Tornado提升之用户验证安全

最新推荐文章于 2022-02-23 17:06:06 发布
最新推荐文章于 2022-02-23 17:06:06 发布
阅读量251 收藏 2
点赞数
分类专栏: Tornado框架 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45672137/article/details/107268741
版权

用户验证

  • 指再受到用户请求后进行预先判断用户的认证状态(是否登录),若验证通过则正常处理,否则进入到登录界面
tornado.web.authenticated装饰器
  • 作用:tornado将确保这个方法的主体只有合法的用户才能调用
get_current_user()

  • 功能:验证用户的逻辑因该写在该方法中,如果该方法返回的为True说明验证成功,否则验证失败

  • 验证失败,请求会将访客重定向到配置中的login_url所指定的路由

  • 整体逻辑:

          用户在没有登录的情况下进入home和cart页面是不被允许的
  所以在home 和 cart 对应的视图函数中添加get_current_user()方法并在config中配置
  重定向路由。这样用户被重定向到登录函数中:http://127.0.0.1:8080/login?next=%2Fcart
      登录函数中先用GET方法render到login页面上,再用POST获取”next“参数。
      登录成功则重定向到POST请求过来的next参数对应的地址,并在此基础上加入一个标识:flag参数
          到达next指定的路由函数中先get_current_user()验证 是否存在flag参数 
          True 则进入 装饰器,进入到home或者cart页面
          FALSE 则进入config.py中的重定向路由中
          
      登录不成功就重定向回login?next=%2F上面next对应的地址
          但是这里有个问题如果html的form中的action不知道回滚过来的next是cart还是home是不行的
          所以在 登录函数中GET方法中先获取网址上的next参数,然后将参数的值与"login?next"合并传给
          login页面,这样form就知道该重定向到哪了

    • config.py中添加setting:

      "login_url":"/login"

    • login.html

        // action的地址不能写死
  <form action="{{url}}" method="post">
  {% module xsrf_form_html() %}
  。。。。。。
  </form>

    • views

        # 用户验证
  class loginHandler(RequestHandler):
      def get(self, *args, **kwargs):
          next = self.get_argument("next","/")
          print("get:",next)
          url = "login?next="+next
          self.render("login.html",url=url)

  # 获取form表单
  def post(self, *args, **kwargs):
      name = self.get_body_argument("username")
      pawd = self.get_body_argument("password")
      next = self.get_argument("next", "/")
      if name == "1" and pawd == "1":
          # 获取到网址上面的next参数,获取不到 就是"/"
          print("postYes",next)
          # 登录成功重定向到next 并设置GET参数:flag=logined
          self.redirect(next+"?flag=logined")
      else:
          self.redirect("/login?next="+next)
          print("postno",next)


      class homeHanler(RequestHandler):
          # 没登陆直接进入home网址:http://127.0.0.1:8080/login?next=%2Fhome
          # %2F 的意思时 "/"
          # 验证用户逻辑方法
          def get_current_user(self,*args,**kwargs):
              # 检查GET中是否有flag
              flag = self.get_argument("flag",None)
              return flag
      
          # 用户验证成功可以进入该装饰器中
          @tornado.web.authenticated
          def get(self, *args, **kwargs):
              self.render("home.html")
      
      class cartHandler(RequestHandler):
          def get_current_user(self,*args,**kwargs):
              # 检查GET中是否有flag
              flag = self.get_argument("flag",None)
              return flag
      
