python实现简单用户认证和角色制授权

最新推荐文章于 2023-11-26 13:39:34 发布
最新推荐文章于 2023-11-26 13:39:34 发布
阅读量454 收藏
点赞数
文章标签: python 数据库 开发工具
原文链接:http://www.cnblogs.com/kinthon/p/4943773.html
版权

实验目的

  1. 了解 BRAC 原理
  2. 基于 Tornado 框架,编写简单认证与授权程序

实验素材

  1. python 2.7.x 或 python 3.4.x
  2. tornado 4.2.x
  3. Sublime 或 Vim 或 Emacs 等编辑器,也可以使用 pyscript 或 pycharm 等集成环境(IDE)
  4. Tornado 官方 文档 ,参考中文 文档
  5. Tornado 自学 教程 ,作者的 博客
  6. curl 工具 官网
  7. mongodb & pymongo

任务 1:实现简单用户认证

  1. 阅读 自学教程 6.3 了解用户认证; 教程 4.1 和 4.2 了解 mongodb 使用。 也可以使用 tornado 推荐的方法引入数据库连接 RequestHandler.initialize
  2. 在 mongodb 中建立 user文档,必须包含 identity, alias name, password 三个属性。其中 password 的内容用 MD5 加密。
  3. 修改程序 cookies.py, 另存为 sample_auth.py , 该程序能够数据库实现用户认证。

注:教程上的缺陷:教程在 application 类中初始化了 mongodb 的连接,这等于默认应用运行于单线程之下。实战中, 建议每次使用前连接。 不用担心连接开销, 驱动一般内置 缓冲池 管理的。

任务 2:实现按角色授权

  1. 修改 sample_auth.py 为 auth.py 。 该程序支持 admins, users, vips, guests 四种角色。 匿名用户默认属于 guests, 登录用户默认 属于 users。
  2. auth.py 至少有四个页面,支持不同角色的服务。 请修改 mongodb ,加入合适的数据。
  3. 为了方便设置权限, 请实现装饰器 @roles(rolelist),例如, @role([‘vips’,’user’]) 表示vip和普通用户都可以访问的url, 其他用户转没有权限网页

任务1步骤如下:

  1. 了解教程中的用户认证方式;
  2. 学会如何向mongodb中添加数据和建立文档, 编写如下的python脚本将测试建立user文档并向其中输入一组测试数据 
    import hashlib
from pymongo import MongoClient

def createDB():
    client = MongoClient("127.0.0.1", 27017)
    db = client["privace"]
    user = db.user
    #md5
    m1 = hashlib.md5()
    m1.update("user")
    password = m1.hexdigest()
    user.insert({"identity":"user", "alias name": "user", "password": password})

def createAll():
    client = MongoClient("127.0.0.1", 27017)
    db = client["privace"]
    user = db.user
    user.remove();

if __name__ == '__main__':
    createAll()
    createDB()

    在终端中进行脚本运行并查看mongodb,如下:

  3. 修改教程所给代码如下 
    import tornado.httpserver
import tornado.ioloop
import tornado.web
import tornado.options
import os.path
import hashlib

from pymongo import MongoClient
from tornado.options import define, options
define("port", default=8000, help="run on the given port", type=int)


class BaseHandler(tornado.web.RequestHandler):
    def get_current_user(self):
        return self.get_secure_cookie("aliasName")

class LoginHandler(BaseHandler):
    def get(self):
        self.render("login.html")

    def post(self):
         #self.set_secure_cookie("username", self.get_argument("username"))
         identity = self.get_argument("identity")
         #aliasName = self.get_argument("alias")
         password = self.get_argument("password")
        #md5
        md5Password = hashlib.md5()
        md5Password.update(password)
        password = md5Password.hexdigest()
         print password
        client = MongoClient("127.0.0.1", 27017)
         self.db = client["privace"]
         userInfo = self.db.user
         user = userInfo.find_one({"identity": identity})
         print "user"+str(user)
         if user:
             if password == user["password"]:
                 self.set_secure_cookie("aliasName", user["alias name"]) #store the salias Name thrount cookie
                 #print self.aliasName
                 self.redirect("/")
             else:
                 self.redirect("/login")
         else:
             self.redirect("/login")

class WelcomeHandler(BaseHandler):
    @tornado.web.authenticated
    def get(self):
        self.render("index.html", user=self.current_user)

class LogoutHandler(BaseHandler):
     def get(self):
         if(self.get_argument("logout", None)):
             #self.clear_cookie("username")
             self.redirect("/")

