用户认证(一)

最新推荐文章于 2023-09-25 15:55:19 发布
最新推荐文章于 2023-09-25 15:55:19 发布
阅读量2.6k 收藏 3
点赞数
分类专栏: -----flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GeekLeee/article/details/52650609
版权

Flask的认证扩展

这里写图片描述

密码安全性

为了保证数据库用户密码的安全,数据库不储存密码本身,而要储存密码的散列值

使用Werkzeug实现密码散列

Werkzeug的security可以实现密码散列值的计算。
这里写图片描述
在User模型中加入密码散列的功能

from werkzeug.security import generate_password_hash, check_password_hash
###从Werkzeug的模块中导入两个函数
from . import db


class Role(db.Model):
    __tablename__ = 'roles'
    id = db.Column(db.Integer, primary_key=True)
    name = db.Column(db.String(64), unique=True)
    users = db.relationship('User',backref='role',lazy='dynamic')

    def __repr__(self):
        return '<Role %r>' % self.name


class User(db.Model):
    __tablename__ = 'users'
    id = db.Column(db.Integer, primary_key=True)
    username = db.Column(db.String(64),unique=True, index=True)
    role_id = db.Column(db.Integer, db.ForeignKey('roles.id'))
    password_hash = db.Column(db.String(128))
    ###加入password_hash属性

    @property
    def password(self):
        raise AttributeError('password is not a readable attribute')
    ###试图读取password属性,返回错误。

    @password.setter
    ###计算密码散列值的函数通过名为password的只写属性实现。
    def password(self,password):
        self.password_hash = generate_password_hash(password)
    ###设置password的属性时,赋值方法会调用Werkzeug提供的generate_password_hash()函数,并把结果赋值给password_hash字段。

    def verify_password(self, password):
        return check_password_hash(self.password_hash, password)
    ###verify_password方法接受一个参数(密码),将其传给Werkzeug提供的check_password_hash()函数,和储存在User模型中的密码散列值进行对比。密码正确返回True,密码错误返回False。

    def __repr__(self):
        return '<User %r>' % self.username

在shell中测试密码散列功能:

C:\Users\Geek Lee\Geek-Lee.github.io>venv\Scripts\activate

(venv) C:\Users\Geek Lee\Geek-Lee.github.io>python manage.py shell
>>> u = User()
>>> u.password = 'cat'
>>> u.password_hash
'pbkdf2:sha1:1000$0TXuXSpo$c4de7d85b42d3078480305dd8ea7c55b4dfc01d6'
>>> u.password
Traceback (most recent call last):
  File "<console>", line 1, in <module>
  File "C:\Users\Geek Lee\Geek-Lee.github.io\app\models.py", line 24, in passwor
d
    raise AttributeError('password is not a readable attribute')
AttributeError: password is not a readable attribute
>>> u.verify_password('cat')
True
>>> u.verify_password('dog')
False
>>> u2 = User()
>>> u2.password = 'cat'
>>> u2.password_hash
'pbkdf2:sha1:1000$LcSu5inU$df584e24bf63652db47306f7bfe2e1b1a555dae7'
###两个用户的密码一样,计算出的散列值也不一样
>>>

在test包中中实现密码散列化测试
test/test_user_model.py

import unittest
###引入unittest包
from app import create_app, db
from app.models import User


class UserModelTestCase(unittest.TestCase):
    def setUp(self):
        self.app = create_app('testing')
        ###创建个实例
        self.app_context = self.app.app_context()
        self.app_context.push()
        ###激活上下文
        db.create_all()
        ###产生数据库实例

    def tearDown(self):
        db.session.remove()
        ###删除会话
        db.drop_all()
        ###删除数据库表
        self.app_context.pop()
        ###删除上下文

    def test_password_setter(self):
    ###测试密码的设置
        u = User(password='cat')
        self.assertTrue(u.password_hash is not None)
        ###??????????????????????

    def test_no_password_getter(self):
    ###测试密码是否能提取
        u = User(password='cat')
        with self.assertRaises(AttributeError):
            u.password
        ###?????????????????????? 

    def test_password_verification(self): 
    ###测试是否具有认证密码的功能
        u = User(password='cat')
        self.assertTrue(u.verify_password('cat'))
        self.assertFalse(u.verify_password('dog'))
        ###??????????????????????

    def test_password_salts_are_random(self):
    ###测试不同用户的相同密码的散列值是否相同
        u = User(password='cat')
        u2 = User(password='cat')
        self.assertTrue(u.password_hash != u2.password_hash)
        ###???????????????????????

