Pythonで始めるWebアプリケーション開発

Pythonで始めるWebアプリケーション開発

• 1.
  Web Application Tutorial Pythonで始めるWebアプリケーション開発
• 2.
  Agenda ● Webアプリケーションとは ○ Webアプリケーションのメリット・デメリット ○多様化する機能と開発手法 ● Webアプリケーションの基本的な構成 ○ MVCの罠 ○ MVCの再考 ● セキュリティ ● PythonでのWebアプリケーション開発 ○ 開発演習
• 3.
  Webアプリケーションとは
• 4.
  Server Webアプリケーションとは Webアプリケーションは、ネットワーク(インターネット)経由で利用するアプリケーションです。 ● HTTPという通信方式を使って、クライアント(ブラウザ)とサーバー間でデータのやり取り を行います ● クライアント側の画面はHTMLという記述方式で実装します ●サーバー側は、いろいろなプログラミング言語で実装することができます User Side Application Side HTTPリクエスト HTTPレスポンス Client
• 5.
  Webアプリケーションのメリット・デメリット ● ブラウザがあれば使える ○ OS等に依存しない(クロスプラットフォーム) ○インストール作業が不要 ○ インターネットに接続可能な全ユーザーに公開が可能 ● 情報の更新が容易 ○ プログラムの更新を容易に反映できる ○ コンテンツの更新も容易に可能 ● ネットワークにつながっていないと無力 ○ (HTML5のapplication cacheで部分的には対応可能) ● ブラウザごとに異なる仕様への対応 ○ 特にIE8以下(見捨てない場合、1.5倍以上の負担増は覚悟したほうがいい) ● 攻撃されるリスク ○ 誰でもアクセスできるので、攻撃にさらされるリスクも増える
• 6.
  多様化する機能と開発手法 Webアプリケーションの機能や開発手法は、未だ黎明期かと思えるくらい年々色々なものが 登場します。 その意味では、最も進化の激しい分野のうちの一つと言えると思います。 機能 開発手法 とにかく変化のスピードが激し い。
• 7.
  Webアプリケーションの基本的な構成
• 8.
  Webアプリケーションの基本的な構成 Webアプリケーションの構築に当たっては、MVCという構成が良く使われます(この構成は、 Webアプリケーションに限らずモバイルなども含めGUIアプリケーションの開発でよく採用さ れる設計手法です)。 具体的には、アプリケーションの各機能を画面描画(View)、データ処理(Model)、それらの繋 ぎ(Controller)、という3つの役割に分類します。 これで各機能の独立性が高まり、テストなどが行いやすくなります。 View User Side Application Side Controller ModelData store
• 9.
  MVCの罠 そうか！すべての処理はMかVかCのどれかになるんだ！
• 10.
  MVCの罠
• 11.
  MVCの罠 ● データベースにアクセスするための共通処理 ○ Model? ●複数のMを組み合わせるような処理 ○ Model?それともController側で組み合わせる? ● 複数のCで共通して使う処理(ログイン済みか否かの判定など) ○ ベースとなるControllerを作って継承する? MVCはアプリケーションにおけるミニマムな役割を定義したにすぎません。 必要に応じ追加の「役割」を考え、定義する必要があります。
• 12.
  MVCの再考 ※以下は一つの考え方で、必ずしも常に正しいとは限りません。 Model->Entity・Process・Serviceに分ける ● Entity: データベースへのI/Fとなる部分 ○いわゆるCRUD処理を行うための機能と、データの項目定義を提供する ● Process: 処理の中核となる、いわゆるビジネスロジック ○ 複数のEntityを組み合わせた処理の制御などを行う。本来の意味でのModelとい う名前を付けるのもあり。 ● Service: 汎用的な共通処理 ○ データベースアクセスやフォーマット変換など、ビジネスロジックに関与しない汎用 的な共通処理。 ○ (Processも含めてすべてサービスとみなす見方もある)
• 13.
  MVCの再考 ※以下は一つの考え方で、必ずしも常に正しいとは限りません。 Controller: クライアントから、サーバー側の処理を呼び出すためのAPIとして定義 ● 実装をなるべく薄くし、Model等に委譲する ●クライアント側が利用しやすい単位で機能を公開するイメージ ControllerをテストするにはHTTPリクエストを飛ばす必要があるので、面倒＋テスト実行 時にリソースを食う場合がある。 そのため、処理はなるべく後ろ側に委譲し、独立してテストできるようにしておくのがよ い。
• 14.
  セキュリティ
• 15.
  Webアプリケーションにおけるセキュリティ Webアプリケーションは、インターネットに公開されている分攻撃されるリスクも高いです。 そのため、セキュリティは万全を期しておく必要があります。 Server本体(OS etc)の脆弱性 Webサーバーの脆弱性 プロトコルの脆弱性 Webアプリケーションの脆弱性
• 16.
  Webアプリケーションにおけるセキュリティ 脆弱性のあるアプリケーションは、利用してもらっているユーザーを危険にさらすだけでな く、他アプリケーションへの攻撃の土台として使われるなど、多くの被害をもたらします。 一旦被害を出すと社会的な責任の失墜にもつながり、実際の被害以上に大きな影響が発 生することもあります。 セキュアなWebアプリケーションの開発については、IPAがガイドを出しているので、目を通し ておくこと。
• 17.
  Webアプリケーションにおけるセキュリティ 脆弱性は日々発見され、攻撃手法もまた日々進化しています。
• 18.
  PythonでのWebアプリケーション開発
• 19.
  PythonでのWebアプリケーション開発 今回はPythonを利用したWebアプリケーションの開発を行います。 Webアプリケーションを一から開発するのは大変なので、多くの場合開発をサポートするフ レームワークを利用します。 軽量 しっかり その他 他と異なり、Node.jsのよう なNonblockingサーバー
• 20.
  PythonでのWebアプリケーション開発 今回はDjangoを使用します。 ● Python製のフルスタックフレームワークで、これ一つでページの表示、DBアクセスなど の機能が全部入りになっている(そのためあちこちからモジュールを取ってこなくてよい) ● MVCが意識された構成となっており、自然とMVCの構成を学べる ●メジャーなフレームワークであり、経験しておくことが損にならない ● 各種クラウドプラットフォーム(GAE/Heroku etc)へデプロイすることが容易
• 21.
  開発演習 Djangoを利用し、日報管理用のアプリケーションを作成してください。 今までいろんなシステムで日報を書かされて、時にはなんだこのｘｘはと思ったかもしれませ ん。 今度は、自分の手で理想とする日報システムを作成しましょう。 日報管理用のアプリケーションの開発
• 22.
  開発演習 ・ユーザー管理機能(Login/Logout) ・日報一覧の表示(検索機能含む) ・日報の登録・編集・削除 一覧はログインできるユーザー全員が参照 可能。 ただし、登録・編集・削除できるのは自分の 分のみ。 Basic Extra ・コメント機能 ・リッチテキスト/Markdown書式対応 ・カレンダー表示 コメント機能は優先で実装すること。 それ以外は、思いついた追加機能はどんど ん入れてOK。 来年度の新人に使ってもらうかも？ なお、テストコードをきちんと書き、セキュリティに留意すること
• 23.
  Have a goodweb application!
• 24.
  解答例