flask_login 设置session_protection='strong'

最新推荐文章于 2022-11-28 17:18:45 发布
最新推荐文章于 2022-11-28 17:18:45 发布
阅读量1.4k 收藏
点赞数
文章标签: flask_login
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hehekk/article/details/82559060
版权

使用flask_login扩展时,我们使用login_user() 将当前登陆用户设置为登陆,并保存,关闭浏览器再打开网页时,能自动加载用户。可是当session_protection=’strong’ 关闭浏览器后再次打开网页用户并没有被加载,而将session_protection设为basic或者不设置session_protection则不会出现这个问题。通过查看flask_login和flask中session部分的源码就知道为什么了。当我们使用login_user()时,需要传入当前登录的用户对象,如果想记住用户方便用户以后访问,可以传入参数remember=True 。在调用这个函数后,flask_login 会将一些信息存到session中,这些信息包括user_id _fresh _id ,请求完成后这些值就会被保存在用户的浏览器中,但是我们不在调用login_user后,设置session.permanent=True,那么刚才存在session 中的信息(即存储在浏览器中cookie的信息)在浏览器关闭后就会失效。无论是current_user 还是 装饰器login_require ,都会在从cookie加载用户时调用_load_user,而此时浏览器中已经没有session对应的cookie,我们看一下内部是如何处理的

    def _load_user(self):
        '''Loads user from session or remember_me cookie as applicable'''
        user_accessed.send(current_app._get_current_object())

        # first check SESSION_PROTECTION
        config = current_app.config
        if config.get('SESSION_PROTECTION', self.session_protection):
            deleted = self._session_protection()
            if deleted:
                return self.reload_user()

    def _session_protection(self):
        sess = session._get_current_object()
        ident = self._session_identifier_generator()

        app = current_app._get_current_object()
        mode = app.config.get('SESSION_PROTECTION', self.session_protection)

        # if the sess is empty, it's an anonymous user or just logged out
        # so we can skip this

        if sess and ident != sess.get('_id', None):
            if mode == 'basic' or sess.permanent:
                sess['_fresh'] = False
                session_protected.send(app)
                return False
            elif mode == 'strong':
                for k in SESSION_KEYS:
                    sess.pop(k, None)

                sess['remember'] = 'clear'
                session_protected.send(app)
                return True

        return False

由于我们设置了session_protection所以会执行self._session_protection(),在这个函数里如果sess存在并且 ident != sess.get(‘_id’, None) (这里可以确定sess肯定存在,并不是浏览器中没有session对应的cookie,sess就不存在。事实上,只要配置了secret_key 这里的sess就肯定不为空,这是flask 在push 上下文中就决定的) ,我们上面说过,浏览器中的session对应的cookie已经没有了,ident != sess.get(‘_id’, None)肯定为false (ident 是根路浏览器的user_agent和你的ip地址生成的字符串),继续往下执行,因为我们设置的是strong 所有,session 中的所有key都被pop出,也就是session现在为空,继续往回看,要执行return self.reload_user()

        ctx = _request_ctx_stack.top

        if user is None:
            user_id = session.get('user_id')
            if user_id is None:
                ctx.user = self.anonymous_user()
            else:
                if self.user_callback is None:
                    raise Exception(
                        "No user_loader has been installed for this "
                        "LoginManager. Refer to"
                        "https://flask-login.readthedocs.io/"
                        "en/latest/#how-it-works for more info.")
                user = self.user_callback(user_id)
                if user is None:
                    ctx.user = self.anonymous_user()
                else:
                    ctx.user = user
        else:
            ctx.user = user

首先看上下文中有没有用户,现在肯定没有,然后从session中取user_id ,前面已经都pop完了,肯定也没有,所有将上下文中的用户设置为匿名用户。这就解释了开头提到的现象。可见要想在strong模式下,使用remember功能,必须设置session.permanent=True。如果在调用login_user()时,传入了remember=True,你会发现不设置session.permanent=True ,它也不会丢失,这是因为flask_login 在保存remember时和我们上面提到的user_id _fresh _id 采取了不同的方法,后面几个值是直接存在flask中的session中,然后存到浏览器的cookie中,而remember虽然在开始时也是存在了session中,但是flask_login 定义了一个after_request函数,在请求结束后如果session中有remember,就pop出,然后直接使用set_cookie方法设置cookie ,并且如果你没有设置REMEMBER_COOKIE_DURATION,那么remember会默认一年有效。
我们再来看一下将session_protection分别设置为basic和strong 具体有哪些区别:在调用login_user()时,不设置session.permanent , mode=basic 在cookie中的session被篡改或者用户ip发生变化时 则会从设置在cookie中的remember_token 加载用户但会把用户标记为‘不新鲜’,但是strong模式,则会直接返回匿名用户。

    def _session_protection(self):
        sess = session._get_current_object()
        ident = self._session_identifier_generator()

        app = current_app._get_current_object()
        mode = app.config.get('SESSION_PROTECTION', self.session_protection)

