 Python 里是关键字,于是只能这样处理了:
from_ = Column(‘from’, CHAR(10))

如何获取字段的长度?
Column 会生成一个很复杂的对象,想获取长度比较麻烦,这里以 User.name 为例:
User.name.property.columns[0].type.length

如何指定使用 InnoDB,以及使用 UTF-8 编码?
最简单的方式就是修改数据库的默认配置。如果非要在代码里指定的话,可以这样:
class User(BaseModel):
__table_args__ = {
‘mysql_engine’: ‘InnoDB’,
‘mysql_charset’: ‘utf8’
}
MySQL 5.5 开始支持存储 4 字节的 UTF-8 编码的字符了,iOS 里自带的 emoji(如 ? 字符)就属于这种。
如果是对表来设置的话,可以把上面代码中的 utf8 改成 utf8mb4,DB_CONNECT_STRING 里的 charset 也这样更改。
如果对库或字段来设置,则还是自己写 SQL 语句比较方便,具体细节可参考《How to support full Unicode in MySQL databases》。
不建议全用 utf8mb4 代替 utf8,因为前者更慢,索引会占用更多空间。

如何设置外键约束?
from random import randint
from sqlalchemy import ForeignKey

class User(BaseModel):
__tablename__ = ‘user’

id = Column(Integer, primary_key=True)
age = Column(Integer)

class Friendship(BaseModel):
__tablename__ = ‘friendship’

id = Column(Integer, primary_key=True)
user_id1 = Column(Integer, ForeignKey(‘user.id’))
user_id2 = Column(Integer, ForeignKey(‘user.id’))

for i in xrange(100):
session.add(User(age=randint(1, 100)))
session.flush() # 或 session.commit(),执行完后,user 对象的 id 属性才可以访问(因为 id 是自增的)

for i in xrange(100):
session.add(Friendship(user_id1=randint(1, 100), user_id2=randint(1, 100)))
session.commit()