创建认证蓝本

创建蓝本
auth蓝本保存在app程序包的auth文件夹下(必须同名)
flasky/app/auth/_init_.py

from flask import Blueprint
###导入Blueprint

auth = Blueprint('auth', __name__)

from . import views
###蓝本的包构造文件创建蓝本对象,再从views.py模块引入路由

蓝本中的路由和视图函数
flasky/app/auth/views.py
app/auth/views.py模块引入蓝本,然后使用auth蓝本的修饰器定义与认证相关的路由。

from flask import render_template
from . import auth

@auth.route('/login')
def login():
    return render_template('auth/login.html')

模板文件
为这个render_template()指定的模板文件必须保存在app/templates中auth文件夹中,因为Flask寻找模板的路径是在templates文件夹下面找(相对路径)
app/templates/auth/login.html

{% extends "base.html" %}

{% block title %}Flasky - Login{% endblock %}

{% block page_content %}
<div class="page-header">
    <h1>Login</h1>
</div>
{% endblock %}

激活蓝本
flasky/app/_init_.py
auth蓝本要在create_app()工厂函数中附加到程序上

from flask import Flask
from flask_bootstrap import Bootstrap
from flask_mail import Mail
from flask_moment import Moment
from flask_sqlalchemy import SQLAlchemy
from config import config

bootstrap = Bootstrap()
mail = Mail()
moment = Moment()
db = SQLAlchemy()


def create_app(config_name):
    app = Flask(__name__)
    app.config.from_object(config[config_name])
    config[config_name].init_app(app)

    bootstrap.init_app(app)
    mail.init_app(app)
    moment.init_app(app)
    db.init_app(app)

    from .main import main as main_blueprint
    app.register_blueprint(main_blueprint)

