Flask-Mail簡介
就實際的郵件發送而言,Flask有一個名爲Flask-Mail的流行插件,可以使任務變得非常簡單。 和往常一樣,該插件是用pip安裝的:
(venv) $ pip install flask-mail
密碼重置鏈接將包含有一個安全令牌。 爲了生成這些令牌,我將使用JSON Web Tokens,它也有一個流行的Python包:
(venv) $ pip install pyjwt
Flask-Mail插件是通過app.config對象來配置的。還記得在第七章中,我添加了用於在生產環境中發生錯誤時發送電子郵件的配置項? 當時我沒有告訴你,不過,我選擇的配置變量都是Flask-Mail的需求的,所以不需要任何額外的工作,配置的活已經完工。
像大多數Flask插件一樣,你需要在Flask應用創建之後創建一個郵件實例。 本處,mail是類Mail的一個實例:
# ...
from flask_mail import Mail
app = Flask(__name__)
# ...
mail = Mail(app)
測試發送電子郵件的方式有兩種。 如果你想使用一個模擬的電子郵件服務器,Python提供了一個非常好用的方法,你可以使用下面的命令在第二個終端中啓動它:
(venv) $ python -m smtpd -n -c DebuggingServer localhost:8025
要配置此服務器,需要設置兩個環境變量:
(venv) $ export MAIL_SERVER=localhost
(venv) $ export MAIL_PORT=8025
如果你希望真實地發送電子郵件,則需要使用真實的電子郵件服務器。 那麼你只需要爲它設置MAIL_SERVER、MAIL_PORT、MAIL_USE_TLS、MAIL_USERNAME和MAIL_PASSWORD環境變量。 如果你想要快速解決方案,可以使用Gmail帳戶發送電子郵件,並使用以下設置:
(venv) $ export MAIL_SERVER=smtp.googlemail.com
(venv) $ export MAIL_PORT=587
(venv) $ export MAIL_USE_TLS=1
(venv) $ export MAIL_USERNAME=<your-gmail-username>
(venv) $ export MAIL_PASSWORD=<your-gmail-password>
如果你使用的是Microsoft Windows,則需要在上面的每個export語句中將export替換爲set。
Gmail帳戶中的安全功能可能會阻止應用通過它發送電子郵件,除非你明確允許“安全性較低的應用程序”訪問你的Gmail帳戶。 可以閱讀此處來了解具體情況,如果你擔心帳戶的安全性,可以創建一個輔助郵箱帳戶,配置它來僅用於測試電子郵件功能,或者你可以暫時啓用允許不太安全的應用程序來運行此測試,完成後恢復爲默認值。
Flask-Mail的使用
爲了學習Flask-Mail如何工作,我將向你展示如何用Python shell發送電子郵件。那麼,運行flask shell以激活Python,然後運行下面的命令:
>>> from flask_mail import Message
>>> from app import mail
>>> msg = Message('test subject', sender=app.config['ADMINS'][0],
... recipients=['[email protected]'])
>>> msg.body = 'text body'
>>> msg.html = '<h1>HTML body</h1>'
>>> mail.send(msg)
上面的代碼片段將發送一個電子郵件到你在recipients參數中設置的電子郵件地址列表。發件人配置項我在第七章中已經配置過了,是ADMINS。 該電子郵件將具有純文本和HTML版本,所以根據你的電子郵件客戶端的配置,可能會看到它們之中的其中之一。
如你所見,相當簡單。現在讓我們將電子郵件整合到應用中。
簡單的電子郵件框架
我將從編寫一個發送電子郵件的幫助函數開始,這個函數基本上是上一節中shell函數的通用版本。 我將把這個函數放在一個名爲app/email.py的新模塊中:
from flask_mail import Message
from app import mail
def send_email(subject, sender, recipients, text_body, html_body):
msg = Message(subject, sender=sender, recipients=recipients)
msg.body = text_body
msg.html = html_body
mail.send(msg)
Flask-Mail支持一些我不在這裏使用的功能,如抄送和密件抄送列表。 如果你對這些選項感興趣,務必查閱Flask-Mail文檔。
請求重置密碼
我上面提到過,用戶有權利重置密碼。因此我將在登錄頁面提供一個鏈接:
<p>
Forgot Your Password?
