一. 使用 Werkzeug 实现密码散列.
generate_password_hash(password, method=pbkdf2:sha1, salt_length=8)
将原始密码作为输入, 以字符串形式输出密码散列值, 输出的值可保存在用户数据库中. method 和 salt_length 的默认值就能满足大多数需求.
check_password_hash(hash, password)
这个函数的参数是从数据库中取回的密码散列值和用户输入的密码. 返回值为 True, 表明密码正确.
示例代码 :
from werkzeug.security import generate_password_hash, check_password_hash
class User(db.Model):
# ...
password_hash = db.Column(db.String(128))
@property
def password(self): # 设置属性不可读.
raise AttributeError("Password is not a readable attribute.")
@password.setter
def password(self, password): # 写入密码
self.password_hash = generate_password_hash(password)
def verify_password(self, password): # 认证密码
return check_password_hash(self.password_hash, password)二. 使用 Flask-Login 认证用户.
用户登录程序后, 他们的认证状态要被记录下来, 这样浏览不同的页面时, 才能记住这个状态.
Flask-Login 是专门用来管理用户认证系统中的认证状态, 并且不依赖特定的认证机制.
1. 安装
$ pip install flask-loging2. 初始化
from flask_login import LoginManager
login_manager = LoginManager(app)
login_manager.session_protection = 'strong'
login_manager.login_view = 'auth.login'session_protection : 属性可以设为 None, 'basic', 'strong' , 已提供不同的安全等级防止用户篡改会话.
strong : Flask-Login 会记录客户端IP地址和浏览器的用户代理信息, 如果发现异常就登出用户.
login_view : 设置登录页面的端点.
3. 使用方法
1) 模型实现
方法一 : 实现4个模型方法
使用 Flask-Login 扩展, 程序的 模型必须实现几个方法 :
Flask-Login 要求实现的用户方法
| 方法 | 说明 |
|---|---|
| is_authenticated() | 如果用户一登录, 返回 True, 否则返回 False |
| is_active() | 如果允许用户登录, 返回 True, 否则返回 False. 如果要禁用账户, 可以返回 False |
| is_anonymous() | 对普通用户必须返回 False |
| get_id() | 必须返回用户的唯一标识符, 使用 Unicode 编码字符串 |
这四个方法可以在模型类中作为方法直接实现.
方法二 : UserMixin 类
Flask-Login 提供了一个 UserMixin 类, 其中包含以上方法的默认实现, 且能满足大多数需求.
示例代码 :
from flask_login import UserMixin
class User(UserMixin, db.Model):
pass回调函数 : 使用指定的标识符加载用户. 定义在用户模型中.
加载用户的回调函数, 接受已 Unicode 字符串形式表示的用户标识符. 如果能找到用户, 这个函数必须返回用户对象, 否则返回 None.
示例代码 :
from . import login_manager
@login_manager.user_loader
def load_user(user_id):
return User.query.get(int(user_id))2) 保护路由 : login_required 装饰器
为了保护路由只让认证用户访问, Flask-Login 提供了一个 login_required 装饰器.
示例代码 :
from flask_login import login_required
@app.route('/secret')
@login_required
def secret():
return "Only authenticated users are allowed!"3) 模板调用
Flask-Login 变量提供 current_user 变量, 且在视图函数和模板中自动可用, 该变量的值是当前登录的用户, 如果用户尚未登录, 则是一个匿名用户代理对象.
示例代码 :
# 视图函数中调用
from flask-login import current_user
@auth.route("/confirm/<token>")
@login_required
def confirm(token):
if current_user.confirmed:
return redirect(url_for("main.index"))
if current_user.confirm(token):
flash("You have confirmed you account. Thanks!")
else:
flash("You confirmation link is invalid or has expired.")
return redirect(url_for("main.index"))
# 模板中调用
<ul class="nav navbar-nav navbar-right">
{% if current_user.is_authenticated %}
<li><a href="{{ url_for('auth.logout') }}">Sign Out</a></li>
{% else %}
<li><a href="{{ url_for('auth.login') }}">Sign In</a></li>
{% endif %}
</ul>4) 登入用户: login_user(user, BOOLEAN)
Flask-Login 提供 login_user() 函数, 在用户会话中把用户标记为已登录.
login_user() 函数的参数是要登录的用户, 以及可选的 "记住我" 布尔值, "记住我" 也可在表单中实现. 如果布尔值为 True, 那么 关闭浏览器后用户会话就会过期, 下次访问时要重新登录; 如果为 False, 那么会在用户浏览器中写入一个长期有效的 cookie, 使用这个 cookie 可以复现用户会话.
示例代码 :
from flask import render_template, redirect, request, url_for, flash
from flask_login import login_user
from . import auth
from ..models import User
from .forms import LoginForm
@auth.route("/login", methods=["GET", "POST"])
def login():
form = LoginForm()
if form.validate_on_submit():
user = User.query.filter_by(email=form.email.data).first()
if user is not None and user.verify_password(form.password.data):
login_user(user, form.remember_me)
return redirect(request.args.get('next') or url_for('main.index'))
flash("Invalid Username or Password")
return render_template('auth/login.html', form=form)用户访问未授权的 URL 时, 会显示登录表单. Flask-Login 会把原地址保存在查询的 next 参数中, 这个参数可从 request.args 字典读取. 如果查询字符串没有 next 参数, 则重定向到首页.
5) 登出用户: logout_user()
Flask-Login 提供 logout_user() 函数, 删除并重设用户会话.
示例代码 :
from flask_login import logout_user, login_required
@auth.route("/logout")
@login_required
def logout():
logout_user()
flash("You have been logged out.")
return redirect(url_for("main.index"))三. 使用 itsdangerours 生成确认令牌
对于某些特定类型的程序, 有必要确认注册时用户提供的信息是否正确. 常见要求是能通过提供的调子邮件地址与用户取得联系.
In [1]: from itsdangerous import TimedJSONWebSignatureSerializer as Serializer
In [2]: s = Serializer(app.config['SECRET_KEY'],expires_in=3600)
In [3]: token = s.dumps({'confirm':23})
In [4]: token
Out[4]: 'eyJhbGciOiJIUzI1NiIsImV4cCI6MTQ4OTgyMDY4MiwiaWF0IjoxNDg5ODE3MDgyfQ.eyJjb25maXJtIjoyM30.Fg9uyyOMtJ7Mk_LhycSaJgI5tIkkK1tbfswTxZ7qaEk'
In [5]: data=s.loads(token)
In [6]: data
Out[6]: {'confirm': 23}itsdangerous 提供多种生成令牌的方法. 其中 TimedJSONWebSignatureSerializer 类生成具有过期时间的 JSON web 签名(JSON Web Signatures, JWS). 这个类的构造函数接受的参数是一个密钥, 在 Flask 程序中可使用 SECRET_KEY 设置.
dumps() 方法为指定的数据生成一个加密签名, 然后在对数据和签名进行序列化, 生成令牌字符串. expires_in 参数设置令牌的过期时间, 单位为 秒.
loads() 用于解码令牌. 其唯一的参数是令牌字符串. 这个方法会检查签名和过期时间, 如果通过, 返回原始数据. 如果令牌不正确或过期, 抛出异常.