【自动化运维新手村】Flask-2认证

已于 2024-09-30 13:30:30 修改
阅读量926 收藏 2
点赞数 2
分类专栏: Python玩转自动化运维 文章标签: flask 运维 自动化
于 2022-02-13 23:28:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40489165/article/details/122916171
版权
本文介绍了Flask应用中的身份认证过程,包括AK/SK认证方式、注册与登录功能的实现。通过装饰器实现了认证逻辑,详细阐述了如何处理用户注册时的异常,以及登录后的session管理。最后提出了并发情况下文件写冲突的思考题。
摘要由CSDN通过智能技术生成

【摘要】

在Flask专题的上一章节中,主要对Web应用的路由,异常处理和接口返回做了更进一步的讲解,虽然代码更健壮,但离在生产环境中使用还差了最关键的一步,那就是认证

认证在任何存在交互的场景中都是十分重要的环节

【认证】

大家需要先有一个概念,那就是认证其实是两个操作

  1. 身份认证
  2. 权限控制

通俗的说就是:

  1. 先验证用户是否合法,在Web应用中用户不合法的体现就是401(Unauthorized)
  2. 再去判断用户是否具有所进行操作的权限,在Web应用中没有权限的提示就是403(Forbidden)

【Flask应用】

身份认证
AK/SK

对于身份认证最简单的方式,就是给调用方一个固定的access_keysecret_key,通常也叫做AK/SK,这在系统被第三方调用的场景中是十分常见的。

代码实现也很简单,如下:

@app.route("/index")
def index():
    ak = request.headers.get("access_key", "")
    sk = request.headers.get("secret_key", "")
    if ak != "admin" or sk != "admin_secret":
         return "认证失败", 401
    # 具体的业务逻辑
    pass

上述代码中,假设调用方将AK/SK放在了请求的Headers中,并且我们的后端应用只允许admin这一个用户调用,如果AK/SK不符,那就返回认证失败,如果成功则可以执行具体的业务逻辑。

相信有的朋友应该已经有了一个想法,那就是将认证的逻辑代码写在路由函数中,那岂不是每个路由函数都得写重复的认证代码?如果没有这个疑问的朋友就需要反思一下了,可以多去看看之前的章节内容。

每个路由函数编写重复的认证逻辑这显然是不合理的,那如何进行优化呢?

可能有的朋友又会觉得,那把认证逻辑抽象成一个单独的函数,每次调用一下不就行了,如下:

from flask import Flask

def permission():
    ak = request.headers.get("access_key", "")
    sk = request.headers.get("secret_key", "")
    if ak == "admin" and sk == "admin_secret":
         return True
    return False

@app.route("/index")
def index():
    if not permission():
          return "认证失败", 401
    # 具体的业务逻辑
    pass

上述代码虽然表面上看起来精简很多,但仍然没有改变将认证逻辑与业务逻辑耦合在一起的事实。

这里大家可以转变一下思路,如果一个路由函数就代表一个业务逻辑,如果需要在执行业务逻辑前做认证,那是不是就相当于要在调用路由函数前做认证?

这样问题的本质就变成了,在调用一个函数前,做一系列的操作,如果合法就调用该函数,如果不合法则不去调用。听起来好像就完全是装饰器的功能(如果还不了解装饰器,强烈建议先去阅读【自动化运维番外篇】- Python装饰器)。代码修改如下:

from functools import wraps
from flask import Flask, request

app = Flask(__name__)

def permission(func):
    @wraps(func)
    def inner():
        ak = request.headers.get("access_key", "")
    		sk = request.headers.get("secret_key", "")
    		if ak == "admin" and sk == "admin_secret":
            return "认证失败", 401
        return func()
    return inner
  
@app.route("/index")
@permission
def index():
    # 具体的业务逻辑
    pass
注册

现在已经可以对固定的AK/SK进行验证了,那下一步就考虑是否可以让用户通过注册来实现自助获取AK/SK,其实相当于就是注册的功能,下面通过用户名密码的方式来实现注册的功能。

但目前后端应用还没有引入数据库,所以可以暂且通过JSON文件的方式来记录用户信息,在用户调用注册接口时,记录其传递的username/password 到JSON文件中,下次就可以通过检索文件,判断该用户是否合法。代码如下:

import os
import json
from functools import wraps
from hashlib import md5
from flask import Flask, request

app = Flask(__name__)
ACCOUNTS_FILE = os.path.join(os.path.dirname(os.path.abspath(__file__)), "accounts.json")


def permission(func):
    @wraps(func)
    def inner():
        username = request.form.get("username")
        password = request.form.get("password")
        with open("accounts.json", "r+") as f:
            accounts = json.load(f)
        usernames = [account["username"] for account in accounts]
        if username not in usernames:  # 判断是否用户已存在
            return {"data": None, "status_code": "NotFound", "message": "username is not exists"}
        for account in accounts:
            if account["username"] == username:
                if md5(password.encode()).hexdigest() != account["password"]:  # 判断用户名和密码是否一致
                    return {"data": None, "status_code": "Unauthorized", "message": "password is not correct"}
                return func()
    return inner


