首先想說的是它的安全性，這方面確實能讓我感受到它的良苦用心。這主要可以分為兩點：

一、防范跨站偽造請求（Cross-site request forgery，簡稱 CSRF 或 XSRF）

CSRF 的意思簡單來說就是，攻擊者偽造真實用戶來發送請求。

舉例來說，假設某個銀行網站有這樣的 URL：
http://bank.example.com/withdraw?amount=1000000&for=Eve
當這個銀行網站的用戶訪問該 URL 時，就會給 Eve 這名用戶一百萬元。用戶當然不會輕易地點擊這個 URL，但是攻擊者可以在其他網站上嵌入一張偽造的圖片，將圖片地址設為該 URL：
<img src="http://bank.example.com/withdraw?amount=1000000&for=Eve">
那么當用戶訪問那個惡意網站時，瀏覽器就會對該 URL 發起一個 GET 請求，于是在用戶毫不知情的情況下，一百萬就被轉走了。

要防范上述攻擊很簡單，不允許通過 GET 請求來執行更改操作（例如轉賬）即可。不過其他類型的請求照樣也不安全，假如攻擊者構造這樣一個表單：

不明真相的用戶點了下“轉發”按鈕，結果錢就被轉走了…

要杜絕這種情況，就需要在非 GET 請求時添加一個攻擊者無法偽造的字段，處理請求時驗證這個字段是否修改過。
Tornado 的處理方法很簡單，在請求中增加了一個隨機生成的 _xsrf 字段，并且 cookie 中也增加這個字段，在接收請求時，比較這 2 個字段的值。
由于非本站的網頁是不能獲取或修改 cookie 的，這就保證了 _xsrf 無法被第三方網站偽造（HTTP 嗅探例外）。
當然，用戶自己是可以隨意獲取和修改 cookie 的，不過這已經不屬于 CSRF 的范疇了：用戶自己偽造自己所做的事情，當然由他自己來承擔。

要使用該功能的話，需要在生成 tornado.web.Application 對象時，加上 xsrf_cookies=True 參數，這會給用戶生成一個名為 _xsrf 的 cookie 字段。
此外還需要你在非 GET 請求的表單里加上 xsrf_form_html()，如果不用 Tornado 的模板的話，在 tornado.web.RequestHandler 內部可以用 self.xsrf_form_html() 來生成。

對于 AJAX 請求來說，基本上是不需要擔心跨站的，所以 Tornado 1.1.1 以前的版本并不對帶有 X-Requested-With: XMLHTTPRequest 的請求做驗證。
后來 Google 的工程師指出，惡意的瀏覽器插件可以偽造跨域 AJAX 請求，所以也應該進行驗證。對此我不置可否，因為瀏覽器插件的權限可以非常大，偽造 cookie 或是直接提交表單都行。
不過解決辦法仍然要說，其實只要從 cookie 中獲取 _xsrf 字段，然后在 AJAX 請求時加上這個參數，或者放在 X-Xsrftoken 或 X-Csrftoken 請求頭里即可。嫌麻煩的話，可以用 jQuery 的 $.ajaxSetup() 來處理：

此外再順便談談跨站腳本（Cross-site scripting，簡稱 XSS）。和 CSRF 相反的是，XSS 是利用被攻擊網站自身的漏洞，在該網站上注入攻擊者想執行的腳本代碼，讓瀏覽該網站的用戶執行。
不過只要不讓用戶隨意輸入 HTML（例如對 < 和 > 進行轉義），對 HTML 元素的屬性做驗證（例如屬性里的引號要轉義，src 和 事件處理等屬性不能隨意填寫 JavaScript 代碼等），并檢查 CSS（含 style 屬性）中的 expression 即可避免。

二、防止偽造 cookie。

前面提到的 CSRF 和 XSS 都是攻擊者在用戶不知情的情況下，冒用他的名義來進行操作；而偽造 cookie 則是攻擊者自己主動偽造其他用戶來進行操作。
舉例來說，假設網站的登錄驗證就是檢查 cookie 中的用戶名，只要符合的話，就認為該用戶已登錄。那么攻擊者只要在 cookie 中設置 username=admin 之類的值，就可以冒充管理員來操作了。

