我正在尝试使用Flask和Flask-Login扩展在Flask应用中实现用户身份验证。目的是从数据库中提取用户帐户信息,然后登录用户,但我陷入了困境。但是,我将其范围缩小到Flask-Login行为的特定部分。
根据Flask-Login文档,我需要创建一个user_loader“回调”函数。此功能的实际目的和实现让我困惑了几天:
你将需要提供一个user_loader回调。此回调用于从会话中存储的用户ID重新加载用户对象。它应该采用用户的Unicode ID,并返回相应的用户对象。例如:
@login_manager.user_loader def load_user(userid): return User.get(userid) 现在,假设我希望用户在表单中输入名称和密码,对照数据库进行检查,然后登录用户。数据库的东西工作正常,对我来说没问题。
该“回调”函数希望传递给用户ID#,并返回User对象(我正在从数据库中加载其内容)。但是我并没有真正理解应该做的事情,因为无论如何,用户ID都是从同一位置提取的。我可以“排序”以使回调工作,但它看起来杂乱无章/骇人听闻,它会用浏览器请求的每个资源访问数据库。我真的不想检查我的数据库以便在每次刷新页面时都下载favicon.ico,但是flask-login登录似乎正在强迫这样做。
如果不再次检查数据库,则无法从该函数返回User对象。在烧瓶路径中创建了用于登录的User对象/类,因此不在回调的范围之内。
我不知道的是如何将User对象传递到此回调函数中,而不必每次都访问数据库。或者,否则就想出如何以更有效的方式进行此操作的方法。我肯定缺少一些基本的东西,但是我已经盯着它看了几天,扔了各种各样的函数和方法,没有任何结果。
以下是我的测试代码中的相关片段。用户类:
class UserClass(UserMixin): def __init__(self, name, id, active=True): self.name = name self.id = id self.active = active def is_active(self): return self.active
我将用户对象返回到Flask-Login的user_loader回调函数的函数:
def check_db(userid): # query database (again), just so we can pass an object to the callback db_check = users_collection.find_one({ 'userid' : userid }) UserObject = UserClass(db_check['username'], userid, active=True) if userObject.id == userid: return UserObject else: return None
我不完全理解的“回调”(必须返回User对象,该对象是从数据库中提取后创建的):
@login_manager.user_loader def load_user(id): return check_db(id)
登录路径:
@app.route("/login", methods=["GET", "POST"]) def login(): if request.method == "POST" and "username" in request.form: username = request.form["username"] # check MongoDB for the existence of the entered username db_result = users_collection.find_one({ 'username' : username }) result_id = int(db_result['userid']) # create User object/instance User = UserClass(db_result['username'], result_id, active=True) # if username entered matches database, log user in if username == db_result['username']: # log user in, login_user(User) return url_for("index")) else: flash("Invalid username.") else: flash(u"Invalid login.") return render_template("login.html")
我的代码“ kinda”可以工作,我可以登录和注销,但是正如我所说,它必须访问数据库中的几乎所有内容,因为我必须在其他名称空间/作用域的其余地方为回调函数提供一个User对象。登录操作发生。我很确定自己做错了,但我不知道怎么做。
flask-login提供的示例代码以这种方式执行此操作,但这仅适用,因为它是从全局硬编码字典中拉出User对象,而不是像数据库这样的实际情况(在该场景中必须检查DB并用户输入用户登录凭据后创建的用户对象。而且我似乎找不到其他示例代码来说明如何通过flask-login使用数据库。
这里缺少什么?
你将需要在每次请求时从数据库加载用户对象。达到此要求的最强烈原因是Flask-Login每次都会检查身份验证令牌以确保其连续有效性。该令牌的计算可能需要将参数存储在用户对象上。
例如,假设一个用户有两个并发会话。在其中之一中,用户更改其密码。在随后的请求中,必须注销该第二个会话的用户,并强制其重新登录,以确保你的应用程序安全。考虑一下第二次会话被盗的情况,因为你的用户忘记了注销计算机-你希望更改密码以立即解决这种情况。你可能还希望使管理员能够将用户踢出去。
为了使这种强制注销发生,存储在cookie中的身份验证令牌必须:1)部分基于密码或每次设置新密码时都会更改的其他内容;2)在运行任何视图之前,请对照存储在数据库中的用户对象的最新已知属性进行检查。