    from .auth import auth as auth_blueprint
    app.register_blueprint(auth_blueprint, url_prefix='/auth')
    ###注册蓝本时使用url_prefix是可选参数,注册后蓝本中定义的所有路由都会加上指定的前缀,即这个例子中的/auth。
    ###/login路由会注册成/auth/login。
    return app
GeekLeee
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于Django用户认证系统详解
09-20
下面小编就为大家分享一篇基于Django用户认证系统详解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
用户认证概述
学习记录和总结
02-15 764
文章目录一、用户身份认证1.1 单一服务器模式1.2 SSO(Single Sign On)模式1.3 Token模式二、JWT令牌2.1 JWT 令牌说明2.2 JWT令牌的组成2.3 JWT 问题和趋势2.4 JWT 测试 一、用户身份认证 1.1 单一服务器模式 一般过程如下: 用户向服务器发送用户名和密码。 验证服务器后,相关数据(如用户名,用户角色等)将保存在当前会话(session)中。 服务器向用户返回 session_id,session 信息都会写入到用户的 Cookie。 用户的每个
做项目必须懂的三个概念 认证、会话、授权
传智燕青
09-30 1982
1 认证、授权、会话基础概念 什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证用户认证就是判断一个用户的身份...
java常见用户安全认证机制归纳
qq_35757427的博客
09-25 698
默认的,当我们关闭浏览器的时候,cookie会被删除。在身份鉴定的实现中,传统方法是在服务端存储一个session,给客户端返回一个cookie,而使用JWT之后,当用户使用它的认证信息登陆系统之后,会返回给用户一个JWT,用户只需要本地保存该token(通常使用local storage,也可以使用cookie)即可。secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。
二十九、实战演练之用户认证
Sean_0819的博客
03-18 625
身份验证是将传入请求与一组标识凭据(例如请求来自的用户或用于签名的令牌)相关联的机制。然后,和策略可以使用这些凭据来确定是否应该允许请求。
用户认证
qq_39249347的博客
02-05 2502
用户认证的概念 验证系统实体自己声称或第三方为其声称的身份的过程,包括两个步骤 向安全系统提供身份表示符 安全系统产生认证信息,来确定实体和标识符之间是否存在对于的关系 认证方法 个人所知道的信息:口令,用户身份标示码以及预先设定的问题的答案 个人所拥有的物品:电子钥匙,智能卡以及物理钥匙,这些被称为令牌 个人静态生理特征:指纹,虹膜以及人脸识别 个人动态生理特征:语音模式和笔记特征...
Django用户认证系统 组与权限解析
09-18
主要介绍了Django用户认证系统 组与权限解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
一个简单的用户认证程序
04-08
通过调用DLL实现用户认证。 function ChkUser(Server:String;conn:TADOConnection;DB:String;UNo:String;PWord:String):Boolean;stdcall;
用户登入认证程序.py
08-21
这个用户登入认证程序对于用户名没有进行过滤,搞开发的朋友可以自行依据自己的需求添加上一个逻辑判断再加上一个正则表达式。同时这个py文件中的accounts.db这个文件这里需要我们手动添加一些用户名,密码,以及...
python中JWT用户认证的实现
09-16
主要介绍了python中JWT用户认证的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringSecurity用户认证
m0_62787705的博客
06-06 676
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“认证”和“授权”,一般来说,Web 应用的安全性包括**用户认证(Authentication)和用户授权(Authorization)**两个部分,这两点也是 SpringSecurity 重要核心功能。
01-用户认证-用户认证流程分析
minihuabei的博客
08-17 854
1 用户认证 1.1 用户认证流程分析 用户认证流程如下: 业务流程说明如下: 1、客户端请求认证服务进行认证。 2、认证服务认证通过向浏览器cookie写入token(身份令牌) 认证服务请求用户中心查询用户信息。 认证服务请求Spring Security申请令牌。 认证服务将token(身份令牌)和jwt令牌存储至redis中。 认证服务向cookie写入 token(身份令牌)。 3、前端携带token请求认证服务获取jwt令牌 前端获取到jwt令牌并存储在sessionStorage。 前端从j
聊聊微服务架构中的用户认证方案!
独行侠梦的博客
04-27 455
今天来聊聊微服务中一个重要的话题:如何设计微服务架构下的用户认证方案。今天主要涉及三个方面的内容:传统的用户认证方案;JWT 与 JJWT;基于网关的统一用户认证。传统的用户认证方案我们直奔主题,什么是用户认证呢?对于大多数与用户相关的操作,软件系统首先要确认用户的身份,因此会提供一个用户登录功能。用户输入用户名、密码等信息,后台系统对其进行校验的操作就是用户认证用户认证的形式有多种,最常见的有...
【HCIA安全】用户认证
qq_40733491的博客
07-26 1933
Authentication(认证你是谁)-------->Authorization(授权你能做什么)--------->Accounting(审计你做了什么)1、Authentication认证的方式包括我知道用户所知道的信息(如密码、个人识别号PIN等)我拥有用户所拥有的信息(如令牌卡、智能卡或银行卡)我具有用户所具有的生物特征(如指纹、声音、视网膜、DNA等)2、Authorization授权包括用户能访问的资源用户能使用的命令用户角色包括。...
图解用户登录验证流程
m0_52217130的博客
01-29 470
通常我们token的过期时间是根据客户端的类型来定义的,app的过期时间会更长一些(通常一个星期),web端过期时间以小时为单位,如果控制过期时间可以将web登录和app登录拆分为两个接口(能够分流,接口压力更小),或者是根据请求头信息进行判断即可,是移动端就设置7天,是web端就设置两小时。我们在网关的配置文件中增加匿名接口规则,请求到网关时,检查请求的路径是否符合匿名接口规则,是则放行,不是则进行token校验,方案比较简单,只需要对网关进行处理即可。这时候我们需要在上面的验证流程图基础上进行升级。
用户认证方式
凉茶铺的博客
05-13 1382
1、用户认证分析 上面流程图描述了用户要操作的各个微服务,用户查看个人信息需要访问客户微服务,下单需要访问订单微服务,秒杀抢购商品需要访问秒杀微服务。每个服务都需要认证用户的身份,身份认证成功后,需要识别用户的角色然后授权访问对应的功能。 1.1、单点登录 用户访问的项目中,至少有3个微服务需要识别用户身份,如果用户访问每个微服务都登录一次就太麻烦了,为了提高用户的体验,我们需要实现让用户在一个系统中登录,其他任意受信任的系统都可以访问,这个功能就叫单点登录。 单点登录(Single Sign O.
用户认证和授权
qq_44322555的博客
04-12 8911
今天简单来介绍一下项目中的用户认证和授权是怎么做的,也是我之前作过的项目中所经历过的一个模块;今天来整理一下,分享一下经验共同来探讨改进这一部分; 先来介绍一下用户认证和授权所用到的技术点都有那些;这些是我做这个认证和授权时用到的技术点,可能有所欠缺 springSecurity+Oauth2、JWT、BCryptPasswordEncoder 1、概念说明: 什么是用户认证 用户身份认证就是用......
用户登录的验证方法
qq_46130027的博客
07-09 268
这是一个简单而直接的实现方式。这种方式通常涉及将用户密码进行哈希和加盐,然后将其与数据库中存储的哈希密码进行比较。但是,这种自定义实现可能会存在安全风险,例如密码哈希不正确、缺乏会话管理、不适当的密码策略等。在用户登录功能中,常见的实现方式包括使用身份验证框架(如Django的认证框架、Ruby on Rails的Devise、Spring Security等)或直接在数据库中比较用户名和密码。(Salting):指在密码哈希过程中引入一个随机的、唯一的字符串(盐),将其与密码进行组合后再进行哈希计算。
【计算机系统和网络安全技术】第三章:用户认证
ymx520haha的博客
02-24 433
信息系统对用户电子式地提交的身份建立信任的过程。认证方法:个人所知道的信息,个人所持有的物品,个人的生理特征,个人的行为特征。三个独立概念:置信等级,潜在影响,风险范围。
postman用户认证
最新发布
10-10
关于Postman用户认证,你可以使用以下几种方式进行认证: 1. 基本认证(Basic Authentication):这是一种在请求头中使用用户名和密码来进行认证的方法。你可以在Postman中选择"Authorization"标签,然后选择"Basic...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值