跟着學習(新版):https://blog.miguelgrinberg.com/post/the-flask-mega-tutorial-part-v-user-logins
跟着學習(舊版):http://www.pythondoc.com/flask-mega-tutorial/userlogin.html
回顧上一章:https://blog.csdn.net/weixin_41263513/article/details/85010558
正片前的碎碎念
實際上上面兩個鏈接跟着學習(新版舊版)都是出於同一位作者之手Miguel Grinberg,讚美大神!雖然舊版的代碼可能有點問題,但好在是中文版啊!!而且下載的文件其實是屬於新版的代碼,所以下載之後會發現跟網頁(舊版)裏的對不上,現在要換一個網頁學習啦,新版的我大概閱覽了一下,能學到比舊版多的東西,但比較尷尬的是新版的都是英文,不過也不差啦,裏面除了專業名詞,其實過了四級的人我覺得都能看懂的呢!之後我的學習記錄也將按照新版的編寫,up我擦線過六級,啃完這一篇全英的,下年努把力,爭取六級過500!之前的博客找個時間也翻新一下吧,就醬~
本章內容
- 密碼安全性
- 用Flask-Login驗證用戶身份
- 需要用戶登陸才能訪問頁面
- 在模板中顯示登陸用戶
- 用戶註冊
密碼安全性
若想保證數據庫中用戶密碼的安全,關鍵在於不存儲密碼本身,而是存儲密碼的散列值。計算密碼散列值的函數接收密碼作爲輸入,添加隨即內容(鹽值)之後,使用多種單向加密算法轉換密碼,最終得到一個和原始密碼沒有關係的字符序列,而且無法還原成原始密碼,覈對密碼時,密碼散列值可代替原始密碼,因爲計算散列值的函數時可復現的:只要輸入(密碼和鹽值)一樣,結果就一樣
我們用Werkzeug中的security模塊實現密碼散列值的計算
更新一下我們的模型,添加兩個方法
文件:/app/models.py
#......
from werkzeug.security import generate_password_hash, check_password_hash
class User(UserMixin, db.Model):
#......
def set_password(self, password):
self.password_hash = generate_password_hash(password)
def check_password(self, password):
return check_password_hash(self.password_hash, password)
實現一下
用Flask-Login驗證用戶身份
flask有一個非常好用的擴展Flask-login,這個擴展可用於管理用戶的登陸狀態,讓應用程序“記住”用戶,登陸時可以導航到不同頁面,即便在關閉瀏覽器後,用戶也能保持登陸狀態
先初始化這個擴展
文件:/app/–init–.py
#......
from flask_login import LoginManager
app = Flask(__name__)
#......
login = LoginManager(app)
#......
要使用Flask-Login擴展,應用的User模型必須實現以下幾個屬性和方法
| 屬性/方法 | 說明 |
|---|---|
| is_authenticated | 如果用戶提供的登陸憑據有效,必須返回True,否則返回False |
| is_active | 如果允許用戶登陸,必須返回True,否則返回False,如果想禁用賬戶,可以返回false |
| is_anonymous | 對普通用戶必須始終返回false,如果是表示匿名用戶的特殊用戶對象,應該返回true |
| get_id() | 必須返回用戶的威一標識符,使用Unicode編碼字符串 |
雖然可以很容易的實現上面四個屬性/方法,但Flask-Login還提供了一個名爲UserMixin的mixin類,包含了適用於大多數用戶模型類的通用實現,以下是將mixin類添加到模型中
#......
from flask_login import UserMixin
class User(UserMixin, db.Model):
#......
加載用戶的方法
因爲Flask-Login對數據庫一無所知,所以需要通過數據庫先找到用戶
我們使用@ login.user_loader裝飾器向Flask-Login註冊用戶加載程序。 Flask-Login作爲參數傳遞給函數的id將是一個字符串,因此使用數字ID的數據庫需要將字符串轉換爲整數。
from app import login
# ...
@login.user_loader
def load_user(id):
return User.query.get(int(id))