if __name__ == '__main__':
    tornado.options.parse_command_line()

    settings = {
        "template_path": os.path.join(os.path.dirname(__file__), "templates"),
        "cookie_secret": "bZJc2sWbQLKos6GkHn/VB9oXwQt8S0R0kRvJ5/xJ89E=",
        "xsrf_cookies": True, #http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html ;event the attacker "get" the cookiet, but the xsrf_cookies is safe. the attacker cann't make the false request(form)
        "login_url":"/login"
    }

    application = tornado.web.Application([
        (r'/', WelcomeHandler),
        (r'/login', LoginHandler),
        (r'/logout', LogoutHandler)
        ], **settings)

    http_server = tornado.httpserver.HTTPServer(application)
    http_server.listen(options.port)
    tornado.ioloop.IOLoop.instance().start()

    在终端中输入命令"python sample_auth.py",启动服务器,此时便可以在浏览器中输入“localhost:8000/login”,并输入测试数据,就可以了。

  4. 这个实验主要是学会使用python 操作mongodb并体验下利用数据库和装饰器来进行用户认证

任务二:

  1. 首先要理解和编写装饰类,了解其中的原理:除了实验中所说的,还可以看看http://www.liaoxuefeng.com/wiki/001374738125095c955c1e6d8bb493182103fac9270762a000/001386819879946007bbf6ad052463ab18034f0254bf355000;主要是要明白装饰类是用来增强原先的函数的,更加本质上其实是修改了原本的函数指针,但没有改变它的运行上下文,也就是可以访问原先函数可以访问的,比如self,理解这个很重要,也正是因为这个原因,所以装饰器@tornado.web.authenticated才可以进行验证self.current_user是否存在。
  2. 根据实验需要编写如下的python脚本建立文档和导入测试数据 
    import hashlib
from pymongo import MongoClient

def createDB():
    client = MongoClient("127.0.0.1", 27017)
    db = client["privace"]
    role = db.role
    #md5
    m1 = hashlib.md5()
    m1.update("admin")
    password = m1.hexdigest()
    role.insert({"identity":"admin", "alias name": "admin", "password": password, "role": "admin"})

    m1 = hashlib.md5()
    m1.update("user")
    password = m1.hexdigest()
    role.insert({"identity":"user", "alias name": "user", "password": password, "role": "user"})
    
    m1 = hashlib.md5()
    m1.update("vip")
    password = m1.hexdigest()
    role.insert({"identity":"vip", "alias name": "vip", "password": password, "role": "vip"})


def createAll():
    client = MongoClient("127.0.0.1", 27017)
    db = client["privace"]
    role = db.role
    role.remove();

if __name__ == '__main__':
    createAll()
    createDB()

    同时也增加了如下的html文件(也位于templates中)

    <!--admin.html-->

<!DOCTYPE html>,{{ 
<html lang="en">

<head>
    <meta charset="UTF-8">
    <title>Welcome Back!</title>
</head>

<body>
<h1>Welcome back,{{ role }} &bull; {{ user }}</h1>
</body>

</html>
    View Code 
    <!--guest.html-->
<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <title>Welcome Back!</title>
</head>

<body>
    <h1>Welcome back, Guest</h1>
</body>

</html>
    View Code 
    <!--index.html-->
<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <title>Welcome Back!</title>
</head>

<body>
    <h1>Welcome back,{{ role }} &bull; {{ user }}</h1>
    <form action="/" method="POST">
    {% raw xsrf_form_html() %}
        <input type="radio", name="role", value="user"> User
        <br>
        <input type="radio", name="role", value="vip"> Vip
        <br>
        <input type="radio", name="role", value="admin"> Admin
        <br>
        <input type="submit" value="Log In"/>
    </form>
</body>

</html>
    View Code 
    <!--login.html-->
<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <title>Plase Log In</title>
</head>

<body>
    <form action="/login" method="POST">
        {% raw xsrf_form_html() %}
        identity: <input type="text" name="identity"/>
        <br/>
        password: <input type="text" name="password"/>
        <br/>
        guest:      <input type="checkbox" name="guest" value="guest"/>Guest
        <br/>
        <input type="submit" value="Log In"/>
    </form>
</body>

</html>
    View Code 
    <!--permission.html-->
<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <title>Welcome Back!</title>
</head>

<body>
    <h1>Permission denied</h1>
</body>

</html>
    View Code 
    <!--user.html-->
<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <title>Welcome Back!</title>
</head>

<body>
<h1>Welcome back,{{ role }} &bull; {{ user }}</h1>
</body>

</html>
    View Code 
    <!--vip.html-->
<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <title>Welcome Back!</title>
</head>