<a href="{{ url_for('reset_password_request') }}">Click to Reset It</a>
</p>
當用戶點擊鏈接時,會出現一個新的Web表單,要求用戶輸入註冊的電子郵件地址,以啓動密碼重置過程。 這裏是表單類:
class ResetPasswordRequestForm(FlaskForm):
email = StringField('Email', validators=[DataRequired(), Email()])
submit = SubmitField('Request Password Reset')
這裏是相應的HTML模板:
{% extends "base.html" %}
{% block content %}
<h1>Reset Password</h1>
<form action="" method="post">
{{ form.hidden_tag() }}
<p>
{{ form.email.label }}<br>
{{ form.email(size=64) }}<br>
{% for error in form.email.errors %}
<span style="color: red;">[{{ error }}]</span>
{% endfor %}
</p>
<p>{{ form.submit() }}</p>
</form>
{% endblock %}
當然也需要一個視圖函數來處理表單:
from app.forms import ResetPasswordRequestForm
from app.email import send_password_reset_email
@app.route('/reset_password_request', methods=['GET', 'POST'])
def reset_password_request():
if current_user.is_authenticated:
return redirect(url_for('index'))
form = ResetPasswordRequestForm()
if form.validate_on_submit():
user = User.query.filter_by(email=form.email.data).first()
if user:
send_password_reset_email(user)
flash('Check your email for the instructions to reset your password')
return redirect(url_for('login'))
return render_template('reset_password_request.html',
title='Reset Password', form=form)
該視圖函數與其他的表單處理視圖函數非常相似。 我從確保用戶沒有登錄開始,如果用戶登錄,那麼使用密碼重置功能就沒有意義,所以我重定向到主頁。
當表格被提交併驗證通過,我使用表格中的用戶提供的電子郵件來查找用戶。 如果我找到用戶,就發送一封密碼重置電子郵件。 我執行此操作使用的send_password_reset_email()輔助函數,將在下面向你展示。
電子郵件發送後,我會閃現一條消息,指示用戶查看電子郵件以獲取進一步說明,然後重定向回登錄頁面。 你可能會注意到,即使用戶提供的電子郵件不存在,也會顯示閃現的消息,這樣的話,客戶端就不能用這個表單來判斷一個給定的用戶是否已註冊。
密碼重置令牌
在實現send_password_reset_email()函數之前,我需要一種方法來生成密碼重置鏈接,它將被通過電子郵件發送給用戶。 當鏈接被點擊時,將爲用戶展現設置新密碼的頁面。 這個計劃中棘手的部分是確保只有有效的重置鏈接可以用來重置帳戶的密碼。
生成的鏈接中會包含令牌,它將在允許密碼變更之前被驗證,以證明請求重置密碼的用戶是通過訪問重置密碼郵件中的鏈接而來的。JSON Web Token(JWT)是這類令牌處理的流行標準。 JWTs的優點是它是自成一體的,不但可以生成令牌,還提供對應的驗證方法。
如何運行JWTs?讓我們通過Python shell來學習一下:
>>> import jwt
>>> token = jwt.encode({'a': 'b'}, 'my-secret', algorithm='HS256')
>>> token
b'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhIjoiYiJ9.dvOo58OBDHiuSHD4uW88nfJikhYAXc_sfUHq1mDi4G0'
>>> jwt.decode(token, 'my-secret', algorithms=['HS256'])
{'a': 'b'}
{‘a’:‘b’}字典是要寫入令牌的示例有效載荷。 爲了使令牌安全,需要提供一個祕密密鑰用於創建加密簽名。 在這個例子中,我使用了字符串’my-secret’,但是在應用中,我將使用配置中的SECRET_KEY。algorithm參數指定使用什麼算法來生成令牌,而HS256是應用最廣泛的算法。
如你所見,得到的令牌是一長串字符。 但是不要認爲這是一個加密的令牌。 令牌的內容,包括有效載荷,可以被任何人輕易解碼(不相信我?複製上面的令牌,然後粘貼在JWT調試器上就可以看到它的內容)。 使令牌安全的是,有效載荷是被簽名的。 如果有人試圖僞造或篡改令牌中的有效載荷,則簽名將會無效,並且生成新的簽名依賴祕密密鑰。 令牌驗證通過時,有效負載的內容將被解碼並返回給調用者。 如果令牌的簽名驗證通過,有效載荷纔可以被認爲是可信的。
我要用於密碼重置令牌的有效載荷格式爲{‘reset_password’:user_id,‘exp’:token_expiration}。 exp字段是JWTs的標準,如果它存在,則表示令牌的到期時間。 如果一個令牌有一個有效的簽名,但是它已經過期,那麼它也將被認爲是無效的。 對於密碼重置功能,我會給這些令牌10分鐘的有效期。
當用戶點擊電子郵件鏈接時,令牌將被作爲URL的一部分發送回應用,處理這個URL的視圖函數首先要做的就是驗證它。 如果簽名是有效的,則可以通過存儲在有效載荷中的ID來識別用戶。 一旦得知用戶的身份,應用可以要求一個新的密碼,並將其設置在用戶的帳戶上。
由於這些令牌屬於用戶,因此我將在User模型中編寫令牌生成和驗證的方法:
from time import time
import jwt
from app import app
class User(UserMixin, db.Model):
