我正在使用Flask-Login并试图了解它是如何工作的。如果我理解正确的文档,我应该创建一个包含四个方法的用户类,is_authenticated,is_active,is_anonymous和get_id。我真的不明白在那之后应该做些什么。有一个函数,login_user(用户),我理解它将采用我尚未经过身份验证的用户的实例并对其进行身份验证,但是当我的用户类没有任何设置方法时,它是如何工作的?
以下是一些代码:
class User:
isAuth = False
isActive = False
isAnon = True
id = unicode(0)
def __init__(self, isAuth, isActive, isAnon, id):
self.isAuth = isAuth
self.isActive = isActive
self.isAnon = isAnon
self.id = id
def is_authenticated(self):
return isAuth
def is_active(self):
return isActive
def is_anonymous(self):
return isAnon
def get_id(self):
return id
以下是我对如何使用authomatic和Flask-Login对用户进行身份验证的猜测:
@app.route('/login/<provider_name>/', methods=['GET', 'POST'])
def login(provider_name):
response = make_response()
result = authomatic.login(WerkzeugAdapter(request, response), provider_name)
user = User()
if result:
if result.user:
result.user.update()
login_user(user)
return render_template('login.html', result=result)
return response
我错过了什么?
编辑,这是user_loader:
@lm.user_loader
def load_user(userid):
return User.get(userid)
我也有这个:
lm = LoginManager()
lm.init_app(app)
答案 0 :(得分:1)
确定用户模型时,必须实施这四种方法(Flask-Login的工作方式)。但是,除非您需要一些自定义行为,否则您不必自己定义它们。 Flask-Login为您提供 UserMixin 类。您所要做的就是为您的用户模型创建子类,UserMixin将为您提供所有四种默认行为方法。例如:
from flask.ext.login import UserMixin
class User(UserMixin, Model):
# your user model definition
在您的用户模型中,您可以覆盖这四种方法中的任何一种以满足您的需求。 另外,请参阅&#34;您的用户类&#34;的底部。部分供进一步参考: https://flask-login.readthedocs.org/en/latest/#your-user-class
要获取用户数据,您应该使用表单。你把它放进去的方式,用户必须将他/她的直接数据输入到URL中(我猜测的是 / login?username = yourusername&amp; password = youruserpassword ),这些不是&#39安全,通常被认为是一种不好的做法。
相反,您应该使用表单供您的用户输入其登录数据.WTForms和Flask-WTF扩展为您提供了轻松创建表单的方法。例如:
from flask_wtf import Form
from wtforms import StringField, PasswordField, SubmitField
from wtforms.validators import Required
class LoginForm(Form):
username = StringField('Your username', validators=[Required()])
password = PasswordField('Your password', validators=[Required()])
submit = SubmitField('Sign In')
供进一步参考: https://wtforms.readthedocs.org/en/latest/和 https://flask-wtf.readthedocs.org/en/latest/
之后,您的视图应该只捕获表单数据,检查数据库中是否存在提供数据的用户,以及提供的密码是否与存储在数据库中的密码相匹配。这就是您的观点所希望的:
@app.route('/login', methods=['GET', 'POST'])
def login():
form = LoginForm()
# on POST check if the submitted form is valid
if form.validate_on_submit():
# get user from database
user = User.query.filter_by(username=form.username.data).first()
#check if the user exists and if he/she provided correct password
if user is not None and user.password == form.password.data:
# if everything checks out, call the login function
login(user)
# redirecting after form submission is also considered good practice
redirect(url_for('somewhere'))
# if user is not found or he/she provided wrong password, inform them
flash('Invalid username and/or password')
# on GET, just render the template with login form
return render_template('login.html', form=form)
作为旁注,这个视图假设你以明文形式存储密码,这是一个坏主意,正如有人指出的那样。我这样做只是为了演示登录功能。
此外,如果您想知道如何定义模型以及如何从数据库查询数据,请参阅Flask-SQLAlchemy https://pythonhosted.org/Flask-SQLAlchemy/和SQLAlchemy http://www.sqlalchemy.org/
答案 1 :(得分:0)
请记住,永远不要将纯文本密码存储在数据库中以进行用户身份验证。
你还被困吗?如果你需要我,我就在这里:)