我已经用flask_login编写了Flask服务器。要登录用户,我使用login_user(user),并且我的网站的一个页面受@login_required保护。作为客户端,我使用Python请求包,即代码:
import requests
sess = requests.session()
sess.post("http://page.on/my/site", data={"login" : "login", "password" : "password"})
使用此身份验证一切正常,但之后我尝试访问受保护的页面:
r = sess.get("http://secure.page/on/the/site")
此请求收到Unauthorized。
验证后设置的cookie(现在我在localhost上有我的服务器):
<RequestsCookieJar[<Cookie session=.eJwdzjkSwjAMAMC_uE4h2dbhfCZjHR5oE1Ix_B2Gbst9l2OdeT3K_jrv3MrxjLKX5tqBGbq7MfmPiYi8aA7RAG8haZJoDZ0HrlSG6Oa1-yCqsaJNJlSVAQToNXsAt8UiFQBIbIa3bmYiarYyiEaNsUJjmlLZyn3l-c_Uzxf_2C6a.Cnf0yA.xIUSIFgcvjqwszrbwCA_D2Rqa5k for localhost.local/>]>
login_manager.session_protection = "strong"
如何解决此身份验证问题?
UPD:
该服务器的登录代码:
@api.route("/login/", methods=["POST"])
def handle_login_request():
login, password = str(request.form['login']).lower(), str(request.form['password'])
# Get and check user here
login_user(user)
# update user and get user_data
return jsonify(user_data)
安全路线:
@api.route("/users_of_group/")
@login_required
def get_user_of_users_group():
# code here never executes because of @login_required
api是烧瓶蓝图的名称
UPD2:
sess.get返回的页面内容:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<title>401 Unauthorized</title>
<h1>Unauthorized</h1>
<p>The server could not verify that you are authorized to access the URL requested. You either supplied the wrong credentials (e.g. a bad password), or your browser doesn't understand how to supply the credentials required.</p>
UPD3: 我试着用这个:
r = sess.get("http://secure.page/on/the/site", auth=("login", "password"))
在服务器上我可以看到,首先用户已成功登录,但服务器仍然会抛出401.
import requests
sess = requests.session()
login = sess.post("http://page.on/my/site", data={"login" : "login", "password" : "password"})
r = sess.get("http://secure.page/on/the/site", cookies=login.cookies)
同时登录用户然后抛出401。
UPD4:
问题似乎出现在login_user函数中,它不会将is_authenticated更改为True。我使用SQLAlchemy,这是我的用户类:
class User(db.Model):
user_id = db.Column(db.Integer, primary_key=True)
# Many required for my app fields
is_active = db.Column(db.Boolean, default=False)
is_authenticated = db.Column(db.Boolean, default=False)
is_anonymous = db.Column(db.Boolean, default=False)
is_online = db.Column(db.Boolean, default=False)
# Init function
def get_id(self):
return str(self.user_id)
user_loader:
@login_manager.user_loader
def load_user(user_id):
print(user_id, type(user_id))
user = User.query.filter_by(user_id=int(user_id)).first()
print(user.login, user.is_authenticated)
return user
ID已正确打印,其类型为str,查询工作正常,但我仍然出现Unauthenticated错误,并且在上一个print user.is_authenticated中为False。
UPD5:
实际上,即使我在user.is_authenticated之后拨打login_user,session.commit()之后的login_user也会显示为假。
答案 0 :(得分:0)
这似乎表现出您解释的行为:
from flask import Flask, request
from flask_login import LoginManager, UserMixin, login_user, login_required, \
current_user
app = Flask(__name__)
app.secret_key = 'This is totally a secret'
login_manager = LoginManager()
login_manager.init_app(app)
login_manager.session_protection = 'strong'
class User(UserMixin):
id = 42
@property
def is_authenticated(self):
print('{!r}'.format(self.id))
return self.id == 42
@login_manager.user_loader
def get_user(id):
user = User()
user.id = id
return user
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'POST':
user = User()
user.id = request.form.get('id', 42)
login_user(user)
else:
user = current_user
return 'Okay, logged in with id {}'.format(user.id)
@app.route('/')
@login_required
def main():
return 'Hey cool - your id {}'.format(current_user.id)
if __name__ == '__main__':
app.run(host='0.0.0.0', port=5001, debug=True)
此处需要注意的是,ID为'42',而不是42。显然,从会话中解码id并不够聪明,知道你的ID不是字符串。通过将我的功能更改为return str(self.id) == '42',它可以正常工作。我怀疑你的用户加载器或用户类中有类似的设置。
我怀疑 - 您的用户模型产生了错误的is_authenticated。当然,它很可能是完全你告诉它的。您只需修复经过身份验证的位即可。请注意,如果您从用户加载器返回None它将使用匿名用户 - 您可以在True方法中对is_authenticated进行硬编码,除非您尝试记录跨会话的用户。