• 在orm中模块和模块的关联

• • 外键关联

class Gift(Base):

    id = Column(Integer, primary_key=True)

    user = relationship("User")

    # 这个user是变量名user

    uid = Column(Integer, ForeignKey('user.id'))

• model中如果是一个基类，不需要创建表，需要将其设置为抽象类，加上一个__abstract__=True

• @property装饰器，可以将这个函数转成一个属性，@property其实就是getter操作，对应一个setter，用户属性的预处理，如果是只读的操作可以再setter里面抛出异常来实现

• 自定义Form验证器

• • 方法名字validate_要验证的属性名

• cookie验证用户信息

• cookie的应用

• • 精确广告投放（跨站cookie共享）

• flask-login是flask的插件，需要进行初始化，保存用户信息

• • 用户登录的实质就是向cookie中写入信息

  • login_user（）传入的是我们自己的定义的模型，那么并不是所有的字段都需要写入cookie的，只要能够代表用户身份的字段写入就好，flask-login要求我们在我们的用户模型内部定义get_id()方法，这个函数内部我们要返回可以表示我们用户身份的字段。还要求定义一些其他的属性或函数，他要求的这些函数已经定义在了flask-login内部的UserMixin类中

  • 我们可以继承UserMixin类，当然，如果你不是用id来表示用户身份的话，还是要重写get_id()方法的，默认是用id表示的

  • 使用login_user使用的是一次性的cookie，关闭浏览器之后就会失效

  • 如果想保存cookie，可以将remember设置为True，默认的过期时间是365天，当然也可以通过配置更改这个过期时间

  • image.png

• 访问权限控制

• • @login_required

  • orm里面查询主键直接用query.get()就可以，没有必要使用filter_by（）

  • 需要实现一个方法

@login_manager.user_loader   # login_manager是在初始化app的时候定义的

def get_user(uid):

    return User.query.get(int(uid))

• 这个方法在使用current_user的时候用到

• 没有登陆的时候，让其引导到登陆页面， login_manager.login_view=“web.login"

• 重定向攻击

• • 登陆之后返回到之前的页面，Request里面会记录在next参数中

  • request.args.get(’next’)，然后重定向

  • 但是这样会有安全隐患，重定向攻击

  • 用户认为的更改next参数的值