Tornado提升之用户验证安全

最新推荐文章于 2020-12-20 01:02:37 发布
最新推荐文章于 2020-12-20 01:02:37 发布
阅读量251 收藏 2
点赞数
分类专栏: Tornado框架 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45672137/article/details/107268741
版权

用户验证

  • 指再受到用户请求后进行预先判断用户的认证状态(是否登录),若验证通过则正常处理,否则进入到登录界面
tornado.web.authenticated装饰器
  • 作用:tornado将确保这个方法的主体只有合法的用户才能调用
get_current_user()

  • 功能:验证用户的逻辑因该写在该方法中,如果该方法返回的为True说明验证成功,否则验证失败

  • 验证失败,请求会将访客重定向到配置中的login_url所指定的路由

  • 整体逻辑:

          用户在没有登录的情况下进入home和cart页面是不被允许的
  所以在home 和 cart 对应的视图函数中添加get_current_user()方法并在config中配置
  重定向路由。这样用户被重定向到登录函数中:http://127.0.0.1:8080/login?next=%2Fcart
      登录函数中先用GET方法render到login页面上,再用POST获取”next“参数。
      登录成功则重定向到POST请求过来的next参数对应的地址,并在此基础上加入一个标识:flag参数
          到达next指定的路由函数中先get_current_user()验证 是否存在flag参数 
          True 则进入 装饰器,进入到home或者cart页面
          FALSE 则进入config.py中的重定向路由中
          
      登录不成功就重定向回login?next=%2F上面next对应的地址
          但是这里有个问题如果html的form中的action不知道回滚过来的next是cart还是home是不行的
          所以在 登录函数中GET方法中先获取网址上的next参数,然后将参数的值与"login?next"合并传给
          login页面,这样form就知道该重定向到哪了

    • config.py中添加setting:

      "login_url":"/login"

    • login.html

        // action的地址不能写死
  <form action="{{url}}" method="post">
  {% module xsrf_form_html() %}
  。。。。。。
  </form>

    • views

        # 用户验证
  class loginHandler(RequestHandler):
      def get(self, *args, **kwargs):
          next = self.get_argument("next","/")
          print("get:",next)
          url = "login?next="+next
          self.render("login.html",url=url)

  # 获取form表单
  def post(self, *args, **kwargs):
      name = self.get_body_argument("username")
      pawd = self.get_body_argument("password")
      next = self.get_argument("next", "/")
      if name == "1" and pawd == "1":
          # 获取到网址上面的next参数,获取不到 就是"/"
          print("postYes",next)
          # 登录成功重定向到next 并设置GET参数:flag=logined
          self.redirect(next+"?flag=logined")
      else:
          self.redirect("/login?next="+next)
          print("postno",next)


      class homeHanler(RequestHandler):
          # 没登陆直接进入home网址:http://127.0.0.1:8080/login?next=%2Fhome
          # %2F 的意思时 "/"
          # 验证用户逻辑方法
          def get_current_user(self,*args,**kwargs):
              # 检查GET中是否有flag
              flag = self.get_argument("flag",None)
              return flag
      
          # 用户验证成功可以进入该装饰器中
          @tornado.web.authenticated
          def get(self, *args, **kwargs):
              self.render("home.html")
      
      class cartHandler(RequestHandler):
          def get_current_user(self,*args,**kwargs):
              # 检查GET中是否有flag
              flag = self.get_argument("flag",None)
              return flag
      