<body>
<h1>Welcome back,{{ role }} &bull; {{ user }}</h1>
</body>

</html>
    View Code

    虽然里面几个文件的内容都是一样的,但只是为了方便,实验中主要是为了进行测试,不同的角色能够访问的网页是不同的。

  3. import tornado.httpserver
import tornado.ioloop
import tornado.web
import tornado.options
import os.path
import hashlib
import functools

from pymongo import MongoClient
from tornado.options import define, options
define("port", default=8000, help="run on the given port", type=int)


def role(roleList):
    def decorator(func):
        @functools.wraps(func)
        def wrapper(self, *args, **kw):
            identify = self.current_user
            client = MongoClient()
            db = client["privace"]
            roleSet = db.role
            person = roleSet.find_one({"identity": identify})
            role = person["role"]
            if role in roleList:
                func(self)
            else:
                self.redirect("/permission")
        return wrapper
    return decorator

                    

class BaseHandler(tornado.web.RequestHandler):
    def get_current_user(self):
        return self.get_secure_cookie("identity")
#use self to get the identify and get the role

class LoginHandler(BaseHandler):
    def get(self):
        self.render("login.html")

    def post(self):
        guest = self.get_argument("guest", None);
        if guest != None:
            self.redirect("/guest")
            return
        #self.set_secure_cookie("username", self.get_argument("username"))
        identity = self.get_argument("identity")
        #aliasName = self.get_argument("alias")
        password = self.get_argument("password")
        #md5
        md5Password = hashlib.md5()
        md5Password.update(password)
        password = md5Password.hexdigest()
        client = MongoClient()
        self.db = client["privace"]
        role = self.db.role
        person = role.find_one({"identity": identity})
        if person:
            if password == person["password"]:
                self.set_secure_cookie("identity", person["identity"]) #store the salias Name thrount cookie
                self.redirect("/")
            else:
                self.redirect("/login")
        else:
            self.redirect("/login")

#only not for guest
class WelcomeHandler(BaseHandler):
    @tornado.web.authenticated
    def get(self):
        client = MongoClient()
        self.db = client["privace"]
        role = self.db.role
        person=role.find_one({"identity": self.current_user})
        self.render("index.html", user=self.current_user, role=person["role"])

    def post(self):
        choice = self.get_argument("role");
        print choice
        if choice == "user":
            self.redirect("/user")
        elif choice == "vip":
            self.redirect("/vip")
        elif choice == "admin":
            self.redirect("/admin")
        else:
            pass

class WelcomeUserHandler(BaseHandler):
    @tornado.web.authenticated
    @role(['admin', 'vip', 'user'])
    def get(self):
        client = MongoClient()
        self.db = client["privace"]
        roleInfo = self.db.role
        person = roleInfo.find_one({"identity": self.current_user})
        self.render("user.html", user=self.current_user, role=person["role"])



class WelcomeAdminHandler(BaseHandler):
    @tornado.web.authenticated
    @role(['admin'])
    def get(self):
        client = MongoClient()
        self.db = client["privace"]
        roleInfo = self.db.role
        person = roleInfo.find_one({"identity": self.current_user})
        self.render("admin.html", user=self.current_user, role=person["role"])

class WelcomeVipHandler(BaseHandler):
    @tornado.web.authenticated
    @role(['vip'])
    def get(self):
        client = MongoClient()
        self.db = client["privace"]
        roleInfo = self.db.role
        person = roleInfo.find_one({"identity": self.current_user})
        self.render("vip.html", user=self.current_user, role=person["role"])

class WelcomeGuestHandler(BaseHandler):
    @role(['guest'])
    def get(self):
        self.render("guest.html")

class LogoutHandler(BaseHandler):
     def get(self):
         if(self.get_argument("logout", None)):
             self.clear_cookie("username")
             self.redirect("/")

class PermissionHandler(BaseHandler):
    def get(self):
        self.render("permission.html")


if __name__ == '__main__':
    tornado.options.parse_command_line()

    settings = {
        "template_path": os.path.join(os.path.dirname(__file__), "templates"),
        "cookie_secret": "bZJc2sWbQLKos6GkHn/VB9oXwQt8S0R0kRvJ5/xJ89E=",
        "xsrf_cookies": True, #http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html ;event the attacker "get" the cookiet, but the xsrf_cookies is safe. the attacker cann't make the false request(form)
        "login_url":"/login"
    }

    application = tornado.web.Application([
        (r'/', WelcomeHandler),
        (r'/user', WelcomeUserHandler),
        (r'/admin', WelcomeAdminHandler),
        (r'/vip', WelcomeVipHandler),
        (r'/guest', WelcomeGuestHandler),
        (r'/login', LoginHandler),
        (r'/logout', LogoutHandler),
        (r'/permission', PermissionHandler)
        ], **settings)

    http_server = tornado.httpserver.HTTPServer(application)
    http_server.listen(options.port)
    tornado.ioloop.IOLoop.instance().start()
    View Code

