Python Web开发核心在于理解HTTP请求生命周期、WSGI协议及状态管理机制。HTTP流程涵盖DNS查询、TCP连接、请求分发、路由匹配与响应返回;WSGI是框架与服务器间标准接口;Session、Cookie和Token分别适用于不同场景的状态维持。
ssion、Cookie和Token分别适用于不同场景的状态维持。Python Web 开发的核心不在框架本身,而在理解请求如何流转、状态如何维持、数据如何安全传递——掌握这些,Django 和 Flask 才不会变成“黑盒”。
HTTP 请求生命周期:从浏览器按下回车开始
每次页面访问背后都是一次完整的 HTTP 交互。理解这个过程是调试 404、500、重定向异常的基础。
- 浏览器解析 URL,DNS 查询获取 IP,建立 TCP 连接(通常三次握手)
- 发送 HTTP 请求(含 method、headers、body),服务端接收后交由 Web 服务器(如 Nginx)或 WSGI 服务器(如 Gunicorn)分发
- Python Web 框架根据路由匹配视图函数,执行业务逻辑(查数据库、调外部 API、渲染模板等)
- 返回 HTTP 响应(status code + headers + body),浏览器解析 HTML/CSS/JS 并渲染
WSGI:Python Web 的通用接口协议
WSGI(Web Server Gateway Interface)是 Python Web 应用与服务器之间的约定标准。它让 Flask、Django 等框架能运行在不同服务器上。
- 一个 WSGI 应用是一个可调用对象,接收
environ(字典,含请求信息)和start_response(回调函数,用于设置响应头) - 手动写一个极简 WSGI 应用只需几行代码,有助于理解框架底层如何启动和响应
- Gunicorn 启动时加载的其实是你的 WSGI 入口模块(如
app:application),不是直接运行main.py
状态管理三大关键:Session、Cookie 与 Token
Web 是无状态的,但用户登录、购物车、偏好设置都需要“记住”。不同场景适用不同方案:
-
Cookie:存储在客户端的小段文本,适合存非敏感标识(如 session_id、语言偏好),注意设置
HttpOnly和Secure - Session:服务端存储用户数据(如用户 ID、权限级别),通过 Cookie 中的 session_id 关联,Django 默认存 DB 或 Redis,Flask 需扩展支持
- Token(如 JWT):无状态认证方式,payload 自包含用户信息,服务端只校验签名;适合前后端分离、微服务场景,但需注意过期、刷新与黑名单机制
实战案例:手写一个带登录态的短链服务(精简版)
不依赖 ORM,用内存字典 + 简单 Session 模拟核心流程,重点体现原理而非工程完整度:
- 用户 POST 登录 → 校验账号密码 → 生成随机 session_id → 存入全局
SESSIONS字典 → Set-Cookie 返回 - 访问
/shorten时检查 Cookie 中的 session_id 是否存在于 SESSIONS → 不存在则跳转登录页 - 生成短码(如 base62 编码自增 ID)→ 映射到原始 URL → 302 重定向实现跳转
- 所有逻辑封装在纯函数中,无框架装饰器,便于调试和单元测试