session.query(User).filter(User.age < 50).delete() 执行这段代码时,你应该会遇到一个错误: sqlalchemy.exc.IntegrityError: (IntegrityError) (1451, 'Cannot delete or update a parent row: a foreign key constraint fails (`ooxx`.`friendship`, CONSTRAINT `friendship_ibfk_1` FOREIGN KEY (`user_id1`) REFERENCES `user` (`id`))') 'DELETE FROM user WHERE user.age < %s' (50,) 原因是删除 user 表的数据,可能会导致 friendship 的外键不指向一个真实存在的记录。在默认情况下,MySQL 会拒绝这种操作,也就是 RESTRICT。InnoDB 还允许指定 ON DELETE 为 CASCADE 和 SET NULL,前者会删除 friendship 中无效的记录,后者会将这些记录的外键设为 NULL。 除了删除,还有可能更改主键,这也会导致 friendship 的外键失效。于是相应的就有 ON UPDATE 了。其中 CASCADE 变成了更新相应的外键,而不是删除。 而在 SQLAlchemy 中是这样处理的: class Friendship(BaseModel): __tablename__ = 'friendship' id = Column(Integer, primary_key=True) user_id1 = Column(Integer, ForeignKey('user.id', ondelete='CASCADE', onupdate='CASCADE')) user_id2 = Column(Integer, ForeignKey('user.id', ondelete='CASCADE', onupdate='CASCADE')) 如何连接表? from sqlalchemy import distinct from sqlalchemy.orm import aliased Friend = aliased(User, name='Friend') print session.query(User.id).join(Friendship, User.id == Friendship.user_id1).all() # 所有有朋友的用户 print session.query(distinct(User.id)).join(Friendship, User.id == Friendship.user_id1).all() # 所有有朋友的用户(去掉重复的) print session.query(User.id).join(Friendship, User.id == Friendship.user_id1).distinct().all() # 同上 print session.query(Friendship.user_id2).join(User, User.id == Friendship.user_id1).order_by(Friendship.user_id2).distinct().all() # 所有被别人当成朋友的用户 print session.query(Friendship.user_id2).select_from(User).join(Friendship, User.id == Friendship.user_id1).order_by(Friendship.user_id2).distinct().all() # 同上,join 的方向相反,但因为不是 STRAIGHT_JOIN,所以 MySQL 可以自己选择顺序 print session.query(User.id, Friendship.user_id2).join(Friendship, User.id == Friendship.user_id1).all() # 用户及其朋友 print session.query(User.id, Friendship.user_id2).join(Friendship, User.id == Friendship.user_id1).filter(User.id < 10).all() # id 小于 10 的用户及其朋友 print session.query(User.id, Friend.id).join(Friendship, User.id == Friendship.user_id1).join(Friend, Friend.id == Friendship.user_id2).all() # 两次 join,由于使用到相同的表,因此需要别名 print session.query(User.id, Friendship.user_id2).outerjoin(Friendship, User.id == Friendship.user_id1).all() # 用户及其朋友(无朋友则为 None,使用左连接) 这里我没提到 relationship,虽然它看上去很方便,但需要学习的内容实在太多,还要考虑很多性能上的问题,所以干脆自己 join 吧。 为什么无法删除 in 操作查询出来的记录? session.query(User).filter(User.id.in_((1, 2, 3))).delete() 抛出这样的异常: sqlalchemy.exc.InvalidRequestError: Could not evaluate current criteria in Python. Specify 'fetch' or False for the synchronize_session parameter. 但这样是没问题的: session.query(User).filter(or_(User.id == 1, User.id == 2, User.id == 3)).delete() 搜了下找到《Sqlalchemy delete subquery》这个问题,提到了 delete 的一个注意点:删除记录时,默认会尝试删除 session 中符合条件的对象,而 in 操作估计还不支持,于是就出错了。解决办法就是删除时不进行同步,然后再让 session 里的所有实体都过期: session.query(User).filter(User.id.in_((1, 2, 3))).delete(synchronize_session=False) session.commit() # or session.expire_all() 此外,update 操作也有同样的参数,如果后面立刻提交了,那么加上 synchronize_session=False 参数会更快。 如何扩充模型的基类? declarative_base() 会生成一个 class 对象,这个对象的子类一般都和一张表对应。如果想增加这个基类的方法或属性,让子类都能使用,可以有三种方法: 定义一个新类,将它的方法设置为基类的方法: class ModelMixin(object): @classmethod def get_by_id(cls, session, id, columns=None, lock_mode=None): if hasattr(cls, 'id'): scalar = False if columns: if isinstance(columns, (tuple, list)): query = session.query(*columns) else: scalar = True query = session.query(columns) else: query = session.query(cls) if lock_mode: query = query.with_lockmode(lock_mode) query = query.filter(cls.id == id) if scalar: return query.scalar() return query.first() return None BaseModel.get_by_id = get_by_id @classmethod def get_all(cls, session, columns=None, offset=None, limit=None, order_by=None, lock_mode=None): if columns: if isinstance(columns, (tuple, list)): query = session.query(*columns) else: query = session.query(columns) if isinstance(columns, str): query = query.select_from(cls) else: query = session.query(cls) if order_by is not None: if isinstance(order_by, (tuple, list)): query = query.order_by(*order_by) else: query = query.order_by(order_by) if offset: query = query.offset(offset) if limit: query = query.limit(limit) if lock_mode: query = query.with_lockmode(lock_mode) return query.all() BaseModel.get_all = get_all @classmethod def count_all(cls, session, lock_mode=None): query = session.query(func.count('*')).select_from(cls) if lock_mode: query = query.with_lockmode(lock_mode) return query.scalar() BaseModel.count_all = count_all @classmethod def exist(cls, session, id, lock_mode=None): if hasattr(cls, 'id'): query = session.query(func.count('*')).select_from(cls).filter(cls.id == id) if lock_mode: query = query.with_lockmode(lock_mode) return query.scalar() > 0
return False
BaseModel.exist = exist

@classmethod
def set_attr(cls, session, id, attr, value):
if hasattr(cls, ‘id’):
session.query(cls).filter(cls.id == id).update({
attr: value
})
session.commit()
BaseModel.set_attr = set_attr

