Flask 用户认证与授权详细教程(第五阶段)

于 2024-08-07 23:52:22 发布
阅读量1k 收藏 11
点赞数 10
分类专栏: Falsk 文章标签: flask python 后端 经验分享 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54490473/article/details/140783408
版权

目录

Flask 用户认证与授权详细教程

在现代Web开发中,用户身份验证和授权是非常重要的要素。这篇教程将会指导你如何使用 Flask 中的 Flask-Login 库来实现用户注册、登录、登出功能,以及如何使用 Flask-Principal 或其他 RBAC(基于角色的访问控制)解决方案来管理用户权限。

一、用户认证

1.1 安装 Flask-Login

在开始之前,我们需要安装 Flask-Login。在命令行中执行以下命令:

pip install Flask-Login

1.2 创建基本的 Flask 应用

首先,创建一个基本的 Flask 应用并配置数据库连接:

import os
from flask import Flask, render_template, redirect, url_for, flash, request
from flask_sqlalchemy import SQLAlchemy
from flask_login import LoginManager, UserMixin, login_user, login_required, logout_user, current_user

app = Flask(__name__)
app.secret_key = os.urandom(24)  # 设置随机密钥
app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:///users.db'
app.config['SQLALCHEMY_TRACK_MODIFICATIONS'] = False
db = SQLAlchemy(app)
login_manager = LoginManager(app)
login_manager.login_view = 'login'  # 登录视图

1.3 创建用户模型

创建一个用户模型来存储用户数据。

class User(db.Model, UserMixin):
    id = db.Column(db.Integer, primary_key=True)
    username = db.Column(db.String(80), unique=True, nullable=False)
    password = db.Column(db.String(200), nullable=False)

    def __repr__(self):
        return f'<User {self.username}>'

1.4 创建数据库

在应用启动时创建数据库。这可以在其他地方执行,例如在命令行交互中。

with app.app_context():
    db.create_all()

1.5 加载用户回调

实现用户加载回调功能,Flask-Login 会通过用户 ID 加载用户对象。

@login_manager.user_loader
def load_user(user_id):
    return User.query.get(int(user_id))

1.6 用户注册

实现用户注册功能:

@app.route('/register', methods=['GET', 'POST'])
def register():
    if request.method == 'POST':
        username = request.form['username']
        password = request.form['password']
        new_user = User(username=username, password=password)
        db.session.add(new_user)
        db.session.commit()
        flash('User registered successfully!')
        return redirect(url_for('login'))
    return render_template('register.html')

创建 register.html 模板:

<!doctype html>
<html>
<head>
    <title>Register</title>
</head>
<body>
    <h1>Register</h1>
    <form method="POST">
        <label for="username">Username:</label>
        <input type="text" name="username" required>
        <br>
        <label for="password">Password:</label>
        <input type="password" name="password" required>
        <br>
        <input type="submit" value="Register">
    </form>
</body>
</html>

1.7 用户登录

实现用户登录功能:

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'POST':
        username = request.form['username']
        password = request.form['password']
        user = User.query.filter_by(username=username).first()
        if user and user.password == password:
            login_user(user)
            return redirect(url_for('profile'))
        flash('Invalid username or password')
    return render_template('login.html')

创建 login.html 模板:

<!doctype html>
<html>
<head>
    <title>Login</title>
</head>
<body>
    <h1>Login</h1>
    <form method="POST">
        <label for="username">Username:</label>
        <input type="text" name="username" required>
        <br>
        <label for="password">Password:</label>
        <input type="password" name="password" required>
        <br>
        <input type="submit" value="Login">
    </form>
</body>
</html>

1.8 用户个人资料

创建用户个人资料页面,只有已登录用户可以访问:

@app.route('/profile')
@login_required
def profile():
    return f'Hello, {current_user.username}! <a href="/logout">Logout</a>'

1.9 用户登出

实现用户登出功能:

@app.route('/logout')
@login_required
def logout():
    logout_user()
    return redirect(url_for('login'))

1.10 完整代码示例

以下是整合所有代码的完整示例:

import os
from flask import Flask, request, redirect, url_for, render_template, flash
from flask_sqlalchemy import SQLAlchemy
from flask_login import LoginManager, UserMixin, login_user, login_required, logout_user, current_user

app = Flask(__name__)
app.secret_key = os.urandom(24)
app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:///users.db'
app.config['SQLALCHEMY_TRACK_MODIFICATIONS'] = False
db = SQLAlchemy(app)
login_manager = LoginManager(app)
login_manager.login_view = 'login'

class User(db.Model, UserMixin):
    id = db.Column(db.Integer, primary_key=True)
    username = db.Column(db.String(80), unique=True, nullable=False)
    password = db.Column(db.String(200), nullable=False)

    def __repr__(self):
        return f'<User {self.username}>'

