上一篇讲的是用flask-wtf这个库实现csrf防护
https://blog.csdn.net/he93007/article/details/79980956
这篇讲一下手动实现.
按业务流程来讲
1 用户发起了登录请求
{username:xxxx,passwd:xxxx}
2 后端查询数据库 用户名密码是否正确,是否存在用户
3 存在用户且密码正确,我们则需要返回一个token.
查数据库or缓存查看token(我们这里只生成一次,所以查看token,你也可以每次都生成新的)
有token返回它.,
如果已经过期或者没有token.
则生成一个新的token
python 有 uuid模块
import uuid
# 方法指定一个32个字符构成的字符串来创建一个UUID对象
token=uuid.uuid1().hex
4 保存token,一般来说保存在mysql/postgresql 的用户表里的token字段就可以了,为了高并发你也可以保存在
redis(缓存还能设置有效期) 比如 token_userid_123: xxxxxx
5 前端收到token
{code:200,msg:'登录成功',token:'xxxxxxx'}
6 前端保存这个token
html5标准中一个亮点就是提供了浏览器本地存储的功能.除了cookie
我们还可以存在localStorage里面.并且有浏览器的同源策略的保护.
7 登录状态实现
前端访问需要登录的api时,可以先访问浏览器localStorage,获取token
将token放入请求中
{token:'xxxxx',adb:'abc',xyz:'xyz'}
8 后端api验证----需要登录的api
获取到前端的token.查询缓存or数据库.同时还能查询出用户信息.进行后续操作.