@app.route("/register", methods=["POST"])
def register():
    """注册用户信息"""
    username = request.form.get("username")
    password = request.form.get("password")
    if not username or not password:  # 判断用户输入的参数
        return {"data": None, "status_code": "InvalidParams", "message": "must have username and password"}
    if not os.path.exists(ACCOUNTS_FILE):  # 判断是否存在指定文件
        return {"data": None, "status_code": "NotFound", "message": "not found accounts file"}
    with open("accounts.json", "r+") as f:
        accounts = json.load(f)
    for account in accounts:
        if account["username"] == username:  # 判断是否用户已存在
            return {"data": None, "status_code": "Duplicated", "message": "username is already exists"}
    accounts.append({"username": username, "password": md5(password.encode()).hexdigest()})
    with open("accounts.json", "w") as f:
        json.dump(accounts, f)
    return {"data": username, "status_code": "OK", "message": "register username successfully"}


@app.route("/index")
@permission
def index():
    # 具体的业务逻辑
    return "success"


if __name__ == '__main__':
    app.run()

上述代码中指定了一个存放用户信息的文件accounts.json,需要先将其内容初始化,如果不对文件做初始化,那么在进行json.load()时就会抛异常,提示文件内容不是合法的json,初始化如下:

// accounts.json 文件
[]

先通过os.path.abspath(__file__)获取到当前启动文件所在的绝对路径,再通过os.path.dirname(os.path.abspath(__file__))获取到该绝对路径的目录,最后通过os.path.join()将目录与account.json文件名组合在一起,就得到了该文件的绝对路径。

这里我们的用户信息通过数组的方式进行存储,大概模型如下:

[
  {"username": "", "password": ""},
  {"username": "", "password": ""}
]

注册功能乍一想比较简单,但实际中需要进行的异常判断仍然不少,在注册用户的路由函数中就对多种可预见的异常进行了提前处理,并返回错误信息。并且在保存密码阶段,做了特殊的处理,因为原则上即使是应用方也无权知道用户的真实密码,所以需要在保存用户信息时,对密码做哈希处理,如下:

accounts.append({"username": username, "password": md5(password.encode()).hexdigest()})

并且在验证时同样使用密码的哈希去进行比较,如下:

if md5(password.encode()).hexdigest() != account["password"]

最终通过postman调用接口如下:
在这里插入图片描述

登录

现在用户已经可以通过注册的方式,在后端应用保存自己的用户名密码,这样每次在请求中携带用户名密码信息就可以通过认证了。

但如果可以实现用户登录的话,用户就可以只登录一次,在登录的有效时间内,都可以进行正常的请求访问,且无需每次请求都传递用户名和密码。

所以代码需要做如下修改:

1.注册逻辑保持不变。

2.新增全局常量LOGIN_TIMEOUT,设置一个固定的登录有效期。

3.新增全局变量SESSION_IDS用来记录已登录用户的信息,以及用户的登录时间。

4.新增登录的路由函数,验证用户是否已注册,已注册的用户且用户名密码正确则登录成功,记录该用户的登录信息,并返回生成的session_id

5.修改装饰器函数,获取请求头中的session_id字段,判断用户是否已登录且是否在有效期内,如果超过有效期则将该用户的登录信息从SESSION_IDS中移除,每次发起请求且认证通过后都更新登录时间戳,以延长登录有效时间

代码如下:

import os
import time
import json
from hashlib import md5
from functools import wraps
from flask import Flask, request

app = Flask(__name__)

ACCOUNTS_FILE = os.path.join(os.path.dirname(os.path.abspath(__file__)), "accounts.json")

SESSION_IDS = {}

LOGIN_TIMEOUT = 60 * 60 * 24

def permission(func):
    @wraps(func)
    def inner():
        session_id = request.headers.get("session_id", "")
        global SESSION_IDS
        if session_id not in SESSION_IDS:  # 是否存在会话信心
            return {"data": None, "status_code": "FORBIDDEN", "message": "username not login"}
        if SESSION_IDS[session_id]["timestamp"] - time.time() > LOGIN_TIMEOUT:  # 是否会话仍有效
            SESSION_IDS.pop(session_id)  # 如果失效则移除会话信息
            return {"data": None, "status_code": "FORBIDDEN", "message": "username login timeout"}
        SESSION_IDS[session_id] = time.time()  # 更新会话时间
        return func()
    return inner