@login_manager.user_loader
def load_user(user_id):
    return User.query.get(int(user_id))

@app.route('/register', methods=['GET', 'POST'])
def register():
    if request.method == 'POST':
        username = request.form['username']
        password = request.form['password']
        new_user = User(username=username, password=password)
        db.session.add(new_user)
        db.session.commit()
        flash('User registered successfully!')
        return redirect(url_for('login'))
    return render_template('register.html')

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'POST':
        username = request.form['username']
        password = request.form['password']
        user = User.query.filter_by(username=username).first()
        if user and user.password == password:
            login_user(user)
            return redirect(url_for('profile'))
        flash('Invalid username or password')
    return render_template('login.html')

@app.route('/profile')
@login_required
def profile():
    return f'Hello, {current_user.username}! <a href="/logout">Logout</a>'

@app.route('/logout')
@login_required
def logout():
    logout_user()
    return redirect(url_for('login'))

if __name__ == '__main__':
    with app.app_context():
        db.create_all()  # 创建数据库表
    app.run(debug=True)

二、用户权限管理

2.1 安装 Flask-Principal

接下来,我们将使用 Flask-Principal 来实现基于角色的权限控制。首先安装 Flask-Principal:

pip install Flask-Principal

2.2 配置权限

在应用中配置 Flask-Principal

from flask_principal import Principal, Permission, RoleNeed

# 初始化 Flask-Principal
principals = Principal(app)

# 定义角色权限
admin_permission = Permission(RoleNeed('admin'))
editor_permission = Permission(RoleNeed('editor'))

2.3 扩展用户模型

在用户模型中,加入角色属性:

class User(db.Model, UserMixin):
    id = db.Column(db.Integer, primary_key=True)
    username = db.Column(db.String(80), unique=True, nullable=False)
    password = db.Column(db.String(200), nullable=False)
    roles = db.Column(db.String(200), default='user')  # 角色字段

    def has_role(self, role):
        return role in self.roles.split(',')

2.4角色分配

在用户注册或通过管理面板创建用户时可以分配角色:

def register_user(username, password, roles='user'):
    new_user = User(username=username, password=password, roles=roles)
    db.session.add(new_user)
    db.session.commit()

2.5 权限检查

在需要控制权限的视图函数前进行权限检查:

@app.route('/admin')
@login_required
@admin_permission.require(http_exception=403)
def admin_panel():
    return 'Welcome to the admin panel!'

@app.route('/editor')
@login_required
@editor_permission.require(http_exception=403)
def editor_panel():
    return 'Welcome to the editor panel!'

2.6 完整示例整合

将权限控制整合到完整示例中:

import os
from flask import Flask, request, redirect, url_for, render_template, flash
from flask_sqlalchemy import SQLAlchemy
from flask_login import LoginManager, UserMixin, login_user, login_required, logout_user, current_user
from flask_principal import Principal, Permission, RoleNeed

app = Flask(__name__)
app.secret_key = os.urandom(24)
app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:///users.db'
app.config['SQLALCHEMY_TRACK_MODIFICATIONS'] = False
db = SQLAlchemy(app)
login_manager = LoginManager(app)
login_manager.login_view = 'login'
principals = Principal(app)

admin_permission = Permission(RoleNeed('admin'))
editor_permission = Permission(RoleNeed('editor'))

class User(db.Model, UserMixin):
    id = db.Column(db.Integer, primary_key=True)
    username = db.Column(db.String(80), unique=True, nullable=False)
    password = db.Column(db.String(200), nullable=False)
    roles = db.Column(db.String(200), default='user')

    def has_role(self, role):
        return role in self.roles.split(',')

@login_manager.user_loader
def load_user(user_id):
    return User.query.get(int(user_id))

@app.route('/register', methods=['GET', 'POST'])
def register():
    if request.method == 'POST':
        username = request.form['username']
        password = request.form['password']
        roles = request.form.get('roles', 'user')  # 默认用户角色
        new_user = User(username=username, password=password, roles=roles)
        db.session.add(new_user)
        db.session.commit()
        flash('User registered successfully!')
        return redirect(url_for('login'))
    return render_template('register.html')

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'POST':
        username = request.form['username']
        password = request.form['password']
        user = User.query.filter_by(username=username).first()
        if user and user.password == password:
            login_user(user)
            return redirect(url_for('profile'))
        flash('Invalid username or password')
    return render_template('login.html')

@app.route('/profile')
@login_required
def profile():
    return f'Hello, {current_user.username}! <a href="/logout">Logout</a>'

@app.route('/admin')
@login_required
@admin_permission.require(http_exception=403)
def admin_panel():
    return 'Welcome to the admin panel!'

