flask-login模块

Posted 2021-01-08 tsxh

flask-login为flask提供了用户会话管理。他处理了日常的登入，登出并且长时间记住用户的会话。

1.在会话中存储当前活跃的用户ID，让你能够自由地登入和登出。

2.让你限制登入或登出用户可以访问的视图。

3.处理让人棘手的记住我功能。

4.帮助你保护用户会话免遭cookie被盗的牵连。

5.可以与以后可能使用的flask-principal或其他认证扩展集成。

 

一、配置你的应用

对一个使用flask-login的应用最重要的一部分是loginmanager类。

login_manager = LoginManager()
login_manager.init_app(app)

二、他是如何工作的

必须提供一个user_loader回调。

@login_manager.user_loader
def load_user(userid):
    return User.get(userid)

接受一个用户的unicodeID作为参数，并且返回响应的用户对象。

如果ID无效的话，他应该返回none。

三、你的用户类

你用来标识用户的类需要实现这些属性和方法：

四个方法：

is_authenticated、is_active、is_anonymous、get_id

is_authenticated 当用户通过验证时，也即提供有效证明是返回true。

is_active 可以直接返回true。

is_anonymous 如果是匿名用户，返回true。真实用户返回False。

get_id 返回一个能唯一识别用户的，并能用于user_loader回调中加载用户的Unicode ID。

 

要简便的实现用户类，可以从UserMixin继承，他提供了对所有这些方法的默认实现。

 

四、login示例

一旦用户通过验证，使用login_user函数让用户登录。

@app.route(‘/login‘,methods=[‘GET‘,‘POST‘])
def login():
    form = LoginForm()
    if form.validate_on_submit():
        login_user(user)
        flask.flash(‘Logged in successfully.‘)

        next = flask.request.args.get(‘next‘)
        if not next_is_valid(next):
            return flask.abort(400)
        return flask.redirct(next or flask.url_for(‘index‘))
    return flask.render_template(‘login.html‘, form=form)

这里必须验证next参数，如果不验证，你的应用会收到重定向攻击。

 

需要用户登入的视图可以用login_required装饰器来装饰。

@app.route(‘/settings‘)
@login_required
def settings():
    pass

 

当用户需要登出时，使用logout_user方法。

@app.route(‘/logout‘)
@login_required
def logout():
    logout_user()
    return redirect(somewhere)

他们会被登出，且他们会话产生的任何cookie都会被清理干净。

 

五、定制登入过程

默认情况下，当未登录的用户尝试访问一个login_required装饰的视图，flask-login会闪现

一条消息并且重定向到登录视图。

如果未设置登录视图，他将会以401错误退出。

登录视图的名称可以设置成LoginManager.login_view。

login_manager.login_view = ‘users.login‘

 

默认的闪现消息是Please log in to access this page.

要自定义该信息，请设置login_message。

login_manager.login_message = u‘please log in‘

 

要自定义消息分类，请设置login_message_category。

login_manager.login_message_category = ‘info‘

 

当重定向到登入视图，他的请求字符串中会有一个next变量，其值为用户之前访问的页面。

 

六、使用request loader定制登录

有时你想要不使用cookies情况下登录用户，比如使用http头或者一个作为查询参数的api密钥。

这种情况下应该是用request_loader回调。

 

七、匿名用户

默认情况下，当一个用户没有真正的登录，current_user被设置成一个AnonymousUserMixin对象。

is_active is_authenticated的值为False

is_anonymous的值为true

get_id返回None

 

八、记住我

记住我的功能很难实现。但是flask-login几乎透明的实现它。

只要把remember=True传递给login_user。

一个cookie将会存储在用户计算机中，如果用户会话中没有用户ID的话，flask-login会自动地从cookie中恢复用户ID。

这里cookie是防篡改的。

该层功能是被自动实现的。

 

九、会话保护

当上述特性保护记住我令牌免遭cookie窃取时，会话cookie依然是脆弱的。

session_protection的值为basic或者strong。禁用时应设置为None。

默认时被激活为basic模式。

 

这里需要知道字符串或者数字如何转换为Unicode。非常重要。

计划在下一篇博客中讨论。