@classmethod
def set_attrs(cls, session, id, attrs):
if hasattr(cls, ‘id’):
session.query(cls).filter(cls.id == id).update(attrs)
session.commit()
BaseModel.set_attrs = set_attrs
虽然很拙劣,但确实能用。顺便还附送了一些有用的玩意,你懂的。
设置 declarative_base() 的 cls 参数:
BaseModel = declarative_base(cls=ModelMixin)
这种方法不需要执行“BaseModel.get_by_id = get_by_id”之类的代码。不足之处就是 PyCharm 仍然无法找到这些方法的位置。
设置 __abstract__ 属性:
class BaseModel(BaseModel):
__abstract__ = True
__table_args__ = { # 可以省掉子类的 __table_args__ 了
‘mysql_engine’: ‘InnoDB’,
‘mysql_charset’: ‘utf8’
}
# …
这种方法最简单,也可以继承出多个类。

如何正确使用事务?
假设有一个简单的银行系统,一共两名用户:
class User(BaseModel):
__tablename__ = ‘user’

id = Column(Integer, primary_key=True)
money = Column(DECIMAL(10, 2))

class TanseferLog(BaseModel):
__tablename__ = ‘tansefer_log’

id = Column(Integer, primary_key=True)
from_user = Column(Integer, ForeignKey(‘user.id’, ondelete=’CASCADE’, onupdate=’CASCADE’))
to_user = Column(Integer, ForeignKey(‘user.id’, ondelete=’CASCADE’, onupdate=’CASCADE’))
amount = Column(DECIMAL(10, 2))

user = User(money=100)
session.add(user)
user = User(money=0)
session.add(user)
session.commit()
然后开两个 session,同时进行两次转账操作:
session1 = DB_Session()
session2 = DB_Session()

user1 = session1.query(User).get(1)
user2 = session1.query(User).get(2)
if user1.money >= 100:
user1.money -= 100
user2.money += 100
session1.add(TanseferLog(from_user=1, to_user=2, amount=100))

user1 = session2.query(User).get(1)
user2 = session2.query(User).get(2)
if user1.money >= 100:
user1.money -= 100
user2.money += 100
session2.add(TanseferLog(from_user=1, to_user=2, amount=100))

session1.commit()
session2.commit()
现在看看结果:
>>> user1.money
Decimal(‘0.00’)
>>> user2.money
Decimal(‘100.00’)
>>> session.query(TanseferLog).count()
2L
两次转账都成功了,但是只转走了一笔钱,这明显不科学。

可见 MySQL InnoDB 虽然支持事务,但并不是那么简单的,还需要手动加锁。
首先来试试读锁:
user1 = session1.query(User).with_lockmode(‘read’).get(1)
user2 = session1.query(User).with_lockmode(‘read’).get(2)
if user1.money >= 100:
user1.money -= 100
user2.money += 100
session1.add(TanseferLog(from_user=1, to_user=2, amount=100))

user1 = session2.query(User).with_lockmode(‘read’).get(1)
user2 = session2.query(User).with_lockmode(‘read’).get(2)
if user1.money >= 100:
user1.money -= 100
user2.money += 100
session2.add(TanseferLog(from_user=1, to_user=2, amount=100))
session1.commit()
session2.commit()
现在在执行 session1.commit() 的时候,因为 user1 和 user2 都被 session2 加了读锁,所以会等待锁被释放。超时以后,session1.commit() 会抛出个超时的异常,如果捕捉了的话,或者 session2 在另一个进程,那么 session2.commit() 还是能正常提交的。这种情况下,有一个事务是肯定会提交失败的,所以那些更改等于白做了。

接下来看看写锁,把上段代码中的 ‘read’ 改成 ‘update’ 即可。这次在执行 select 的时候就会被阻塞了:
user1 = session2.query(User).with_lockmode(‘update’).get(1)
这样只要在超时期间内,session1 完成了提交或回滚,那么 session2 就能正常判断 user1.money >= 100 是否成立了。
由此可见,如果需要更改数据,最好加写锁。