    以上是程序运行的程序,@role装饰类主要是用于根据访问者的角色判断其是否可以进行访问当前的网页。大体的测试思路是:

    • 运行程序 createDB.py建立文档

    • 运行程序 python auth.py
    • 访问localhost:8000/login,选择输入用户信息或者是匿名登录
    • 进入相应的主页,若不是匿名登录会统一来到index.html的主页,通过在这个主页中选择相应的网页,如果角色符合就可以进行访问,否则会被拒绝

附加:关于cookie的,当客户端第一次登录网页并填写信息时,服务器会产生一个cookie(也就是程序中的set_security_cookie),而且在这个cookie会连同响应报文一起发给客户端;之后客户端再登录时,就可以通过这个cookie直接通过@tornado.web.authenticated的认证,所以就可以直接进入到只有一定权限才能访问的网页了。比如我们一开始没有cookie时,是访问不了localhost:8000/(这个只有登录的非匿名用户才可以访问),但是我们第一次登录后,获取cookie并在这个cookie的有效期内我们就可以不用再登录(输入用户名和密码)而直接进入localhost:8000/了。

 

转载于:https://www.cnblogs.com/kinthon/p/4943773.html

ddso40922
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python Flask学习_用户角色用户权限
bird333的博客
07-04 1万+
在Web App中 ,存在和游客(匿名用户),普通用户,协管员,管理员等不同的角色,应当为不同的角色赋予不同的权限。各个用户只能在权限范围内访问页面、进行操作等。通过一个例子来说明。本例中的用户分为4中:游客、普通用户、协管员、管理员。不同的用户有着不同的权限。一、在数据库中表示不同的角色权限有这么几种:操作的权限使用8位二进数表示,现在只用了5位,剩余的可以以后用来扩展。权限的叠加是按位与运算...
python实现用户画像
08-30
利用python相关技术搭建的用户画像web轻量级应用
python--用户认证登录实现
weixin_30296405的博客
02-02 102
# _*_ coding: cp936 _*_ //支持中文格式 import sys import getpass #admin configuration username='cheeron' password='1234' counter = 0 #认证登录 while True: if counter <3: name = ra...
Python--用户登录认证
月夜的博客
01-24 2364
Python用户登录认证 任务描述:写一个用户认证程序,有三组用户名和密码,每当任意一个用户密码输入错误三次则对该用户进行限,禁止登陆 分析: userPsw存储用户账号密码 userCnt存储用户登录错误次数 JUDGE为禁止登录的用户个数 一个大循环,当有用户拥有登录权限时就持续,当JUDGE=3时整个程序退出 代码 ...
python的Web框架,auth权限系统
weixin_30922589的博客
03-21 747
使用django默认权限系统实现用户登录退出 判断用户是否登录 request.user.is_authenticated 返回的为bool值 一个简单的登录视图范式: 1 # 导包 2 from django.contrib.auth import login, logout, authenticate 3 4 def loginview...
基于Java和Python实现简单的CA认证系统.zip
06-13
证书生成:用户提供 Certificate Signing Request (CSR)和 公钥后,系统会自动为用户生成证书并通过邮箱发放,支持 用于 SSL 和代码签名的两类证书。 证书吊销:用户发起证书吊销请求后,系统会为其更新 ...
python中JWT用户认证实现
09-16
主要介绍了python中JWT用户认证实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
python实现部门和用户管理网站
最新发布
04-01
python实现部门和用户管理网站,django,数据库为sql
微信小程序python用户认证实现
09-18
主要介绍了微信小程序python用户认证实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
基于Python实现的SKey身份认证协议.zip
06-12
语言:Python 3.9 IDE:Pycharm 实现的功能 1.S/Key协议身份认证 2.用户登录日志记录 本项目中S/Key协议认证过程 1.客户端连接服务器,提示用户输入用户名,将输入的用户名发送到服务器 2.服务器在用户信息字典中...
Python-Flask的授权工具
08-10
Flask-Allows是一个受django-rest-framework的权限系统和rest_condition将简单的需求组合成更为复杂的系统的能力的Flask鉴权工具。
