在orm中模块和模块的关联
- 外键关联
class Gift(Base):
id = Column(Integer, primary_key=True)
user = relationship("User")
# 这个user是变量名user
uid = Column(Integer, ForeignKey('user.id'))
model中如果是一个基类,不需要创建表,需要将其设置为抽象类,加上一个
__abstract__=True@property装饰器,可以将这个函数转成一个属性,@property其实就是getter操作,对应一个setter,用户属性的预处理,如果是只读的操作可以再setter里面抛出异常来实现自定义Form验证器
- 方法名字validate_要验证的属性名
cookie验证用户信息
cookie的应用
- 精确广告投放(跨站cookie共享)
flask-login是flask的插件,需要进行初始化,保存用户信息
用户登录的实质就是向cookie中写入信息
login_user()传入的是我们自己的定义的模型,那么并不是所有的字段都需要写入cookie的,只要能够代表用户身份的字段写入就好,flask-login要求我们在我们的用户模型内部定义get_id()方法,这个函数内部我们要返回可以表示我们用户身份的字段。还要求定义一些其他的属性或函数,他要求的这些函数已经定义在了flask-login内部的UserMixin类中我们可以继承UserMixin类,当然,如果你不是用id来表示用户身份的话,还是要重写get_id()方法的,默认是用id表示的
使用login_user使用的是一次性的cookie,关闭浏览器之后就会失效
如果想保存cookie,可以将remember设置为True,默认的过期时间是365天,当然也可以通过配置更改这个过期时间
- image.png
访问权限控制
@login_required
orm里面查询主键直接用
query.get()就可以,没有必要使用filter_by()需要实现一个方法
@login_manager.user_loader # login_manager是在初始化app的时候定义的
def get_user(uid):
return User.query.get(int(uid))
这个方法在使用
current_user的时候用到没有登陆的时候,让其引导到登陆页面,
login_manager.login_view=“web.login"重定向攻击
登陆之后返回到之前的页面,Request里面会记录在next参数中
request.args.get(’next’),然后重定向但是这样会有安全隐患,重定向攻击
用户认为的更改next参数的值