那么什么时候用读锁呢?如果要保证事务运行期间内,被读取的数据不被修改,自己也不去修改,加读锁即可。
举例来说,假设我查询一个用户的开支记录(同时包含余额和转账记录),可以直接把 user 和 tansefer_log 做个内连接。
但如果用户的转账记录特别多,我在查询前想先验证用户的密码(假设在 user 表中),确认相符后才查询转账记录。而这两次查询的期间内,用户可能收到了一笔转账,导致他的 money 字段被修改了,但我在展示给用户时,用户的余额仍然没变,这就不正常了。
而如果我在读取 user 时加了读锁,用户是无法收到转账的(因为无法被另一个事务加写锁来修改 money 字段),这就保证了不会查出额外的 tansefer_log 记录。等我查询完两张表,释放了读锁后,转账就可以继续进行了,不过我显示的数据在当时的确是正确和一致的。

另外要注意的是,如果被查询的字段没有加索引的话,就会变成锁整张表了:
session1.query(User).filter(User.id > 50).with_lockmode(‘update’).all()
session2.query(User).filter(User.id < 40).with_lockmode('update').all() # 不会被锁,因为 id 是主键 session1.rollback() session2.rollback() session1.query(User).filter(User.money == 50).with_lockmode('update').all() session2.query(User).filter(User.money == 40).with_lockmode('update').all() # 会等待解锁,因为 money 上没有索引 要避免的话,可以这样: money = Column(DECIMAL(10, 2), index=True) 另一个注意点是子事务。 InnoDB 支持子事务(savepoint 语句),可以简化一些逻辑。 例如有的方法是用于改写数据库的,它执行时可能提交了事务,但在后续的流程中却执行失败了,却没法回滚那个方法中已经提交的事务。这时就可以把那个方法当成子事务来运行了: def step1(): # ... if success: session.commit() return True session.rollback() return False def step2(): # ... if success: session.commit() return True session.rollback() return False session.begin_nested() if step1(): session.begin_nested() if step2(): session.commit() else: session.rollback() else: session.rollback() 此外,rollback 一个子事务,可以释放这个子事务中获得的锁,提高并发性和降低死锁概率。 如何对一个字段进行自增操作? 最简单的办法就是获取时加上写锁: user = session.query(User).with_lockmode('update').get(1) user.age += 1 session.commit() 如果不想多一次读的话,这样写也是可以的: session.query(User).filter(User.id == 1).update({ User.age: User.age + 1 }) session.commit() # 其实字段之间也可以做运算: session.query(User).filter(User.id == 1).update({ User.age: User.age + User.id })

Python自带的json序列化工具不能序列化datetime类型数据问题

定义一个新类:
然后简单扩展了一个JSONEncoder出来用来格式化时间

from datetime import datetime,date
class CJsonEncoder(json.JSONEncoder):
def default(self, obj):
if isinstance(obj, datetime):
return obj.strftime(‘%Y-%m-%d %H:%M:%S’)
elif isinstance(obj, date):
return obj.strftime(‘%Y-%m-%d’)
else:
return json.JSONEncoder.default(self, obj)

使用时候只要在json.dumps增加一个cls参数即可:

json.dumps(datalist, cls=CJsonEncoder)

Tornado异步请求非阻塞

直接转的,后面会维护修改,暂时使用最后一个例子

前言

也许有同学很迷惑:tornado不是标榜异步非阻塞解决10K问题的嘛?但是我却发现不是torando不好,而是你用错了.比如最近发现一个事情:某网站打开页面很慢,服务器cpu/内存都正常.网络状态也良好. 后来发现,打开页面会有很多请求后端数据库的访问,有一个mongodb的数据库业务api的rest服务.但是它的tornado却用错了,一步步的来研究问题:

说明

以下的例子都有2个url,一个是耗时的请求,一个是可以或者说需要立刻返回的请求,我想就算一个对技术不熟,从道理上来说的用户, 他希望的是他访问的请求不会影响也不会被其他人的请求影响

#!/bin/env python

import tornado.httpserver

import tornado.ioloop

import tornado.options

import tornado.web

import tornado.httpclient

import time

from tornado.options import define, options

define(“port”, default=8000, help=”run on the given port”, type=int)

class SleepHandler(tornado.web.RequestHandler):

def get(self):

time.sleep(5)

self.write(“when i sleep 5s”)

class JustNowHandler(tornado.web.RequestHandler):

def get(self):

self.write(“i hope just now see you”)

if __name__ == “__main__”:

tornado.options.parse_command_line()

app = tornado.web.Application(handlers=[

(r”/sleep”, SleepHandler), (r”/justnow”, JustNowHandler)])

http_server = tornado.httpserver.HTTPServer(app)

http_server.listen(options.port)

tornado.ioloop.IOLoop.instance().start()

假如你使用页面请求或者使用哪个httpie,curl等工具先访问http://localhost:8000/sleep,再访问http://localhost:8000/justnow.你会发现本来可以立刻返回的/jsutnow的请求会一直阻塞到/sleep请求完才返回.