yosai:用于Python应用程序的安全框架,具有授权(rbac权限和角色),身份验证(2fa totp),会话管理和广泛的审核跟踪
02-05
Python应用程序的安全框架 项目网站:http: 什么是彩斋 Yosai是一个“安全框架”,具有通过常见的直观API进行身份验证,授权和会话管理的功能。 Yosai基于Apache Shiro(用Java编写,如今已广泛使用)。 Yosai是一个框架 它是一个设计框架,可用于保护各种python应用程序,而不仅仅是Web应用程序。 这是通过将与安全性相关的服务与应用程序的其余部分完全分离,并为每种特定类型的客户端编写适配器来实现的。 主要特点 通过权限级别和角色级别的访问控启用基于角色的访问控策略 两要素身份验证,具有基于时间的一次性密码 缓存和序列化的本机支持 完整的事件审计线
python学习笔记 day45 python实现用户权限管理
weixin_30520015的博客
11-19 896
1. 需求 要求使用python实现某个用户登录成功后,查看自己所有的权限; 思路:创建权限表(都有哪些权限) 用户表(每个用户用户名密码以及所拥有的权限 用户-权限关系表(存储用户和所拥有权限的对应关系) 2. 创建表 -- 创建权限表 create table authorization( id smallint not null auto_increment pr...
python token 访问控_一个简单用户登录与访问权限控设计
weixin_34553415的博客
01-14 518
本文信息本文创建于2018/03/222018/10/30 文章更名为 一个简单用户登录与访问权限控设计前述系统用户分为管理员用户、普通用户管理员用户有且唯一系统初始状态不存咋任何用户,首次使用需创建用户(admin)前端界面显示控用户管理模块根据本地credentials判断是否为管理员用户 => 显示/不显示用户管理模块导航栏模块功能页面显示导航栏;welcome/login不显示...
Python编写一个学生管理系统 python 1.学生成绩管理系统分为三个用户角色,登录界面可以选择三种不同的角色进行登录系统 2.管理员角色登录系统可以有以下功能: 管理考试信息:可以对考试批次
酸奶公园
11-26 388
管理学生信息:可以对学生个人信息进行增删改查操作,包括教师的姓名/所属班级/生日/性别/登录密码/家庭住址身份证等信息。学生查看成绩:可以查看学生的成绩,包含班级,考试批次,姓名成绩等属性,也可以按照考试批次快速检索学生信息。教师录入成绩:可以录入学生的成绩:包含学生的所属班级,考试批次,姓名,科目,成绩,可以编辑删除操作。查看学生成绩:可以查看学生的所属班级,考试批次,姓名,科目,成绩信息。学生个人信息:可以查看自己的个人信息,可以编辑自己的信息。管理专业信息:可以添加专业,也可以从编辑删除操作。
史上最全面的python学生管理系统教程(三)
悟叭鸽
01-14 1万+
目录 序言 注册与登录 了解pythontkinter库的使用 登录界面布局 构思 图片来源 细节处理 注册窗口 构思 细节处理 注册与登录整体代码 史上最全面的python学生管理系统教程(一) 史上最全面的python学生管理系统教程(二) 序言 这篇将开始软件中学生页面的开发过程,将分为以下几个板块:注册与登录,查看个人成绩,获得当前登录帐号,修改个人...
PyMongo使用入门(三)
极客神殿
09-05 2533
数据库执行代码如下:from pymongo import MongoClientclient = MongoClient('localhost') client.admin.command('copydb', fromdb='Game', todb='GameCopy')#从不同的MongoDB
python连接mongodb并进行用户验证
热门推荐
permike的专栏
06-24 1万+
mongodb安装之后默认是没有用户和密码的,可以容易的接入,但是真实使用中肯定不会是这样的,需要有用户验证,研究了好久,记录一下: 1 mongo shell 添加用户: >> use admin; >> db.createUser({ user:'username', pwd:'pwd', roles:[{role:'readWrite',db:'dynamo'}] })
mongodb用户授权管理
crynono的博客
03-14 1263
主要摘自官方文档:请参考https://docs.mongodb.com/manual/reference/built-in-roles/index.htmlMongoDB provides the built-in database user and database administration roles on every database. MongoDB provides all oth...
python基于角色的访问控
07-13
Django框架也提供了一套完善的认证授权,通过使用内置的用户和组(角色)模型,可以实现基于角色的访问控。可以为每个组分配不同的权限,并在系统中根据用户所属的组来判断他们的访问权限。 无论是使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值