# ...
def get_reset_password_token(self, expires_in=600):
return jwt.encode(
{'reset_password': self.id, 'exp': time() + expires_in},
app.config['SECRET_KEY'], algorithm='HS256').decode('utf-8')
@staticmethod
def verify_reset_password_token(token):
try:
id = jwt.decode(token, app.config['SECRET_KEY'],
algorithms=['HS256'])['reset_password']
except:
return
return User.query.get(id)
get_reset_password_token()函數以字符串形式生成一個JWT令牌。 請注意,decode(‘utf-8’)是必須的,因爲jwt.encode()函數將令牌作爲字節序列返回,但是在應用中將令牌表示爲字符串更方便。
verify_reset_password_token()是一個靜態方法,這意味着它可以直接從類中調用。 靜態方法與類方法類似,唯一的區別是靜態方法不會接收類作爲第一個參數。 這個方法需要一個令牌,並嘗試通過調用PyJWT的jwt.decode()函數來解碼它。 如果令牌不能被驗證或已過期,將會引發異常,在這種情況下,我會捕獲它以防止出現錯誤,然後將None返回給調用者。 如果令牌有效,那麼來自令牌有效負載的reset_password的值就是用戶的ID,所以我可以加載用戶並返回它。
發送密碼重置電子郵件
現在我有了令牌,可以生成密碼重置電子郵件。 send_password_reset_email()函數依賴於上面寫的send_email()函數。
from flask import render_template
from app import app
# ...
def send_password_reset_email(user):
token = user.get_reset_password_token()
send_email('[Microblog] Reset Your Password',
sender=app.config['ADMINS'][0],
recipients=[user.email],
text_body=render_template('email/reset_password.txt',
user=user, token=token),
html_body=render_template('email/reset_password.html',
user=user, token=token))
這個函數中有趣的部分是電子郵件的文本和HTML內容是使用熟悉的render_template()函數從模板生成的。 模板接收用戶和令牌作爲參數,以便可以生成個性化的電子郵件消息。 以下是重置密碼電子郵件的文本模板:
Dear {{ user.username }},
To reset your password click on the following link:
{{ url_for('reset_password', token=token, _external=True) }}
If you have not requested a password reset simply ignore this message.
Sincerely,
The Microblog Team
這是更美觀的的HTML版本:
<p>Dear {{ user.username }},</p>
<p>
To reset your password
<a href="{{ url_for('reset_password', token=token, _external=True) }}">
click here
</a>.
</p>
<p>Alternatively, you can paste the following link in your browser's address bar:</p>
<p>{{ url_for('reset_password', token=token, _external=True) }}</p>
<p>If you have not requested a password reset simply ignore this message.</p>
<p>Sincerely,</p>
<p>The Microblog Team</p>
請注意,這兩個電子郵件模板中的url_for()調用中引用的reset_password路由尚不存在,這將在下一節中添加。
重置用戶密碼
當用戶點擊電子郵件鏈接時,會觸發與此功能相關的第二個路由。 這是密碼重置視圖函數:
from app.forms import ResetPasswordForm
@app.route('/reset_password/<token>', methods=['GET', 'POST'])
def reset_password(token):
if current_user.is_authenticated:
return redirect(url_for('index'))
user = User.verify_reset_password_token(token)
if not user:
return redirect(url_for('index'))
form = ResetPasswordForm()
if form.validate_on_submit():
user.set_password(form.password.data)
db.session.commit()
flash('Your password has been reset.')