这是为啥?为啥我的请求被/sleep请求阻塞了?如果平时我们的web请求足够快我们可能不会意识到这个问题,但是事实上经常会有一些耗时的进程,意味着应用程序被有效的锁定直至处理结束.

这是时候你有没有想起@tornado.web.asynchronous这个装饰器?但是使用这个装饰器有个前提就是你要耗时的执行需要执行异步,比如上面的time.sleep,你只是加装饰器是没有作用的,而且需要注意的是 Tornado默认在函数处理返回时关闭客户端的连接,但是当你使用@tornado.web.asynchonous装饰器时,Tornado永远不会自己关闭连接,需要显式的self.finish()关闭

我们大部分的函数都是阻塞的, 比如上面的time.sleep其实tornado有个异步的实现:

#!/bin/env python

import tornado.httpserver

import tornado.ioloop

import tornado.options

import tornado.web

import tornado.gen

import tornado.httpclient

import tornado.concurrent

import tornado.ioloop

import time

from tornado.options import define, options

define(“port”, default=8000, help=”run on the given port”, type=int)

class SleepHandler(tornado.web.RequestHandler):

@tornado.web.asynchronous

@tornado.gen.coroutine

def get(self):

yield tornado.gen.Task(tornado.ioloop.IOLoop.instance().add_timeout, time.time() + 5)

self.write(“when i sleep 5s”)

class JustNowHandler(tornado.web.RequestHandler):

def get(self):

self.write(“i hope just now see you”)

if __name__ == “__main__”:

tornado.options.parse_command_line()

app = tornado.web.Application(handlers=[

(r”/sleep”, SleepHandler), (r”/justnow”, JustNowHandler)])

http_server = tornado.httpserver.HTTPServer(app)

http_server.listen(options.port)

tornado.ioloop.IOLoop.instance().start()

这里有个新的tornado.gen.coroutine装饰器, coroutine是3.0之后新增的装饰器.以前的办法是用回调,还是看我这个例子:

class SleepHandler(tornado.web.RequestHandler):

@tornado.web.asynchronous

def get(self):

tornado.ioloop.IOLoop.instance().add_timeout(time.time() + 5, callback=self.on_response)

def on_response(self):

self.write(“when i sleep 5s”)

self.finish()

使用了callback, 但是新的装饰器让我们通过yield实现同样的效果:你在打开/sleep之后再点击/justnow, justnow的请求都是立刻返回不受影响.但是用了asynchronous的装饰器你的耗时的函数也需要执行异步

刚才说的都是没有意义的例子,下面写个有点用的:读取mongodb数据库数据,然后再前端按行write出来

#!/bin/env python

import tornado.httpserver

import tornado.ioloop

import tornado.options

import tornado.web

import tornado.gen

import tornado.httpclient

import tornado.concurrent

import tornado.ioloop

import time

# 一个mongodb出品的支持异步的数据库的python驱动

import motor

from tornado.options import define, options

define(“port”, default=8000, help=”run on the given port”, type=int)

# db其实就是test数据库的游标

db = motor.MotorClient().open_sync().test

class SleepHandler(BaseHandler):

@tornado.web.asynchronous

@tornado.gen.coroutine

def get(self):

# 这一行执行还是阻塞需要时间的,我的tt集合有一些数据并且没有索引

cursor = db.tt.find().sort([(‘a’, -1)])