登入用戶
讓我們完成視圖函數
# ...
from flask_login import current_user, login_user
from app.models import User
# ...
@app.route('/login', methods=['GET', 'POST'])
def login():
if current_user.is_authenticated:
return redirect(url_for('index'))
form = LoginForm()
if form.validate_on_submit():
user = User.query.filter_by(username=form.username.data).first()
if user is None or not user.check_password(form.password.data):
flash('Invalid username or password')
return redirect(url_for('login'))
login_user(user, remember=form.remember_me.data)
return redirect(url_for('index'))
return render_template('login.html', title='Sign In', form=form)
login()函數中的前兩行是爲了處理一個情況:倘若你是一個已經登陸了的用戶,用戶卻導航到了應用程序中/login的URL,這是一個烏龍行爲,不能讓這樣的情況發生,所以用Flask-Login中的屬性is_authenticated來檢查用戶是否登陸,若用戶已經登陸,重定向到index頁面。
使用SQLAlchemy查詢對象的filter_by()方法。 filter_by()的結果是僅包含具有匹配用戶名的對象的查詢。因爲我知道只有一個或零個結果,所以我通過調用first()來完成查詢,如果它存在則返回用戶對象,如果不存在則返回None。當您在查詢中調用all()方法時,查詢將執行,您將獲得與該查詢匹配的所有結果的列表。當您只需要一個結果時,first()方法是另一種常用的執行查詢的方法。
如果用戶名和密碼都正確,那麼我調用login_user()函數,該函數來自Flask-Login。此功能將在登錄時註冊用戶,這意味着用戶導航到的任何將來頁面都將current_user變量設置爲該用戶。
要完成登錄過程,我只需將新登錄的用戶重定向到index頁面。
登出用戶
有登入就有登出嘛
文件:/app/routes.py
# ...
from flask_login import logout_user
# ...
@app.route('/logout')
def logout():
logout_user()
return redirect(url_for('index'))
登錄登出鏈接都需要公開在導航欄中,我們可以在用戶登陸後使導航欄中的“登陸”鏈接自動切換成“註銷”,通過改變base.html來完成:
文件:/app/templates/base.html
<div>
Microblog:
<a href="{{ url_for('index') }}">Home</a>
{% if current_user.is_anonymous %}
<a href="{{ url_for('login') }}">Login</a>
{% else %}
<a href="{{ url_for('logout') }}">Logout</a>
{% endif %}
</div>
is_anonymous屬性是Flask-Login通過UserMixin類添加到用戶對象的屬性之一。 僅當用戶未登錄時,current_user.is_anonymous表達式纔會爲True。
需要用戶登陸才能訪問頁面
Flask-Login提供了一個非常有用的功能,強制用戶在查看應用程序的某些頁面之前登錄。 如果未登錄的用戶嘗試查看受保護的頁面,Flask-Login將自動將用戶重定向到登錄表單,並僅在登錄過程完成後重定向回用戶想要查看的頁面。
要實現此功能,Flask-Login需要知道處理登錄的視圖函數是什麼
文件:/app/–init–.py
# ...
login = LoginManager(app)
login.login_view = 'login'
其實吧,我對login.login_view = 'login’這一行不太懂,作者的意思是:
上面的“login”值是登錄視圖的功能名稱(或端點)。 換句話說,您將會在url_for()調用這個login名稱來獲取URL。(渣翻譯)
原文:The ‘login’ value above is the function (or endpoint) name for the login view. In other words, the name you would use in a url_for() call to get the URL.
反正實現的效果是指未登錄時,會跳轉過去的login頁面
除此之外,我們還需要在routes文件裏面做文章
文件:/app/routes.py
from flask_login import login_required
@app.route('/')
@app.route('/index')
@login_required
def index():
# ...
當您將@login_required裝飾器添加到Flask的@ app.route裝飾器下面的視圖函數時,該函數將受到保護,並且不允許訪問未經過身份驗證的用戶
結合上面兩個代碼一起理解就是:如果用戶導航到/ index,則@login_required裝飾器將攔截請求並使用重定向響應導航到/ login,但它會向此URL添加查詢字符串參數,下一個查詢字符串參數設置爲原始URL,因此應用程序可以使用該參數在登錄後重定向。
下面是一段代碼,展示瞭如何讀取和處理下一個查詢字符串參數
文件:/app/routes.py
from flask import request
from werkzeug.urls import url_parse
@app.route('/login', methods=['GET', 'POST'])
def login():
# ...
if form.validate_on_submit():
user = User.query.filter_by(username=form.username.data).first()
if user is None or not user.check_password(form.password.data):
flash('Invalid username or password')
return redirect(url_for('login'))
login_user(user, remember=form.remember_me.data)
next_page = request.args.get('next')
if not next_page or url_parse(next_page).netloc != '':
next_page = url_for('index')
return redirect(next_page)
# ...
在用戶調用Flask-Login的login_user()函數登錄後,將獲取下一個查詢字符串參數的值(上圖)。 Flask提供了一個請求變量,其中包含客戶端隨請求發送的所有信息。特別是,request.args屬性以友好的字典格式公開查詢字符串的內容。實際上,在成功登錄後,確實需要考慮三種可能的情況來確定重定向的位置:
- 如果登錄URL沒有下一個參數,則會將用戶重定向到索引頁面。
- 如果登錄URL包含設置爲相對路徑的下一個參數(或者換句話說,沒有域部分的URL),則將用戶重定向到該URL。
- 如果登錄URL包含設置爲包含域名的完整URL的下一個參數,則會將用戶重定向到索引頁面。
第一和第二個案例是不言自明的。第三種情況是爲了使應用程序更安全。攻擊者可以在下一個參數中向惡意站點插入URL,因此應用程序僅在URL爲相對時重定向,這可確保重定向與應用程序保持在同一站點內。要確定URL是相對的還是絕對的,我使用Werkzeug的url_parse()函數解析它,然後檢查是否設置了netloc組件。
我自己也看的不太懂,總而言之,一切都是爲了安全,親測,沒有上面這段代碼依然可以運行!不過爲了安全性各位還是加上吧,誰知道以後你們的網站會不會遭受攻擊呢!