          # 用户验证成功可以进入该装饰器中
          @tornado.web.authenticated
          def get(self, *args, **kwargs):
              self.render("cart.html")
饺芝Hotz
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
6.tornado操作之用户登录的实现&使用pycket库实现用户认证功能
孤寒者的博客
06-04 849
6.tornado操作之用户登录的实现&使用pycket库实现用户认证功能
Tornado 用户身份验证框架
weixin_34150224的博客
06-26 159
1、安全cookie机制 import tornado.web session_id = 1 class MainHandler(tornado.web.RequestHandler): def get(self):     global session_id  if not self.get_cookie('session'): ...
用户验证
人饭子的博客
11-13 589
用户验证 用户验证是指在收到用户请求后进行处理前先判断用户的认证状态(如登陆状态),若通过验证则正常处理,否则强制用户跳转至认证页面(如登陆页面)。 authenticated装饰器 为了使用Tornado的认证功能,我们需要对登录用户标记具体的处理函数。我们可以使用@tornado.web.authenticated装饰器完成它。当我们使用这个装饰器包裹一个处理方法时,Tornado将确保
Tornadao—用户验证
piduocheng0577的博客
03-24 146
目录 authenticated装饰器 get_current_user()方法 login_url设置 authenticated装饰器 '''使⽤这个装饰器包裹 ⼀个处理⽅法时,Tornado将确保这个⽅法的主体只有在合法的⽤户被发现时才会 调⽤。''' class ProfileHandler(RequestHandler): @tornado.web.auth...
Tornado提升之数据库应用安全
qq_45672137的博客
07-10 135
数据库 概述:tornado没有自带的ORM , 对于数据库需要自己去适配 目前python3.6+tornado还没有比较完善的驱动 链接: 在应用启动时创建一个数据库链接实例,提供各个RequestHandler使用。 在RequestHandler中通过self.application来获取其应用 # application.py:创建数据库实例 self.db = SunckSql(config.mysql["host"],config.mysql["user"],confi
tornado-blog:Python + MySQL + Sqlachemy + Tornado
06-12
6. 安全与认证 为了保护用户数据,博客系统通常会实现用户注册、登录功能,这涉及到密码哈希、身份验证安全措施。Tornado提供了session管理和cookie处理的功能,可以帮助实现用户状态的保持和权限控制。 7. 部署...
python系统后台管理,本应用是基于tornado框架 restful风格的API 实现后台管理
最新发布
04-20
Python系统后台管理是一种常见的软件开发任务,涉及到服务器端的编程,数据处理,用户接口以及安全性等多个方面。在本应用中,使用了Tornado框架来构建RESTful风格的API,这为后台管理提供了一种高效、灵活的方法。...
Tornado2.2 -pentium 升级包
08-10
5. **安全更新**:安全是任何软件的重要考量,Tornado2.2.1的发布很可能包含了对已知安全漏洞的修复,以保护用户的数据安全,防止恶意攻击。 在升级过程中,用户需要注意以下几点: - **备份数据**:在升级前,...
CrowdChat:基于 Tornado 的实时聊天系统
06-09
3. 功能扩展:添加私聊、文件分享、表情包等功能,提升用户体验。 总结,CrowdChat是一个利用Tornado构建的实时聊天系统,它展示了JavaScript和WebSocket在构建实时通信应用中的强大潜力。通过理解其工作原理和技术...
Tornado使用指南
03-22
你可以使用`tornado.auth`模块提供的类来轻松实现用户认证。 ### 7. 模板系统与静态文件 Tornado自带一个简单的模板语言,允许在HTML中嵌入Python代码。同时,`tornado.web.Application`可以配置静态文件目录,以...
Python实现带参数的用户验证功能装饰器示例
09-19
主要介绍了Python实现带参数的用户验证功能装饰器,结合实例形式分析了Python用户验证装饰器具体定义及使用技巧,需要的朋友可以参考下
tornado用户登录和认证
qq_44990881的博客
05-12 1046
1.认证和安全 import tornado.ioloop import tornado.web # web应用api from pycket.session import SessionMixin class BaseHandler(tornado.web.RequestHandler, SessionMixin): ''' 实现用户认证, 重写 get_current_user() 方法来判断当前用户,比如可以基于cookie的值 ''' def get_curre
4.(基础)tornado应用安全与认证
CWG2017的博客
08-09 342
这一节我们介绍应用安全与认证,其实中间省略了一个数据库。对于tornado来说,读取数据库的数据,性能的瓶颈还是在数据库上面。关于数据库,我在<>中介绍了sqlalchemy,这是一个工业级的orm,可以看看,这里就不介绍了。直接进入今天的主题内容。 1.cookie ookie是储存在客户端的键值对,保存了用户的信息。我们都知道http协议时无状态的,只知道有人链接就行进行...
python_tornado_session用户验证
weixin_30779691的博客
04-13 201
什么是session? -- Django中带有session,tornado中自己写 -- 逻辑整理       用户请求过来,验证通过,随机生成一个字符串当作value返回给浏览器,       在服务器中用户信息与随机生成一个字符串建立对应关系,       下次用户请求带来了cookie,通过字符串找到对应的用户信息。   --优点:一切...
tornado 10、网站安全问题
心之所向
08-20 557
实际使用过程中,网站总是会遇到这样那样安全问题,以下是我基于tornado网站做的一些防护。一、用户验证问题  首先用户登录使用安全cookie,见《tornado 8、用户登录验证 secure_cookie》。在登录过程中我们还可以对用户密码进行加密,即使数据被获取,也得不到用户的真实密码。   一般对密码加密,我们可以使用不可逆算法,如md5等。但是这样只是避免用户密码暴露,如果坏人知道了M
学习tornado安全
weixin_34190136的博客
01-09 96
在web编程中,安全性是我们都必须面临的一个问题,包括cookie伪造,xsrf攻击等。tornado作为一个web framework,在安全性方面也提供了很多功能,这里简单介绍一下。 cookie 在web编程中,浏览器经常使用cookie来保存相关用户信息,用于与server交互,但是cookie有很多安全问题,譬如cookie伪造。cookie有很多方式被修改,java...
Tornado基础入门(三) 用户身份验证框架、防止跨域攻击
Dream_it_possible!的博客
10-16 763
文章目录一、安全cookie机制 一、安全cookie机制
Tornado 编写安全应用
weixin_30585437的博客
09-06 75
Tornado Web服务器从设计之初就在安全方面有了很多考虑,使其能够更容易地防范那些常见的漏洞。安全 cookies 防止用户的本地状态被其浏览器中的恶意代码暗中修改。此外,浏览器cookies 可以与 HTTP 请求参数值作比较来防范跨站请求伪造攻击。 Cookie 漏洞: 许多网站使用浏览器 cookies 来存储浏览器会话间的用户标识。这是一个简单而又被广泛兼容的方式来存储跨浏览器会...
tornado远程访问_Tornado实战-用户登录与注册
weixin_39867296的博客
12-20 398
需要模块pip install redispip install packet实现代码app.pyimport tornado.ioloop #开启循环,让服务一直等待请求的到来import tornado.web #web服务基本功能都封装在此模块中import tornado.options #从命令行中读取设置from tornado.options import defin...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值