        # if the sess is empty, it's an anonymous user or just logged out
        # so we can skip this

        if sess and ident != sess.get('_id', None):
            if mode == 'basic' or sess.permanent:
                sess['_fresh'] = False
                session_protected.send(app)
                return False
            elif mode == 'strong':
                for k in SESSION_KEYS:
                    sess.pop(k, None)

                sess['remember'] = 'clear'
                session_protected.send(app)
                return True

        return False
hehekk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Flask框架通过Flask_login实现用户登录功能示例
09-20
主要介绍了Flask框架通过Flask_login实现用户登录功能,结合实例形式较为详细的分析了flask框架使用Flask_login实现用户登陆功能的具体操作步骤、相关实现技巧与操作注意事项,需要的朋友可以参考下
flask_login_demo
08-08
flask用户登录demo
flasksession解读及flask_login登录过程研究
weixin_33758863的博客
09-07 299
    #!/usr/bin/env python # -*- coding: utf-8 -*- from itsdangerous import URLSafeTimedSerializer from flask.sessions import TaggedJSONSerializer import hashlib s=URLSafeTimedSerializer('some_random_...
Flask 用户信息新编辑,删除,新增
人生苦短,何妨一试
08-11 632
Flask 用户信息新编辑,删除,新增
flasksession研究和flask-loginsession研究
weixin_33692284的博客
08-24 242
1、httpie的安装:https://github.com/jakubroztocil/httpie#macos 2、http://python.jobbole.com/87450/ 3、http://cizixs.com/2017/03/08/flask-insight-session 4、https://liuliqiang.info/archive
Flask用户登录flask-login
zy_whynot的博客
05-09 590
flask-login登录的并保持状态: 1、登录:用户提交用户名和密码; 2、验证并建立会话:服务器验证密码,验证通过建立会话(使用session保存user_id),将session_id放到响应的cookie中; 3、再次登录:cookie会自动携带session_id,服务器根据session_id对应的session判断用户是否登录。 参考资料:用户登录 Flask-Login ...
flask框架的应用要点--对象字典化--flask-login--session机制
我可能只是个小白
02-27 636
任意对象字典化 在api接口中使用,精简代码 字典是可以迭代的,要使对象字典化,也要使对象能够迭代,可以采取鸭子类型,使用魔术方法__getitem__ 迭代获取到值。 怎么获取值呢? 任何字典的keys是直接暴露在外面的,只要知道keys就能够得到对应的values中。 通过提供的 getitem 方法,获取keys提供的键,去找到相应的值,使对象字典化 例子 class P: name = ...
flask_simplelogin:简单登录-Flask的登录扩展名-维护人员@cuducos
02-05
pip install flask_simplelogin from flask import Flaskfrom flask_simplelogin import SimpleLoginapp = Flask ( __name__ )SimpleLogin ( app )而已! 现在,您的应用程序中已有/login和/logout路由。 用户名...
flask_login
02-12
flask_login
Flask-Login详解
JackLiu16的博客
09-16 3008
关于Flask登录认证的详细过程请参见拙作<<使用Flask实现用户登陆认证的详细过程>>一文,而本文则偏重于详细介绍Flask-Login的原理,代码的解析。 首次登陆 我们首先来看一下首次登录验证的流程图: 首次登陆 Flask-Login在登录过程中主要负责: 将用户对象存入request context中 将用户ID,Session ID等信息存入S...
记一次《flask web 开发实战》flask-login学习(不完全的小整理)
人在江湖
02-22 3510
前景 先注明,本文章内容还未考证,今天刚碰到,只是学习的人家理论,下面的是出处 https://loli.la/2016/02/11/Flask-Login%E8%AE%B0%E4%BD%8F%E6%88%91/ https://windard.com/blog/2017/10/17/Flask-Session 下面的链接是剖析根源的讲的深一些,上面的还行。由于,web开发实战这本书,上面...
session登录
zhouzhou_98的博客
08-21 614