在模板中顯示登陸用戶
之前創建了一個假用戶來幫助我在用戶子系統到位之前設計應用程序的主頁,那該應用程序現在有真正的用戶,所以我現在可以刪除假用戶並開始與真實用戶合作。 我可以在模板中使用Flask-Login的current_user而不是假用戶:
文件:/app/templates/index.html
{% extends "base.html" %}
{% block content %}
<h1>Hi, {{ current_user.username }}!</h1>
{% for post in posts %}
<div><p>{{ post.author.username }} says: <b>{{ post.body }}</b></p></div>
{% endfor %}
{% endblock %}
用戶註冊
最後一個功能,註冊表單!可以讓用戶通過web表單進行註冊
先創建web表單類:
文件:/app/forms.py
from flask_wtf import FlaskForm
from wtforms import StringField, PasswordField, BooleanField, SubmitField
from wtforms.validators import ValidationError, DataRequired, Email, EqualTo
from app.models import User
# ...
class RegistrationForm(FlaskForm):
username = StringField('Username', validators=[DataRequired()])
email = StringField('Email', validators=[DataRequired(), Email()])
password = PasswordField('Password', validators=[DataRequired()])
password2 = PasswordField(
'Repeat Password', validators=[DataRequired(), EqualTo('password')])
submit = SubmitField('Register')
def validate_username(self, username):
user = User.query.filter_by(username=username.data).first()
if user is not None:
raise ValidationError('Please use a different username.')
def validate_email(self, email):
user = User.query.filter_by(email=email.data).first()
if user is not None:
raise ValidationError('Please use a different email address.')
這個新表格中有一些有趣的東西。首先,對於email字段,我在DataRequired之後添加了第二個驗證器,Emaiil()。這是WTForms附帶的另一個驗證器,它將確保用戶在此字段中鍵入的內容與電子郵件地址的結構相匹配。
由於這是註冊表,因此通常要求用戶輸入密碼兩次以減少拼寫錯誤的風險。出於這個原因,我有password和password2字段。password2字段使用另一個名爲EqualTo的驗證器,它將確保其值與第一個密碼字段的值相同。
我還爲這個類添加了兩個方法,validate_username()和validate_email()。都非常好理解
要在網頁上顯示此表單,我需要一個HTML模板:
文件:/app/templates/register.html
{% extends "base.html" %}
{% block content %}
<h1>Register</h1>
<form action="" method="post">
{{ form.hidden_tag() }}
<p>
{{ form.username.label }}<br>
{{ form.username(size=32) }}<br>
{% for error in form.username.errors %}
<span style="color: red;">[{{ error }}]</span>
{% endfor %}
</p>
<p>
{{ form.email.label }}<br>
{{ form.email(size=64) }}<br>
{% for error in form.email.errors %}
<span style="color: red;">[{{ error }}]</span>
{% endfor %}
</p>
<p>
{{ form.password.label }}<br>
{{ form.password(size=32) }}<br>
{% for error in form.password.errors %}
<span style="color: red;">[{{ error }}]</span>
{% endfor %}
</p>
<p>
{{ form.password2.label }}<br>
{{ form.password2(size=32) }}<br>
{% for error in form.password2.errors %}
<span style="color: red;">[{{ error }}]</span>
{% endfor %}
</p>
<p>{{ form.submit() }}</p>
</form>
{% endblock %}
登錄表單模板需要一個鏈接,將新用戶發送到表單下方的註冊表單
文件:/app/templates/login.html
<p>New User? <a href="{{ url_for('register') }}">Click to Register!</a></p>
最後的最後,不要忘了,新建的html一定要在routes.py中處理:
文件:/app/routes.py
from app import db
from app.forms import RegistrationForm
# ...
@app.route('/register', methods=['GET', 'POST'])
def register():
if current_user.is_authenticated:
return redirect(url_for('index'))
form = RegistrationForm()
if form.validate_on_submit():
user = User(username=form.username.data, email=form.email.data)
user.set_password(form.password.data)
db.session.add(user)
db.session.commit()
flash('Congratulations, you are now a registered user!')
return redirect(url_for('login'))
return render_template('register.html', title='Register', form=form)
終於終於結束啦!!看看效果吧