@app.route("/register", methods=["POST"])
def register():
    """注册用户信息"""
    username = request.form.get("username")
    password = request.form.get("password")
    if not username or not password:  # 判断用户输入的参数
        return {"data": None, "status_code": "InvalidParams", "message": "must have username and password"}
    if not os.path.exists(ACCOUNTS_FILE):  # 判断是否存在指定文件
        return {"data": None, "status_code": "NotFound", "message": "not found accounts file"}
    with open("accounts.json", "r+") as f:
        accounts = json.load(f)
    for account in accounts:
        if account["username"] == username:  # 判断是否用户已存在
            return {"data": None, "status_code": "Duplicated", "message": "username is already exists"}
    accounts.append({"username": username, "password": md5(password.encode()).hexdigest()})
    with open("accounts.json", "w") as f:
        json.dump(accounts, f)
    return {"data": username, "status_code": "OK", "message": "register username successfully"}


@app.route("/login", methods=["POST"])
def login():
    """用户登录"""
    username = request.form.get("username")
    password = request.form.get("password")
    if not os.path.exists(ACCOUNTS_FILE):  # 是否存在用户信息文件
        return {"data": None, "status_code": "NotFound", "message": "not found accounts file"}
    with open("accounts.json", "r+") as f:
        accounts = json.load(f)
    usernames = [account["username"] for account in accounts]
    if username not in usernames:  # 是否用户已注册
        return {"data": None, "status_code": "NotFound", "message": "username is not exists"}
    current_user = None
    for account in accounts:
        if account["username"] == username:
            current_user = account
            if md5(password.encode()).hexdigest() != account["password"]:  # 是否用户名密码正确
                return {"data": None, "status_code": "Unauthorized", "message": "password is not correct"}
            session_id = md5((password + str(time.time())).encode()).hexdigest()  # 生成会话ID
            global SESSION_IDS
            SESSION_IDS[session_id] = {"user_info": current_user, "timestamp": time.time()}  # 记录会话信息
            return {"data": {"session_id": session_id}, "status_code": "OK", "message": "login successfully"}


@app.route("/cmdb", methods=["POST"])
@permission
def index():
    pass
    return "success"


if __name__ == "__main__":
    app.run(host="127.0.0.1", port=5000, debug=True)

通过Postman发起登录请求如下:

在这里插入图片描述
在这里插入图片描述

完整代码
import os
import time
import json
from hashlib import md5
from functools import wraps
from flask import Flask, request

app = Flask(__name__)

ACCOUNTS_FILE = os.path.join(os.path.dirname(os.path.abspath(__file__)), "accounts.json")

SESSION_IDS = {}

LOGIN_TIMEOUT = 60 * 60 * 24

def permission(func):
    @wraps(func)
    def inner():
        session_id = request.headers.get("session_id", "")
        global SESSION_IDS
        if session_id not in SESSION_IDS:
            return {"data": None, "status_code": "FORBIDDEN", "message": "username not login"}
        if SESSION_IDS[session_id]["timestamp"] - time.time() > LOGIN_TIMEOUT:
            SESSION_IDS.pop(session_id)
            return {"data": None, "status_code": "FORBIDDEN", "message": "username login timeout"}
        SESSION_IDS[session_id] = time.time()
        return func()
    return inner


@app.route("/register", methods=["POST"])
def register():
    """ 注册用户信息 """
    username = request.form.get("username")
    password = request.form.get("password")
    if not username or not password:
        return {"data": None, "status_code": "InvalidParams", "message": "must have username and password"}
    if not os.path.exists(ACCOUNTS_FILE):
        return {"data": None, "status_code": "NotFound", "message": "not found accounts file"}
    with open("accounts.json", "r+") as f:
        accounts = json.load(f)
    for account in accounts:
        if account["username"] == username:
            return {"data": None, "status_code": "Duplicated", "message": "username is already exists"}
    accounts.append({"username": username, "password": md5(password.encode()).hexdigest()})
    with open("accounts.json", "w") as f:
        json.dump(accounts, f)
    return {"data": username, "status_code": "OK", "message": "register username successfully"}


