Как определяется порядок выполнения middleware в Python-фреймворках?

Question

Как определяется порядок выполнения middleware в Python-фреймворках?

Тип вопроса: Django Вероятность: 10% Категория: Python Разработчик

Ответ

Порядок выполнения middleware в Python-фреймворках (таких как Django или FastAPI) определяется последовательностью их объявления или добавления.

Middleware обычно работают по принципу «луковицы» (onion model): запрос проходит через них от внешнего к внутреннему слою, а ответ — в обратном порядке.

Django

В Django middleware обрабатывается в порядке, указанном в списке MIDDLEWARE в settings.py:

При обработке запроса: Middleware вызываются сверху вниз (от первого к последнему в списке).
При обработке ответа: Middleware вызываются снизу вверх (от последнего к первому в списке).

# settings.py
MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',  # 1-й на запросе, последний на ответе
    'django.contrib.sessions.middleware.SessionMiddleware',  # 2-й на запросе, предпоследний на ответе
    'django.middleware.common.CommonMiddleware',
    # ... другие middleware
]

Почему это важно: Порядок критичен для корректной работы. Например, SecurityMiddleware должен быть одним из первых, чтобы применить меры безопасности до того, как запрос достигнет других компонентов. SessionMiddleware должен быть до middleware, которые используют сессии.

FastAPI

В FastAPI middleware вызываются в порядке их добавления к приложению с помощью декоратора @app.middleware("http") или метода app.add_middleware().

from fastapi import FastAPI, Request, Response

app = FastAPI()

@app.middleware("http")
async def add_process_time_header(request: Request, call_next):
    # Это middleware выполнится первым на запросе и последним на ответе
    print("Middleware 1: Начало")
    response = await call_next(request)
    print("Middleware 1: Конец")
    return response

@app.middleware("http")
async def log_requests(request: Request, call_next):
    # Это middleware выполнится вторым на запросе и предпоследним на ответе
    print("Middleware 2: Начало")
    response = await call_next(request)
    print("Middleware 2: Конец")
    return response

@app.get("/items/")
async def read_items():
    return {"message": "Hello from API"}

Почему это важно: Аналогично Django, порядок определяет последовательность модификации запроса перед его обработкой роутом и модификации ответа перед отправкой клиенту. Например, middleware для логирования или аутентификации обычно ставятся раньше.

Ответ 18+ 🔞

А, слушай, вот эта тема с порядком middleware — это вообще отдельная песня, блядь! Представь себе луковицу, сука. Только не ту, что Чиполлино, а нормальную, ебать, репчатую.

Вот приходит запрос, как какой-нибудь наглый курьер, и начинает её чистить. Слой за слоем, снаружи внутрь. А потом, когда ответ готов, он обратно, блядь, собирает эту хуйню, но уже изнутри наружу! Вот и вся магия, ёпта.

Вот смотри, как в Django это устроено, эти пидарасы:

Там в settings.py у тебя список MIDDLEWARE. Это как очередь в столовую, только наоборот. Кто первый в списке — тот первый запрос и встречает, а последним — провожает.

# settings.py
MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',  # Этот, как вышибала, первый. Всё проверяет.
    'django.contrib.sessions.middleware.SessionMiddleware',  # Второй. Сессии раздаёт, как конфеты.
    'django.middleware.common.CommonMiddleware',  # Третий. Общие дела делает.
    # ... остальные, блядь, по списку
]

Запрос идёт сверху вниз: Сначала Security, потом Session, потом Common и так далее. Ответ, сука, ползёт снизу вверх: Сначала последний отработает, потом предпоследний, и так до самого Security, который дверь ему, блядь, придержит на выходе.

А если порядок перепутать? Да хуйня! Представь, ты сначала сессию попытаешься достать, а её ещё не создали, потому что SecurityMiddleware ещё не пропустил. Пиздец и развод, а не авторизация. Поэтому Security — всегда первый, ёбаный в рот!

А теперь FastAPI, там вообще цирк, блядь!

Тут всё просто: кто первый написал @app.middleware или add_middleware, тот, сука, и в домике. Первым на входе, последним на выходе. Как в том анекдоте про "я всех закормлю нахуй".

from fastapi import FastAPI, Request, Response

app = FastAPI()

@app.middleware("http")
async def add_process_time_header(request: Request, call_next):
    # Этот будет ПЕРВЫМ, кто запрос потрогает.
    print("Middleware 1: Начало")
    response = await call_next(request)  # А это, блядь, волшебная палочка — передача эстафеты дальше!
    print("Middleware 1: Конец")  # И ОН ЖЕ будет ПОСЛЕДНИМ, кто ответ потрогает.
    return response

@app.middleware("http")
async def log_requests(request: Request, call_next):
    # Этот будет ВТОРЫМ на входе.
    print("Middleware 2: Начало")
    response = await call_next(request)
    print("Middleware 2: Конец")  # И ПРЕДПОСЛЕДНИМ на выходе.
    return response

@app.get("/items/")
async def read_items():
    return {"message": "Hello from API"}  # А это уже ядро, семечко в нашей луковице!

Запустишь — и увидишь в консоли, блядь, идеальную симметрию:

Middleware 1: Начало
Middleware 2: Начало
... (тут твой роут отработал)
Middleware 2: Конец
Middleware 1: Конец

Красота, ёпта! Луковица и есть.

Так что запомни, чувак: порядок — это всё. Нельзя аутентификацию ставить после логирования, а то будешь логировать анонимных пидорасов, которые уже давно прошли. Или CORS в конец списка сунешь — и браузер тебе, хитрая жопа, откажет нахуй. Расставляй как снайпер, блядь, прицельно!