Python - Flask 프레임워크/ @app.route()

Flask란? 

Flask:  Python 언어로 웹 애플리케이션을 만들 수 있게 도와주는 아주 간단하고 가벼운 웹 프레임워크

 

Flask를 사용하는 이유?

• 간단한 웹사이트를 만들고 싶을 때
• 프로토타입을 빠르게 만들어보고 싶을 때
• 백엔드 기초를 배우고 싶을 때

풀 스택 웹 프레임워크인 Django와는 달리 Flask는 개발자의 능력과 목적에 맞게 만들 수 있다고 한다. but Django는 단순히 임포트해서 편리하게 사용할 수 있는 일부 부가적인 기능을 Flask는 직접 만들어야 하니 번거로움이 있을 수도 있다. 

 

라우팅이란?

최신 웹 애플리케이션은 사용자를 돕기 위해 의미 있는 URL을 사용한다. 사용자는 기억하기 쉽고 직접 방문할 수 있는 의미 있는 URL을 사용하는 페이지를 더 좋아하고 다시 방문할 가능성이 높다.

 

@app.route(): 파이썬 Flask 프레임워크에서 특정 URL(예: /about)과 이를 처리할 파이썬 함수를 연결하는 데코레이터

 

즉, @app.route()는 사용자가 특정 주소(URL)에 접속했을 때 어떤 동작을 할지를 연결함

또한 첫 번째 매개변수는 URL이다!!(중요)

#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for

app = Flask(__name__)

try:
    FLAG = open('./flag.txt', 'r').read()  
except:
    FLAG = '[**FLAG**]'

users = {
    'guest': 'guest',  
    'user': 'user1234', 
    'admin': FLAG   
}


# this is our session storage
session_storage = {             
}


@app.route('/')
def index():
    session_id = request.cookies.get('sessionid', None)   
    try:
        # get username from session_storage
        username = session_storage[session_id]  
    except KeyError:
        return render_template('index.html')

    return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not admin"}')


@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    elif request.method == 'POST':             #POST일 때 username, password를 읽어옴
        username = request.form.get('username')
        password = request.form.get('password')
        try:
            # you cannot know admin's pw
            pw = users[username]
        except:
            return '<script>alert("not found user");history.go(-1);</script>'
        if pw == password:          
            resp = make_response(redirect(url_for('index')) )
            session_id = os.urandom(32).hex()     
            resp.set_cookie('sessionid', session_id)
            return resp
        return '<script>alert("wrong password");history.go(-1);</script>'


@app.route('/admin')
def admin():
    # developer's note: review below commented code and uncomment it (TODO)

    #session_id = request.cookies.get('sessionid', None)
    #username = session_storage[session_id]
    #if username != 'admin':
    #    return render_template('index.html')

    return session_storage


if __name__ == '__main__':
    import os
    # create admin sessionid and save it to our storage
    # and also you cannot reveal admin's sesseionid by brute forcing!!! haha
    session_storage[os.urandom(32).hex()] = 'admin'
    print(session_storage)
    app.run(host='0.0.0.0', port=8000)

 

파이썬 코드에서 보면 총 3개의 @app.route()가 있다. 하나하나씩 분석해보면서 공부해보자

 

@app.route('/')
def index():
    session_id = request.cookies.get('sessionid', None)   
    try:
        # get username from session_storage
        username = session_storage[session_id]  
    except KeyError:
        return render_template('index.html')

    return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not admin"}')

 

(1) @app.route('\') 의 경로에 들어가면(메인경로)

 

과정

-> sessionid를 가져오려고 함

-> 쿠기가 없거나 잘못되면(keyerror) index.htmld을 불러옴

->  sesssionid가 있다면 index.html에다가 메세지가 출력됨

ex. hello _____, flag is ______________   (admin인 경우)

      hello _____, you are not admin. (admin이 아닌 경우) 

 

 

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    elif request.method == 'POST':             
        username = request.form.get('username')
        password = request.form.get('password')
        try:
            # you cannot know admin's pw
            pw = users[username]
        except:
            return '<script>alert("not found user");history.go(-1);</script>'
        if pw == password:         
            resp = make_response(redirect(url_for('index')) )
            session_id = os.urandom(32).hex()  
            session_storage[session_id] = username
            resp.set_cookie('sessionid', session_id)
            return resp
        return '<script>alert("wrong password");history.go(-1);</script>'

 (2) @app.route('/login', method = ['GET', 'POST']) 

첫 번째 매개변수는 url, 두 번째 매개변수는 HTTP의 메시드(defalut = get)

HTTP 메서드 

웹 애플리케이션은 URL에 접근할 때 다양한 HTTP 메서드를 사용한다. 기본적으로 라우트는 특정 요청에만 응답하고, 데코레이터의 GET활용하면 다양한 HTTP 메서드를 처리할 수 있다.

 

과정 

-> get 요청으로 처리를 한다면, login.html 페이지로 가게 됨

-> post 요청이라면, 사용자가 입력한 username과 password를 가져옴

-> users라는 사용자 아이디가 저장되어있는 곳에서 일치한지 확인을 하고

-> 비밀번호 검증을 함

-> 비밀번호가 다르면 ("wrong password") 를 띄우고,

-> 같다면 sessionid를 랜덤 생성하고 쿠키에 저장하기

 

 

 

@app.route('/admin')
def admin():
    # developer's note: review below commented code and uncomment it (TODO)

    #session_id = request.cookies.get('sessionid', None)
    #username = session_storage[session_id]
    #if username != 'admin':
    #    return render_template('index.html')

    return session_storage

(3) @app.route('/admin')   --> admin페이지(url)로 이동

 

과정

-> admin() 함수 실행, 즉 페이지로 이동하면

-> session_storage가 응답된다

-> 이 과정에서 admin뿐만 아니라 다른 아이디의 sessionid가 다 드러나는 이유 중 하나!!(제일 중요한 코드~~))