@app.route('/editor')
@login_required
@editor_permission.require(http_exception=403)
def editor_panel():
    return 'Welcome to the editor panel!'

@app.route('/logout')
@login_required
def logout():
    logout_user()
    return redirect(url_for('login'))

if __name__ == '__main__':
    with app.app_context():
        db.create_all()
    app.run(debug=True)

2.7 完成用户角色管理

在注册页面添加角色选项来允许分配角色:

<label for="roles">Role:</label>
<select name="roles">
    <option value="user">User</option>
    <option value="editor">Editor</option>
    <option value="admin">Admin</option>
</select>

三、总结

本教程介绍了如何在 Flask 应用中实现用户认证和授权。使用 Flask-Login 来处理用户的注册、登录、登出,以及如何使用 Flask-Principal 实现基于角色的权限控制。在实际应用中,您可以根据需求进一步扩展和细化这些功能。

通过该教程,您应该获得了对 Flask 中用户身份验证和权限管理的基本理解,以及如何实现这些功能的能力。希望这些示例和代码能为您搭建安全的 Flask 应用提供帮助!

蜡笔小新星
关注
专栏目录
flask-用户认证(上)
Dimples_54的博客
08-31 1456
主要用到的包: Flask-Login: 管理已登录用户用户会话。Werkzeug: 计算密码散列值并进行核对(把密码变成散列值itsdangerous: 生成并核对加密安全令牌(确认邮件)。 Werkzeug实现密码散列 若想保证数据库中用户密码的安全,要存储密码的散列值。计算密码散列值的函数接收密码作为输入,使用一种或多种加密算法转换密码,最终得到一个和原始密码没有关系的字
学习Flask之八、用户授权
lishaoan77的专栏
02-22 980
大部分的应用都要跟踪它的用户是谁。当用户连接应用时,通常需要通过应用授权,这是一个身份识别的过程。一旦应用知道用户是谁,就可以提供定制化的体验。授权最常见的方法是用户提供标识(Email或用户名)和密码。本章,我们创建完全的授权系统。
Python Flask实现HTTP认证授权
最新发布
weixin_73725158的博客
07-08 626
本文将深入探讨如何在Flask应用中实现HTTP认证授权,包括基本的HTTP认证、基于会话的认证、OAuth认证以及使用第三方库如Flask-Login和Flask-JWT-Extended进行更高级的认证授权管理。基于会话的认证是一种更安全的认证方式,它通过在服务器和客户端之间维护一个会话状态来实现。在这个例子中,当用户成功登录后,Flask会将用户的登录状态存储在会话中,并在随后的请求中通过检查会话来验证用户是否已登录。Flask自带了会话管理功能,它使用客户端的cookies来存储会话ID。
Flask用户认证
ASH
07-03 2291
用户认证 Flask认证扩展 密码的安全性 使用Werkzeug实现密码散列 使用 Flask-Login 认证用户 安装 准备用于登录的用户模型 保护路由 添加登录表单 登入用户 登出用户 测试登录 注册新用户 添加用户注册表单 注册新用户 用户认证Flask认证扩展 Flask-Login:管理已登录用户用户会话 Werkzeug:计算密码散列值并进行核对 itsdangerous:生
Flask中的用户认证Flask中的用户认证系统)
weixin_33694620的博客
09-10 3320
8.1 Flask认证扩展优秀的 Python 认证包很多,但没有一个能实现所有功能。本章介绍的认证方案使用了多个包,并编写了胶水代码让其良好协作。本章使用的包列表如下:• Flask-Login:管理已登录用户用户会话。• Werkzeug:计算密码散列值并进行核对。• itsdangerous:生成并核对加密安全令×××。除了认证相关的包之外,本章还用到如下常规用途的...
Flask用户身份认证
Python、Golang、大数据
03-26 600
项目代码见:前提条件。
使用 Flask-Login 实现用户认证
Dexter's Laboratory
03-11 301
【代码】使用 Flask-Login 实现用户认证
thrift_flask_app:Flask的第二个项目
04-14
4. **用户认证授权**:可能实现了用户注册、登录功能,使用session或JWT(JSON Web Tokens)进行用户身份验证。 5. **API设计**:Thrift可能提供了RESTful API,允许用户通过HTTP请求进行数据操作。 6. **错误...
