与 Flask 捆绑的服务器在生产中使用是否安全？-IT科技

与 Flask 捆绑的服务器在生产中使用是否安全？

2025-03-07 09:02:00

admin

原创

摘要：问题描述：Flask 捆绑的服务器是否可以安全地部署在生产环境中？如果不安全，我应该使用什么来在生产中部署 Flask？解决方案 1：否。捆绑服务器是开发服务器。其设计并未考虑生产环境。默认情况下，它不会一次处理多个请求。如果你保持调试模式并且弹出错误，它会打开一个 shell，允许在你的服务器上执行任意代码...

问题描述：

Flask 捆绑的服务器是否可以安全地部署在生产环境中？如果不安全，我应该使用什么来在生产中部署 Flask？

解决方案 1：

否。捆绑服务器是开发服务器。其设计并未考虑生产环境。

默认情况下，它不会一次处理多个请求。
如果你保持调试模式并且弹出错误，它会打开一个 shell，允许在你的服务器上执行任意代码（想想os.system('rm -rf /')）。
开发服务器扩展性不佳。

Flask 使用 Werkzeug 的开发服务器，文档也是这么说的：

开发服务器不适用于生产系统。它是专为开发目的而设计的，在高负载下性能不佳。有关部署设置，请查看应用程序部署页面。

推荐的方法是使用生产 WSGI 服务器来运行 Flask 应用程序。文档中有一整节专门介绍部署：部署选项。

部署你的应用程序很简单，只需安装一个 WSGI 服务器（比如 uWSGI 或 gunicorn）并运行它而不是 Flask 的开发服务器即可：

gunicorn -w 4 -b 127.0.0.1:4000 myproject:app

如果您正在提供任何静态资产（如图像或视频），需要低级缓存或有更高的并发需求，建议使用像nginx这样的网络服务器并让它处理您的所有请求。

以糟糕的 ASCII 格式：

                +----------+
                | Client 2 |
                +----------+
                      |
                      V 
+----------+      +-------+      +----------+
| Client 1 |----->| nginx |<-----| Client 3 |
+----------+      +-------+      +----------+
                      ^
                      |
                      V
           /--------------------\n           | useful nginx stuff |
           | like asset serving |
           | and rate limiting  |
           --------------------/
                      |
                      V
               +-------------+
               | WSGI server |
               +-------------+

要实际运行WSGI 服务器进程，您可以使用Supervisor。如果服务器因某种原因失败，它会自动重新启动服务器，保存日志，并作为守护进程运行，以便您的服务在服务器启动时启动。

解决方案 2：

基本上不行。内置的开发服务器不适合在生产环境中部署。

内置开发服务器就是为此而设。若要在生产中使用，请遵循此处详述的步骤之一。

这些包括实现 WSGI 规范的不同服务器，例如Apache/mod_wsgi或其中一个独立的 wsgi 服务器http://flask.pocoo.org/docs/deploying/wsgi-standalone/

还有uWSGI和FastCGI选项可用

解决方案 3：

Flask 的内置服务器虽然轻量且易于使用，但却不适合生产，因为它的扩展性不佳，并且默认情况下一次只能处理一个请求。http
://flask.pocoo.org/docs/0.12/deploying/

解决方案 4：

不，Flask 捆绑的服务器在生产中使用并不安全。运行它时，你应该看到警告：WARNING: This is a development server. Do not use it in a production deployment. Use a production WSGI server instead.
Flask 的这个警告是为了阻止你在生产中使用开发服务器。事实上，它不是很高效或安全，因为它包含一组用于开发和调试的功能（例如调试器和重新加载器）。你可以在https://flask.palletsprojects.com/en/3.0.x/deploying/#找到可以使用的 WSGI 服务器列表。我们将详细介绍如何使用 Waitress，这是一个非常容易设置且性能良好的解决方案：

首先，您需要在虚拟环境中安装 Waitress：

pip install waitress

然后你需要启动你的应用。这取决于你的应用创建的位置。这通常在靠近根目录的 Python 文件中用如下一行完成：

app = flask.Flask(__name__)

（你需要找到Flask它被调用的地方）

假设此行位于flask_app.py以下位置的文件中：/projects/flask_deployement/src/flask_app.py

使用移动到项目根目录cd /projects/flask_deployement，注意运行 flask 的变量名称是app，我们将使用以下路径将应用程序的位置发送给 Waitress：src.flask_app:app

如果我们随后在服务器上的 5000 端口上运行 Waitress（这是一个示例，您可以使用任何可用端口），我们将运行以下命令：

waitress-serve --host 127.0.0.1 --port 5000 src.flask_app:app

您的应用程序现在正在端口 5000 上运行。如果您在根端点上有一个页面，则可以使用以下命令测试该应用程序是否成功运行：curl http://127.0.0.1:5000/

如果你需要有关在服务器上部署 Flask 应用的整个过程的帮助，我已经编写了一个完整的教程：这里