要防止 cookie 被偽造，首先需要提到設置 cookie 時的兩個參數：secure 和 httponly。這兩個參數并不在 tornado.web.RequestHandler.set_cookie() 的參數列表里，而是作為關鍵字參數傳遞，并在 Cookie.Morsel._reserved 中定義的。
前者是指這個 cookie 只能通過安全連接傳遞（即 HTTPS），這就使得嗅探者無法截獲該 cookie；后者則要求其只能在 HTTP 協議下訪問（即無法通過 JavaScript 來獲取 document.cookie 中的該字段，并且設置后也不會通過 HTTP 協議向服務器發送），這便使得攻擊者無法簡單地通過 JavaScript 腳本來偽造 cookie。

不過對于惡意的攻擊者，這兩個參數并不能杜絕 cookie 被偽造。為此就需要對 cookie 做個簽名，一旦被修改，服務器端可以判斷出來。
Tornado 中提供了 set_secure_cookie() 這個方法來對 cookie 做簽名。簽名時需要提供一串秘鑰（生成 tornado.web.Application 對象時的 cookie_secret 參數），這個秘鑰可以通過如下代碼來生成：
base64.b64encode(uuid.uuid4().bytes + uuid.uuid4().bytes)
這個參數可以隨機生成，但如果同時有多個 Tornado 進程來服務的話，或者有時會重啟的話，還是共用一個常量比較好，并且注意不要泄露。

這個簽名用的是 HMAC 算法，hash 算法采用的是 SHA1。簡單來說就是把 cookie 名、值和時間戳的 hash 作為簽名，再把“值|時間戳|簽名”作為新的值。這樣服務器端只要拿秘鑰再次加密，比較簽名是否有變化過即可判斷真偽。
值得一提的是讀源碼時還發現這樣一個函數：
def _time_independent_equals(a, b):
    if len(a) != len(b):
        return False
    result = 0
    if type(a[0]) is int:  # python3 byte strings
        for x, y in zip(a, b):
            result |= x ^ y
    else:  # python2
        for x, y in zip(a, b):
            result |= ord(x) ^ ord(y)
    return result == 0
讀了半天也沒發現和普通的字符串比較有什么優點，直到看了 StackOverflow 上的答案才知道：為了避免攻擊者通過測試比較時間來判斷正確的位數，這個函數讓比較的時間比較恒定，也就杜絕了這種情況。（話說這答案看得我各種佩服啊，搞安全的專家果然不是我那么膚淺的…）

三、接著是繼承 tornado.web.RequestHandler。

在執行流程上，tornado.web.Application 會根據 URL 尋找一個匹配的 RequestHandler 類，并初始化它。它的 __init__() 方法會調用 initialize() 方法，所以只要覆蓋后者即可，并且不需要調用父類的 initialize()。
接著根據不同的 HTTP 方法尋找該 handler 的 get/post() 等方法，并在執行前運行 prepare()。這些方法都不會主動調用父類的，因此有需要時，自行調用吧。
最后會調用 handler 的 finish() 方法，這個方法最好別覆蓋。它會調用 on_finish() 方法，它可以被覆蓋，用于處理一些善后的事情（例如關閉數據庫連接），但不能再向瀏覽器發送數據了（因為 HTTP 響應已發送，連接也可能已被關閉）。

順便說下怎么處理錯誤頁面。
簡單來說，執行 RequestHandler 的 _execute() 方法（內部依次執行 prepare()、get() 和 finish() 等方法）時，任何未捕捉的錯誤都會被它的 write_error() 方法捕捉，因此覆蓋這個方法即可：

四、接著說說處理登錄。

Tornado 提供了 @tornado.web.authenticated 這個裝飾器，在 handler 的 get() 等方法前加上即可。
它會依賴三處代碼：
需要定義 handler 的 get_current_user() 方法，例如：

五、然后說下獲取用戶的 IP 地址。

簡單來說，在 handler 的方法里用 self.request.remote_ip 就能拿到了。
不過如果使用了反向代理，拿到的就是代理的 IP 了，這時候就需要在創建 HTTPServer 時增加 xheaders 的設置了：

六、最后再提下生產環境下如何提高性能。

Tornado 可以在 HTTPServer 調用 add_sockets() 前創建多個子進程，利用多 CPU 的優勢來處理并發請求。

簡單來說，代碼如下：