学习笔记】PythonWeb(Ⅰ)—— Flask
Eddie_hyh的博客
04-08 1281
PythonWeb第一部分:Flask
Web开发 ------ 基于Flask的 任务清单管理系统(二):用户认证
weixin_44568633的博客
03-29 1081
文章目录任务清单管理系统(二)一、用户认证二、数据库模型1.技术要点2.核心代码3.测试代码三、Flask-Login优化数据库模型1.技术要点2.核心代码四、数据库创建五、用户注册1.用户注册表单2.用户注册业务逻辑3.用户注册前端渲染4.用户注册页面简易效果展示六、用户登录1.用户登录表单2.用户登录业务逻辑3.用户登录前端渲染4.用户登录页面简易效果展示七、用户注销八、Github与用户认证...
Flask Web开发基础实战-1.0用户认证与注册模块
SteveDraw的博客
09-28 4748
对于许多程序以及社交类的媒介,都需要对访问人有一个专门的认证状态(即登录账户),这会让程序记录和跟踪用户,以便提供更好地适配服务,提高用户体验!同样flask web开发时也是很重要的,这是许多网站所要提供的一类基础功能! 我们前面说过flask相对Django来说就是自由选配度高,二次开发方便,但相对来说,内聚程度也相对较低,例如,数据库和登录认证功能,flask需要开发者自己集成和组织该类模块,Django会很好地提供这类完整的服务,但也不会让你改动和变化太多!
flask中的用户认证(simple_authenticate)
qq_27536697的博客
08-08 593
用户认证中心通过session的设置和获取判断用户是否已经登录. 此处使用的是flask中的before_request的钩子函数进行简化,并增加一个装饰器为每一需要认证的功能模块进行装饰: 导入所有需要的python包 from flask import Flask,g,session,request,make_response 步骤1:创建一个app对象 app = Flask(__name...
Flask 入门教程》第 8 章:用户认证
weixin_34309435的博客
01-03 388
目前为止,虽然程序的功能大部分已经实现,但还缺少一个非常重要的部分——用户认证保护。页面上的编辑和删除按钮是公开的,所有人都可以看到。假如我们现在把程序部署到网络上,那么任何人都可以执行编辑和删除条目的操作,这显然是不合理的。这一章我们会为程序添加用户认证功能,这会把用户分成两类,一类是管理员,通过用户名和密码登入程序,可以执行数据相关的操作;另一个是访客,只能浏览页面。在此之前,我们先来看看密码...
Flask登录认证
anzhang5248的博客
09-27 178
login函数 @app.route('/login/', methods=['GET', 'POST']) def login(): if request.method == 'GET': return render_template('login.html') # POST user = request.form.get('us...
flask用户认证
lwwdnw的博客
08-01 192
用户输入数据库中的是密码,要保证安全,关键在于不能储存密码本身,而要存储密码的散列值,使用一种加密算法转换密码,最终得到一个和原始密码无关的字符序列。来进行储存。 werkzeug.security能够实现密码散列值的计算。这一功能的实现只能...
【自动化运维新手村】Flask-权限校验
weixin_40489165的博客
02-20 2145
上一章节,我们主要对Web应用的用户认证做了详细的讲解,包括使用Flask实现用户注册,登录,并通过Session机制实现用户保持登录。那么在了解了用户认证之后,这一章节我们就着重介绍一下权限校验的原理以及实现方式。
Python Flask 用户身份验证
ailx10
01-27 303
花了差不多3个小时,给它一行一行敲出来了,整个实验还是比较顺利的,最后注册页面,登陆页面,1024页面成功跑通的时候,感觉再辛苦,也是值得的~Flask-Login:管理已登录用户用户会话Werkzeug:计算密码散列值并进行核对itsdangerous:生成并核对加密安全令牌Flask-Mail:发送与身份验证相关的电子邮件Flask-Bootstrap:HTML模版Flask-WTF:Web...
(未完占坑)笔记:flask用户认证
happy_bigqiang的博客
03-22 498
1,使用werkzeug实现密码散列: 1.1,generate_password_hash() 以字符串形式输出密码的散列值 1.2,check_password_hass() 1.3,@property 将函数变成属性 1.4,@password.setter 1.5,???password怎么变成只写属性 2,创建认证蓝本: 2.1,Blueprint(xxx,_ nam
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值