@app.route("/login", methods=["POST"])
def login():
    """用户登录"""
    username = request.form.get("username")
    password = request.form.get("password")
    if not os.path.exists(ACCOUNTS_FILE):
        return {"data": None, "status_code": "NotFound", "message": "not found accounts file"}
    with open("accounts.json", "r+") as f:
        accounts = json.load(f)
    usernames = [account["username"] for account in accounts]
    if username not in usernames:
        return {"data": None, "status_code": "NotFound", "message": "username is not exists"}
    current_user = None
    for account in accounts:
        if account["username"] == username:
            current_user = account
            if md5(password.encode()).hexdigest() != account["password"]:
                return {"data": None, "status_code": "Unauthorized", "message": "password is not correct"}
            session_id = md5((password + str(time.time())).encode()).hexdigest()
            global SESSION_IDS
            SESSION_IDS[session_id] = {"user_info": current_user, "timestamp": time.time()}
            return {"data": {"session_id": session_id}, "status_code": "OK", "message": "login successfully"}


@app.route("/index", methods=["GET"])
@permission
def index():
    pass
    return "success"


if __name__ == "__main__":
    app.run(host="127.0.0.1", port=5000, debug=True)

【总结】

这一章节主要讲解了关于用户身份认证的原理和具体实现,关于权限校验下一章节再详细介绍。

其实时Flask中也有第三方插件可以实现登录,叫做flask-login,感兴趣的同学可以了解一下,但我们的目的主要是要了解身份认证的具体逻辑,而不是当一个“调包侠”。

除此之外,有一点需要大家仔细思考的是,编程是面对的计算机,所以对于逻辑的严谨和异常的处理,都需要十分仔细,平时在实现某个功能时并不是说通过正向思维,把这个功能的具体逻辑用代码翻译过来就可以了;而是要对这个功能的流程中所牵扯到的各种边界情况做充足的考虑。

最后留一个思考题,如果大家能仔细思考各种边界条件的话,会发现最终的代码存在一个并发问题:

当很多人同时发起请求进行注册的时候,是否会导致文件出现写冲突,如果会,那应用如何解决呢?