          # 用户验证成功可以进入该装饰器中
          @tornado.web.authenticated
          def get(self, *args, **kwargs):
              self.render("cart.html")
饺芝Hotz
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
6.tornado操作之用户登录的实现&使用pycket库实现用户认证功能
孤寒者的博客
06-04 849
6.tornado操作之用户登录的实现&使用pycket库实现用户认证功能
tornado-blog:Python + MySQL + Sqlachemy + Tornado
06-12
6. 安全与认证 为了保护用户数据,博客系统通常会实现用户注册、登录功能,这涉及到密码哈希、身份验证安全措施。Tornado提供了session管理和cookie处理的功能,可以帮助实现用户状态的保持和权限控制。 7. 部署...
Tornado web.authenticated 用户认证浅析
weixin_30337157的博客
01-21 232
在Web服务中会有用户登录后的一系列操作, 如果一个客户端的http请求要求是用户登录后才能做得操作, 那么 Web服务器接收请求时需要判断该请求里带的数据是否有用户认证的信息. 使用Tornado框架开发Web服务, 框架里提供了tornado.web.authenticated的 decorator 的辅助开发者做用户登录认证, 即开发者在实现一个 handler(对应一个url资源, ...
tornado的权限认证之tornado.web.authenticated
liupc123123的专栏
08-12 5870
如果web开发这块写一个web框架,很多时候都要用到Decorator(如果不是太清楚python的Decorator可以去找找资料看看,非常有用),例如下面的代码: class MainHandler(BaseHandler): @tornado.web.authenticated def get(self): name = tornado.escape.x
tornado用户登录和认证
qq_44990881的博客
05-12 1046
1.认证和安全 import tornado.ioloop import tornado.web # web应用api from pycket.session import SessionMixin class BaseHandler(tornado.web.RequestHandler, SessionMixin): ''' 实现用户认证, 重写 get_current_user() 方法来判断当前用户,比如可以基于cookie的值 ''' def get_curre
Tornadao—用户验证
piduocheng0577的博客
03-24 146
目录 authenticated装饰器 get_current_user()方法 login_url设置 authenticated装饰器 '''使⽤这个装饰器包裹 ⼀个处理⽅法时,Tornado将确保这个⽅法的主体只有在合法的⽤户被发现时才会 调⽤。''' class ProfileHandler(RequestHandler): @tornado.web.auth...
python系统后台管理,本应用是基于tornado框架 restful风格的API 实现后台管理
最新发布
04-20
Python系统后台管理是一种常见的软件开发任务,涉及到服务器端的编程,数据处理,用户接口以及安全性等多个方面。在本应用中,使用了Tornado框架来构建RESTful风格的API,这为后台管理提供了一种高效、灵活的方法。...
Tornado2.2 -pentium 升级包
08-10
5. **安全更新**:安全是任何软件的重要考量,Tornado2.2.1的发布很可能包含了对已知安全漏洞的修复,以保护用户的数据安全,防止恶意攻击。 在升级过程中,用户需要注意以下几点: - **备份数据**:在升级前,...
CrowdChat:基于 Tornado 的实时聊天系统
06-09
3. 功能扩展:添加私聊、文件分享、表情包等功能,提升用户体验。 总结,CrowdChat是一个利用Tornado构建的实时聊天系统,它展示了JavaScript和WebSocket在构建实时通信应用中的强大潜力。通过理解其工作原理和技术...
Tornado使用指南
03-22
你可以使用`tornado.auth`模块提供的类来轻松实现用户认证。 ### 7. 模板系统与静态文件 Tornado自带一个简单的模板语言,允许在HTML中嵌入Python代码。同时,`tornado.web.Application`可以配置静态文件目录,以...
Python实现带参数的用户验证功能装饰器示例
09-19
主要介绍了Python实现带参数的用户验证功能装饰器,结合实例形式分析了Python用户验证装饰器具体定义及使用技巧,需要的朋友可以参考下
如何理解Python的web框架tornado文档里面的用户认证的self.current_user?
funnyPython的博客
03-20 1798
question: 如何理解Python的web框架tornado文档里面的用户认证的self.current_user? 里面还有cookie_secret=”61oETzKXQAGaYdkL5gEmGeJJFuYh7EQnp2XdTP1o/Vo=” tornado.escape.xhtml_escape 难以理解。 answer: 1.self.current_user 是用...
Python3 --- Tornado用户验证装饰器
__静禅__
08-08 1347
authenticated装饰器 为了使用Tornado的认证功能,我们需要对登录用户标记具体的处理函数。我们可以使用@tornado.web.authenticated装饰器完成它。当我们使用这个装饰器包裹一个处理方法时,Tornado将确保这个方法的主体只有在合法的用户被发现时才会调用。 class IndexHandler(tornado.web.RequestHandler): ...
tornado远程访问_Tornado实战-用户登录与注册
weixin_39867296的博客
12-20 398
需要模块pip install redispip install packet实现代码app.pyimport tornado.ioloop #开启循环,让服务一直等待请求的到来import tornado.web #web服务基本功能都封装在此模块中import tornado.options #从命令行中读取设置from tornado.options import defin...
tornado框架漏洞 攻防世界(easytornado
一醉一休的博客
02-23 2108
#Tornado全称Tornado Web Server,是一个用Python语言写成的Web服务器兼Web应用框架 #tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。 一、easytornado 1)点开链接 2)逐个点开(render函数是渲染函数) 3)要找出filehash值,...
用户验证
人饭子的博客
11-13 589
用户验证 用户验证是指在收到用户请求后进行处理前先判断用户的认证状态(如登陆状态),若通过验证则正常处理,否则强制用户跳转至认证页面(如登陆页面)。 authenticated装饰器 为了使用Tornado的认证功能,我们需要对登录用户标记具体的处理函数。我们可以使用@tornado.web.authenticated装饰器完成它。当我们使用这个装饰器包裹一个处理方法时,Tornado将确保
tornado系列:用cookie进行用户验证
BOKE
05-06 9642
在本节中,我们将建立一个应用,询问访客的名字,然后将其存储在安全cookie中,以便之后取出。后续的请求将认出回客,并展示给她一个定制的页面。你将学到login_url参数和tornado.web.authenticated装饰器的相关知识,这将消除在类似应用中经常会涉及到的一些头疼的问题。 1 示例:欢迎回来¶ 在这个例子中,我们将只通过存储在安全cookie里的用户名标识一个人。当某人
tornado 8、用户登录验证 secure_cookie
心之所向
08-20 9702
一、介绍  目前大多数服务器判断用户是否登录一般通过session机制,Tornado 通过 set_secure_cookie 和 get_secure_cookie 方法直接支持了这种功能。原理类似于session,只不过session是服务器自动生成一个sessionID存储在cookie里,而tornado需要我们手工设cookie。然后通过self.current_user的重载函数就可以
tornado简单权限认证
JunFeng666的博客
02-11 3598
工作中遇到需要权限认证的需求,想到两个方法,在此记录 方法一: 用类装饰器,如下: class authenticated(object): def __init__(self, role): self.role = role def __call__(self, method): def login_wrapper(_self, *...
迪尔Tornado1 2 安装与使用安全指南
这份文档是迪尔公司关于Tornado1和Tornado2设备的详细安装和使用指南,旨在确保用户能够安全有效地操作和维护这两款产品。以下是主要知识点的详细说明: 1. **重要信息和警告**:文档开篇强调了警告和符号的重要性...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值