flask flask-login实现用户登陆认证的详细过程(flask 53)

用户认证的原理
在了解使用Flask来实现用户认证之前,我们首先要明白用户认证的原理。假设现在我们要自己去实现用户认证,需要做哪些事情呢?

首先,用户要能够输入用户名和密码,所以需要网页和表单,用以实现用户输入和提交的过程。
用户提交了用户名和密码,我们就需要比对用户名,密码是否正确,而要想比对,首先我们的系统中就要有存储用户名,密码的地方,大多数后台系统会通过数据库来存储,但是实际上我们也可以简单的存储到文件当中。(为简明起见,本文将用户信息存储到json文件当中)
登录之后,我们需要维持用户登录状态,以便用户在访问特定网页的时候来判断用户是否已经登录,以及是否有权限访问改网页。这就需要有维护一个会话来保存用户的登录状态和用户信息。
从第三步我们也可以看出,如果我们的网页需要权限保护,那么当请求到来的时候,我们就首先要检查用户的信息,比如是否已经登录,是否有权限等,如果检查通过,那么在response的时候就会将相应网页回复给请求的用户,但是如果检查不通过,那么就需要返回错误信息。
在第二步,我们知道要将用户名和密码存储起来,但是如果只是简单的用明文存储用户名和密码,很容易被“有心人”盗取,从而造成用户信息泄露,那么我们实际上应当将用户信息尤其是密码做加密处理之后再存储比较安全。
用户登出

通过Flask以及相应的插件来实现登录过程
接下来讲述如何通过Flask框架以及相应的插件来实现整个登录过程,需要用到的插件如下:

flask-wtf
wtf
werkzeug
flask_login

使用flask-wtf和wtf来实现表单功能
flask-wtf对wtf做了一些封装,不过有些东西还是要直接用wtf,比如StringField等。flask-wtf和wtf主要是用于建立html中的元素和Python中的类的对应关系,通过在Python代码中操作对应的类,对象等从而控制html中的元素。我们需要在python代码中使用flask-wtf和wtf来定义前端页面的表单(实际是定义一个表单类),再将对应的表单对象作为render_template函数的参数,传递给相应的template,之后Jinja模板引擎会将相应的template渲染成html文本,再作为http response返回给用户。
定义表单类示例代码:

forms.py

from flask_wtf import FlaskForm
from wtforms import StringField, BooleanField, PasswordField
from wtforms.validators import DataRequired

定义的表单都需要继承自FlaskForm

class LoginForm(FlaskForm):
# 域初始化时,第一个参数是设置label属性的
username = StringField('User Name', validators=[DataRequired()])
password = PasswordField('Password', validators=[DataRequired()])
remember_me = BooleanField('remember me', default=False)

在wtf当中,每个域代表就是html中的元素,比如StringField代表的是<input type="text">元素,当然wtf的域还定义了一些特定功能,比如validators,可以通过validators来对这个域的数据做检查,详细请参考wtf教程。
对应的html模板可能如下login.html:
{% extends "layout.html" %}
<html>
<head>
<title>Login Page</title>
</head>
<body>
<form action="{{ url_for("login") }}" method="POST">
<p>
User Name:

<input type="text" name="username" />

</p>
<p>
Password:</br>
<input type="password" name="password" />

</p>
<p>
<input type="checkbox" name="remember_me"/>Remember Me
</p>
{{ form.csrf_token }}
</form>
</body>
</html>

这里{{ form.csrf_token }}也可以使用{{ form.hidden_tag() }}来替换
同时我们也可以使用form去定义模板,跟直接用html标签去定义效果是相同的,Jinja模板引擎会将对象、属性转化为对应的html标签,
相对应的template,如下login.html:


{% extends "base.html" %}

{% block content %}
<h1>Sign In</h1>
<form action="{{ url_for("login") }}" method="post" name="login">
{{ form.csrf_token }}
<p>
{{ form.username.label }}

{{ form.username(size=80) }}

</p>
<p>
{{ form.password.label }}


{{ form.password(size=80) }}

</p>
<p>{{ form.remember_me }} Remember Me</p>
<p><input type="submit" value="Sign In"></p>
</form>
{% endblock %}

现在我们需要在view中定义相应的路由,并将相应的登录界面展示给用户。
简单起见,将view的相关路由定义放在主程序当中

app.py

@app.route('/login')
def login():
form = LoginForm()
return render_template('login.html', title="Sign In", form=form)

这里简单起见,当用户请求'/login'路由时,直接返回login.html网页,注意这里的html网页是经过Jinja模板引擎将相应的模板转换后的html网页。
至此,如果我们把以上代码整合到flask当中,就应该能够看到相应的登录界面了,那么当用户提交之后,我们应当怎样存储呢?这里我们暂时先不用数据库这样复杂的工具存储,先简单地存为文件。接下来就看下如何去存储。
加密和存储
我们可以首先定义一个User类,用于处理与用户相关的操作,包括存储和验证等。

models.py

from werkzeug.security import generate_password_hash
from werkzeug.security import check_password_hash
from flask_login import UserMixin
import json
import uuid

define profile.json constant, the file is used to

save user name and password_hash

PROFILE_FILE = "profiles.json"

class User(UserMixin):
def init(self, username):
self.username = username
self.id = self.get_id()

@property
def password(self):
    raise AttributeError('password is not a readable attribute')

@password.setter
def password(self, password):
    """save user name, id and password hash to json file"""
    self.password_hash = generate_password_hash(password)
    with open(PROFILE_FILE, 'w+') as f:
        try:
            profiles = json.load(f)
        except ValueError:
            profiles = {}
        profiles[self.username] = [self.password_hash,
                                   self.id]
        f.write(json.dumps(profiles))

def verify_password(self, password):
    password_hash = self.get_password_hash()
    if password_hash is None:
        return False
    return check_password_hash(self.password_hash, password)

def get_password_hash(self):
    """try to get password hash from file.