# 这部分会异步非阻塞的执行二不影响其他页面请求

while (yield cursor.fetch_next):

message = cursor.next_object()

self.write(‘<li>%s</li>’ % message[‘a’])

self.write(‘</ul>’)

self.finish()

def _on_response(self, message, error):

if error:

raise tornado.web.HTTPError(500, error)

elif message:

for i in message:

self.write(‘<li>%s</li>’ % i[‘a’])

else:

self.write(‘</ul>’)

self.finish()

class JustNowHandler(BaseHandler):

def get(self):

self.write(“i hope just now see you”)

if __name__ == “__main__”:

tornado.options.parse_command_line()

app = tornado.web.Application(handlers=[

(r”/sleep”, SleepHandler), (r”/justnow”, JustNowHandler)])

http_server = tornado.httpserver.HTTPServer(app)

http_server.listen(options.port)

tornado.ioloop.IOLoop.instance().start()

一个同事提示为什么这个耗时的东西不能异步的丢给某工具去执行而不阻塞我的请求呢?好吧,我也想到了:celery,正好github有这个东西:tornado-celery

执行下面的程序首先你要安装rabbitmq和celery:

#!/bin/env python

import tornado.httpserver

import tornado.ioloop

import tornado.options

import tornado.web

import tornado.gen

import tornado.httpclient

import tcelery, tasks

import time

from tornado.options import define, options

define(“port”, default=8000, help=”run on the given port”, type=int)

tcelery.setup_nonblocking_producer()

class SleepHandler(tornado.web.RequestHandler):

@tornado.web.asynchronous

@tornado.gen.coroutine

def get(self):

# tornado.gen.Task的参数是:要执行的函数, 参数

yield tornado.gen.Task(tasks.sleep.apply_async, args=[5])

self.write(“when i sleep 5s”)

self.finish()

class JustNowHandler(tornado.web.RequestHandler):

def get(self):

self.write(“i hope just now see you”)

if __name__ == “__main__”:

tornado.options.parse_command_line()

app = tornado.web.Application(handlers=[

(r”/sleep”, SleepHandler), (r”/justnow”, JustNowHandler)])

http_server = tornado.httpserver.HTTPServer(app)

http_server.listen(options.port)

tornado.ioloop.IOLoop.instance().start()

task是celery的任务定义的文件,包含我们说的time.sleep的函数

import time

from celery import Celery

celery = Celery(“tasks”, broker=”amqp://guest:guest@localhost:5672″)

celery.conf.CELERY_RESULT_BACKEND = “amqp”

@celery.task

def sleep(seconds):

time.sleep(float(seconds))

return seconds

if __name__ == “__main__”:

celery.start()

然后启动celelry worker(要不然你的任务怎么执行呢?肯定需要一个消费者取走):

celery -A tasks worker –loglevel=info

但是这里的问题也可能很严重:我们的异步非阻塞依赖于celery,还是这个队列的长度,假如任务很多那么就需要等待,效率很低.有没有一种办法把我的同步阻塞函数变为异步(或者说被tornado的装饰器理解和识别)呢?

#!/bin/env python

import tornado.httpserver

import tornado.ioloop

import tornado.options

import tornado.web

import tornado.httpclient

import tornado.gen

from tornado.concurrent import run_on_executor

# 这个并发库在python3自带在python2需要安装sudo pip install futures

from concurrent.futures import ThreadPoolExecutor

import time

from tornado.options import define, options

define(“port”, default=8000, help=”run on the given port”, type=int)

class SleepHandler(tornado.web.RequestHandler):

executor = ThreadPoolExecutor(2)

#executor 是局部变量  不是全局的

@tornado.web.asynchronous

@tornado.gen.coroutine

def get(self):

# 假如你执行的异步会返回值被继续调用可以这样(只是为了演示),否则直接yield就行

res = yield self.sleep()

self.write(“when i sleep %s s” % res)

self.finish()

@run_on_executor

def sleep(self):

time.sleep(5)

return 5

class JustNowHandler(tornado.web.RequestHandler):

def get(self):

self.write(“i hope just now see you”)

if __name__ == “__main__”:

tornado.options.parse_command_line()

app = tornado.web.Application(handlers=[

(r”/sleep”, SleepHandler), (r”/justnow”, JustNowHandler)])

http_server = tornado.httpserver.HTTPServer(app)

http_server.listen(options.port)

tornado.ioloop.IOLoop.instance().start()