return redirect(url_for('login'))
return render_template('reset_password.html', form=form)
在這個視圖函數中,我首先確保用戶沒有登錄,然後通過調用User類的令牌驗證方法來確定用戶是誰。 如果令牌有效,則此方法返回用戶;如果不是,則返回None,並將重定向到主頁。
如果令牌是有效的,那麼我向用戶呈現第二個表單,需要用戶其中輸入新密碼。 這個表單的處理方式與以前的表單類似,表單提交驗證通過後,我調用User類的set_password()方法來更改密碼,然後重定向到登錄頁面,以便用戶登錄。
這是ResetPasswordForm類:
class ResetPasswordForm(FlaskForm):
password = PasswordField('Password', validators=[DataRequired()])
password2 = PasswordField(
'Repeat Password', validators=[DataRequired(), EqualTo('password')])
submit = SubmitField('Request Password Reset')
這是相應的HTML模板:
{% extends "base.html" %}
{% block content %}
<h1>Reset Your Password</h1>
<form action="" method="post">
{{ form.hidden_tag() }}
<p>
{{ form.password.label }}<br>
{{ form.password(size=32) }}<br>
{% for error in form.password.errors %}
<span style="color: red;">[{{ error }}]</span>
{% endfor %}
</p>
<p>
{{ form.password2.label }}<br>
{{ form.password2(size=32) }}<br>
{% for error in form.password2.errors %}
<span style="color: red;">[{{ error }}]</span>
{% endfor %}
</p>
<p>{{ form.submit() }}</p>
</form>
{% endblock %}
密碼重置功能現已完成,一定要多嘗試幾次。
異步電子郵件
如果你正在使用Python提供的模擬電子郵件服務器,可能沒有注意到這一點,那就是發送電子郵件會大大減慢應用的速度,原因是發送電子郵件時所發生的和電子郵件服務器的網絡交互。通常需要幾秒鐘的時間才能收到電子郵件,如果收件人的電子郵件服務器速度較慢,或者收件人有多個,則可能會更久。
我真正想要的send_email()函數是異步的。 那是什麼意思? 這意味着當這個函數被調用時,發送郵件的任務被安排在後臺進行,釋放send_email()函數以立即返回,以便應用可以在發送郵件的同時繼續運行。
Python實際上有多種方式支持運行異步任務,threading和multiprocessing模塊都可以做到這一點。 爲發送電子郵件啓動一個後臺線程,比開始一個全新的進程需要的資源少得多,所以我打算採用這種方法:
from threading import Thread
# ...
def send_async_email(app, msg):
with app.app_context():
mail.send(msg)
def send_email(subject, sender, recipients, text_body, html_body):
msg = Message(subject, sender=sender, recipients=recipients)
msg.body = text_body
msg.html = html_body
Thread(target=send_async_email, args=(app, msg)).start()
send_async_email函數現在運行在後臺線程中,它通過send_email()的最後一行中的Thread()類來調用。 有了這個改變,電子郵件的發送將在線程中運行,並且當進程完成時,線程將結束並自行清理。 如果你已經配置了一個真正的電子郵件服務器,當你按下密碼重置請求表單上的提交按鈕時,肯定會注意到訪問速度的提升。
你可能預期只有msg參數會被髮送到線程,但正如你在代碼中所看到的那樣,我也傳入了應用實例。 使用線程時,需要牢記Flask的一個重要設計方面。 Flask使用上下文來避免必須跨函數傳遞參數。 我不打算詳細討論這個問題,但是需要知道的是,有兩種類型的上下文,即應用上下文和請求上下文。 在大多數情況下,這些上下文由框架自動管理,但是當應用啓動自定義線程時,可能需要手動創建這些線程的上下文。
許多Flask插件需要應用上下文才能工作,因爲這使得他們可以在不傳遞參數的情況下找到Flask應用實例。這些插件需要知道應用實例的原因是因爲它們的配置存儲在app.config對象中,這正是Flask-Mail的情況。mail.send()方法需要訪問電子郵件服務器的配置值,而這必須通過訪問應用屬性的方式來實現。 使用with app.app_context()調用創建的應用上下文使得應用實例可以通過來自Flask的current_app變量來進行訪問。
from flask_mail import Message, current_app
from app import mail, app
from flask import render_template
from threading import Thread
# 異步發送郵件
def send_async_email(app, msg):
with app.app_context():
mail.send(msg)
def send_email(subject, sender, recipients, text_body, html_body):
msg = Message(subject, sender=sender, recipients=recipients)
msg.body = text_body
msg.html = html_body
# mail.send(msg)
# 這一句非常重要,因爲flask的上下文特性,如果沒有這一句會造成郵件無法發送
app = current_app._get_current_object()
Thread(target=send_async_email, args=(app, msg)).start()