    :return password_hash: if the there is corresponding user in
            the file, return password hash.
            None: if there is no corresponding user, return None.
    """
    try:
        with open(PROFILE_FILE) as f:
            user_profiles = json.load(f)
            user_info = user_profiles.get(self.username, None)
            if user_info is not None:
                return user_info[0]
    except IOError:
        return None
    except ValueError:
        return None
    return None

def get_id(self):
    """get user id from profile file, if not exist, it will
    generate a uuid for the user.
    """
    if self.username is not None:
        try:
            with open(PROFILE_FILE) as f:
                user_profiles = json.load(f)
                if self.username in user_profiles:
                    return user_profiles[self.username][1]
        except IOError:
            pass
        except ValueError:
            pass
    return unicode(uuid.uuid4())

@staticmethod
def get(user_id):
    """try to return user_id corresponding User object.
    This method is used by load_user callback function
    """
    if not user_id:
        return None
    try:
        with open(PROFILE_FILE) as f:
            user_profiles = json.load(f)
            for user_name, profile in user_profiles.iteritems():
                if profile[1] == user_id:
                    return User(user_name)
    except:
        return None
    return None

User类需要继承flask-login中的UserMixin类,用于实现相应的用户会话管理。
这里我们是直接存储用户信息到一个json文件"profiles.json"
我们并不直接存储密码,而是存储加密后的hash值,在这里我们使用了werkzeug.security包中的generate_password_hash函数来进行加密,由于此函数默认使用了sha1算法,并添加了长度为8的盐值,所以还是相当安全的。一般用途的话也就够用了。
验证password的时候,我们需要使用werkzeug.security包中的check_password_hash函数来验证密码
get_id是UserMixin类中就有的method,在这我们需要overwrite这个method。在json文件中没有对应的user id时,可以使用uuid.uuid4()生成一个用户唯一id

至此,我们就实现了第二步和第五步,接下来要看第三步,如何去维护一个session
维护用户session
先看下代码,这里把相应代码也放入到app.py当中
from forms import LoginForm
from flask_wtf.csrf import CsrfProtect
from model import User
from flask_login import login_user, login_required
from flask_login import LoginManager, current_user
from flask_login import logout_user

app = Flask(name)

app.secret_key = os.urandom(24)

use login manager to manage session

login_manager = LoginManager()
login_manager.session_protection = 'strong'
login_manager.login_view = 'login'
login_manager.init_app(app=app)

这个callback函数用于reload User object,根据session中存储的user id

@login_manager.user_loader
def load_user(user_id):
return User.get(user_id)

csrf protection

csrf = CsrfProtect()
csrf.init_app(app)

@app.route('/login')
def login():
form = LoginForm()
if form.validate_on_submit():
user_name = request.form.get('username', None)
password = request.form.get('password', None)
remember_me = request.form.get('remember_me', False)
user = User(user_name)
if user.verify_password(password):
login_user(user, remember=remember_me)
return redirect(request.args.get('next') or url_for('main'))
return render_template('login.html', title="Sign In", form=form)

维护用户的会话,关键就在这个LoginManager对象。
必须实现这个load_user callback函数,用以reload user object
当密码验证通过后,使用login_user()函数来登录用户,这时用户在会话中的状态就是登录状态了

受保护网页
保护特定网页,只需要对特定路由加一个装饰器就可以,如下

app.py

...

@app.route('/')
@app.route('/main')
@login_required
def main():
return render_template(
'main.html', username=current_user.username)

...

current_user保存的就是当前用户的信息,实质上是一个User对象,所以我们直接调用其属性, 例如这里我们要给模板传一个username的参数,就可以直接用current_user.username
使用@login_required来标识改路由需要登录用户,非登录用户会被重定向到'/login'路由(这个就是由login_manager.login_view = 'login' 语句来指定的)

用户登出

app.py

...

@app.route('/logout')
@login_required
def logout():
logout_user()
return redirect(url_for('login'))

...

至此,我们就实现了一个完整的登陆和登出的过程。
另外我们可能还需要其它辅助的功能,诸如发送确认邮件,密码重置,权限分级管理等,这些功能都可以通过flask及其插件来完成,这个大家可以自己探索下啦!

转载:https://www.jianshu.com/p/06bd93e21945

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,080评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,422评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,630评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,554评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,662评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,856评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,014评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,752评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,212评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,541评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,687评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,347评论 4 331
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,973评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,777评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,006评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,406评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,576评论 2 349

推荐阅读更多精彩内容