前端代码 <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>Insert title here</title> </head> <body> <fo
python的LoginManager的session_protection的含义
xuqiaobo的博客
06-27 1364
LoginManager 对象的session_protection 属性可以设为None、'basic' 或'strong',以提 供不同的安全等级防止用户会话遭篡改。设为'strong' 时,Flask-Login 会记录客户端IP 地址和浏览器的用户代理信息,如果发现异动就登出用户
Html5_sessionStrong和localStorage的灵活使用
weixin_30244889的博客
10-23 910
谈谈这两个属性sessionStrong和localStorage是Html5新增点属性,用来记录一些数据在浏览器。 两者的区别sessionStrong存储的数据是暂时的,浏览器关掉后,存储下来的数据就会被清除。 localStorage存储的数据是长期的,浏览器关掉后,存储下来的数据还是会保存在浏览器中。 具体存储下来的数据可以在浏览器的resources中找到。 有了这两个属性我们可...
利用sessionStrong浏览器缓存,实现详情页面返回列表页,列表页处于点击时的当前页面
qq_27309221的博客
05-29 418
问题: 这个问题的产生源于运营人员反馈过来的一个需求,因为本次做的网站的新闻中心有公告通知与新闻动态两个大类(标签页控制,同一个页面地址),运营人员在测试使用的时候发现一个问题,当列表处在其它页面并且点击进详情返回列表页时,新闻列表显示的是公告通知第一页的信息…… 解决方案: <p class="title" @click="goDetail(item.guid)">{{item.title}}</p> methods: { getData() { // ...获取数据
前端面试常问cookie、session、localStrorage、sessionStrorage区别以及应用场景
qq_39872626的博客
05-10 1340
一、cookie 保存方式:cookie保存在浏览器端 生命周期:如果不在浏览器中设置过期时间,cookie被保存在内存中,生命周期随浏览器的关闭而结束,这种cookie简称会话cookie。如果在浏览器中设置了cookie的过期时间,cookie被保存在硬盘中,关闭浏览器后,cookie数据仍然存在,直到过期时间结束才消失。 作用:用来跟踪浏览器用户身份的会话方式 版本:HTML4本地存储 存储的大小:单个cookie保存的数据不能超过4kb 应用场景: (1)判断用户是否登陆过网站,以便下次
Flask学习总结笔记(9) -- 利用Flask-Login维护用户登录状态
kikaylee的专栏
01-15 9445
HTTP 协议是无状态的,无法记录用户的访问状态,但是在Web应用中我们需要知道用户的状态,尤其是用户登录的状态,这样在页面跳转后,才知道用户是否有权限来操作页面上提供的功能或是查看页面上的数据。Flask-LoginFlask应用提供了用户session的管理机制,可以很好地帮我们维护和管理用户的登录状态。
Flask】一文详解 Flask-Login
书山有路,学海无涯。记录成长,追逐梦想
11-28 4600
Flask-LoginFlask 提供用户会话管理。它处理登录、注销和长时间记住用户会话等常见任务。Flask-Login 不绑定到任何特定的数据库系统或权限模型。唯一的要求是您的用户对象实现一些方法,并且您向能够从用户 ID 加载用户的扩展提供回调。
session的举例代码
最新发布
06-11
以下是一个简单的session举例代码,使用了Flask框架和Flask-Session扩展: ```python from flask import Flask, session app = Flask(__name__) app.secret_key = 'my_secret_key' # 设置secret_key,用于加密session数据 app.config['SESSION_TYPE'] = 'filesystem' # 设置session存储方式为文件系统 app.config['SESSION_FILE_DIR'] = './sessions' # 设置session文件存储目录 # 初始化session扩展 from flask_session import Session Session(app) @app.route('/') def index(): # 设置session数据 session['username'] = 'Alice' session['logged_in'] = True return 'Hello, world!' @app.route('/profile') def profile(): # 获取session数据 username = session.get('username') if username: return f'Welcome, {username}!' else: return 'Please login first.' if __name__ == '__main__': app.run() ``` 在这个代码中,我们使用了Flask-Session扩展来管理session。我们首先需要设置app的secret_key,用于加密session数据;然后设置session存储方式为文件系统,并指定session文件存储目录。在路由函数中,我们可以通过session字典来设置和获取session数据。在访问`/`路由时,我们设置了`username`和`logged_in`两个session数据;在访问`/profile`路由时,我们获取了`username`的值并返回欢迎消息。注意,我们在获取session数据时使用了`session.get()`方法,这样即使session中没有对应的数据,也不会抛出异常。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值