欢迎大家添加我的个人公众号【Python玩转自动化运维】加入读者交流群,获取更多干货内容

EthanYue1024
关注
专栏目录
Ansible 企业级自动化运维平台开发实战
悦分享
11-30 1228
项目说明:Flask实现Ansible和Ansible-Playbook的配置+部署系统,同时带有简单的服务器管理系统和认证系统。flask-ansible: Flask实现Ansible和Ansible-Playbook的配置+部署系统。同时带有简单的服务器管理系统和认证系统。本项目需要把Python3安装到/usr/local/python目录下,ansible和ansible-playbook也是安装在此目录下。
Flask】用户身份认证
Python、Golang、大数据
03-26 657
项目代码见:前提条件。
Flask中的用户认证Flask中的用户认证系统)
weixin_33694620的博客
09-10 3337
8.1 Flask认证扩展优秀的 Python 认证包很多,但没有一个能实现所有功能。本章介绍的认证方案使用了多个包,并编写了胶水代码让其良好协作。本章使用的包列表如下:• Flask-Login:管理已登录用户的用户会话。• Werkzeug:计算密码散列值并进行核对。• itsdangerous:生成并核对加密安全令×××。除了认证相关的包之外,本章还用到如下常规用途的...
Flask 用户认证与授权详细教程(第五阶段)
最新发布
蜡笔小新星的博客
08-07 1245
本教程介绍了如何在 Flask 应用中实现用户认证和授权。使用来处理用户的注册、登录、登出,以及如何使用实现基于角色的权限控制。在实际应用中,您可以根据需求进一步扩展和细化这些功能。通过该教程,您应该获得了对 Flask 中用户身份验证和权限管理的基本理解,以及如何实现这些功能的能力。希望这些示例和代码能为您搭建安全的 Flask 应用提供帮助!
Python Flask token身份认证
Saki_Python的博客
10-10 600
Python Flask是一个使用Python编写的轻量级Web应用框架,它可以非常方便地搭建Web应用。在Web应用中,经常需要进行身份认证,以确保只有授权用户才能访问某些资源。本文将介绍如何使用token进行身份认证,以及如何在Python Flask中实现token身份认证。一、什么是token身份认证token身份认证(Token-based authentication)是一种常见的Web身份认证方式,它是利用token来确保用户的身份。
Flask登录认证
anzhang5248的博客
09-27 184
login函数 @app.route('/login/', methods=['GET', 'POST']) def login(): if request.method == 'GET': return render_template('login.html') # POST user = request.form.get('us...
区块链部署和运维-pet-store-flask-master.zip
12-19
区块链部署和运维-pet-store-flask-master.zip
flask-restx:Flask-RESTPlus的Fork:功能齐全的框架,用于通过Flask快速,轻松地进行文档化的API开发
01-30
2. **自动文档**:借助内置的Swagger UI集成,Flask-RESTX允许开发者以JSON格式定义API规范,并自动生成交互式文档。Swagger UI是一个流行的工具,可以直观地展示API的结构、参数和响应,方便测试和调试。 3. **...
flask-api-docs:基于Flash的界面自动化文档
05-23
flask-api-docs 基于Flash的界面自动化文档 安装 可以使用pip安装该工具: pip install xt-FlaskAPIDocs 用法 用法示例: from flask import Flask from flask_api_demo . test . HelloWorld import HelloWorld...
使用flask从零构建自动化运维平台一
热门推荐
www.shuaibo.wang|王帅博
11-16 1万+
文章目录使用flask从零构建自动化运维平台安装开发ide开发思路使用到的flask拓展设计一个最常用的helloworld接口添加验证1. 使用ORM创建一个用户表2.设计用户登录接口3. 用户注册完成需要登录4. token的生成与验证5.认证这里算是完成了。附上完整代码 使用flask从零构建自动化运维平台 安装 事先准备好python环境 pip install flask 开发ide ...
flask-cas-template:使用 CAS 进行 RPI 身份验证的 Flask 应用程序模板
05-29
烧瓶 + CAS 模板 使用 CAS 进行身份验证的准系统 Flask 应用程序。 特征 烧瓶 CAS认证 引导程序 包含导航栏和页脚的模板 包括其他实用程序,如宏和 Flash 消息 设置 从这个模板创建一个 repo 并在本地克隆它 使用$ pipenv shell激活环境 使用$ pipenv install安装软件包 创建.env从键在根文件夹中的文件.env.example 跑步 使用开发模式运行应用程序 $ flask run 如果您更改文件,它将在开发模式下自动重新启动。 部署方式 使用此模板中包含的 Procfile 在 Heroku 上部署是最简单的。 从 Heroku 仪表板在线创建 Heroku 应用程序。 有关更多详细信息,请参阅。 连接Heroku应用程序(一次) $ heroku git:remote -a < heroku> 部署到He
Flask:用户认证
ASH
07-03 2324
用户认证 Flask认证扩展 密码的安全性 使用Werkzeug实现密码散列 使用 Flask-Login 认证用户 安装 准备用于登录的用户模型 保护路由 添加登录表单 登入用户 登出用户 测试登录 注册新用户 添加用户注册表单 注册新用户 用户认证Flask认证扩展 Flask-Login:管理已登录用户的用户会话 Werkzeug:计算密码散列值并进行核对 itsdangerous:生
flask中的用户认证(simple_authenticate)
qq_27536697的博客
08-08 607
用户认证中心通过session的设置和获取判断用户是否已经登录. 此处使用的是flask中的before_request的钩子函数进行简化,并增加一个装饰器为每一需要认证的功能模块进行装饰: 导入所有需要的python包 from flask import Flask,g,session,request,make_response 步骤1:创建一个app对象 app = Flask(__name...
使用 Flask-Login 实现用户认证
Dexter's Laboratory
03-11 318
【代码】使用 Flask-Login 实现用户认证
flask框架-认证(二):使用请求中间件实现全局认证,部分路由不用,实现指定视图函数需要管理员权限,在request中存 用户信息
weixin_46371752的博客
06-10 1297
flask使用中间件实现认证流程,flask如何实现token认证flask如何使用中间件实现token认证flask怎样实现token认证flask使用中间件实现token认证
Flask 实现Token认证机制
CSDN
11-27 5234
Flask框架中,实现Token认证机制并不是一件复杂的事情。除了使用官方提供的`flask_httpauth`模块或者第三方模块`flask-jwt`,我们还可以考虑自己实现一个简易版的Token认证工具。自定义Token认证机制的本质是生成一个令牌(Token),并在用户每次请求时验证这个令牌的有效性。
前端-requests-flask对应关系 HTTPDigestAuth
Claroja
12-01 508
from flask import Flask from flask_httpauth import HTTPDigestAuth app = Flask(__name__) app.config['SECRET_KEY'] = 'secret key here' auth = HTTPDigestAuth() users = { "john": "hello", "susan...
Flask中基于Token的身份认证
专注于Python编程技术的分享与交流,致力于帮助开发者提升编程技能,解决实际问题,探索Python的无限可能。
02-18 2598
Flask提供了多种身份认证方式,其中基于Token的身份认证是其中一种常用方式。基于Token的身份认证通常是在用户登录之后,为用户生成一个Token,然后在每次请求时用户将该Token作为请求头部中的一个参数进行传递,服务器端在接收到请求后验证该Token是否有效。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值