一尘不染

如何在Flask-Login中实现user_loader回调

flask

我正在尝试使用Flask和Flask-Login扩展在Flask应用中实现用户身份验证。目的是从数据库中提取用户帐户信息,然后登录用户,但我陷入了困境。但是,我将其范围缩小到Flask-Login行为的特定部分。

根据Flask-Login文档,我需要创建一个user_loader“回调”函数。此功能的实际目的和实现让我困惑了几天:

你将需要提供一个user_loader回调。此回调用于从会话中存储的用户ID重新加载用户对象。它应该采用用户的Unicode ID,并返回相应的用户对象。例如:

@login_manager.user_loader
def load_user(userid):
return User.get(userid)
现在,假设我希望用户在表单中输入名称和密码,对照数据库进行检查,然后登录用户。数据库的东西工作正常,对我来说没问题。

该“回调”函数希望传递给用户ID#,并返回User对象(我正在从数据库中加载其内容)。但是我并没有真正理解应该做的事情,因为无论如何,用户ID都是从同一位置提取的。我可以“排序”以使回调工作,但它看起来杂乱无章/骇人听闻,它会用浏览器请求的每个资源访问数据库。我真的不想检查我的数据库以便在每次刷新页面时都下载favicon.ico,但是flask-login登录似乎正在强迫这样做。

如果不再次检查数据库,则无法从该函数返回User对象。在烧瓶路径中创建了用于登录的User对象/类,因此不在回调的范围之内。

我不知道的是如何将User对象传递到此回调函数中,而不必每次都访问数据库。或者,否则就想出如何以更有效的方式进行此操作的方法。我肯定缺少一些基本的东西,但是我已经盯着它看了几天,扔了各种各样的函数和方法,没有任何结果。

以下是我的测试代码中的相关片段。用户类:

class UserClass(UserMixin):
     def __init__(self, name, id, active=True):
          self.name = name
          self.id = id
          self.active = active

     def is_active(self):
          return self.active

我将用户对象返回到Flask-Login的user_loader回调函数的函数:

def check_db(userid):

     # query database (again), just so we can pass an object to the callback
     db_check = users_collection.find_one({ 'userid' : userid })
     UserObject = UserClass(db_check['username'], userid, active=True)
     if userObject.id == userid:
          return UserObject
     else:
          return None

我不完全理解的“回调”(必须返回User对象,该对象是从数据库中提取后创建的):

@login_manager.user_loader
def load_user(id):
     return check_db(id)

登录路径:

@app.route("/login", methods=["GET", "POST"])
def login():
     if request.method == "POST" and "username" in request.form:
          username = request.form["username"]

          # check MongoDB for the existence of the entered username
          db_result = users_collection.find_one({ 'username' : username })

          result_id = int(db_result['userid'])

          # create User object/instance
          User = UserClass(db_result['username'], result_id, active=True)

          # if username entered matches database, log user in
          if username == db_result['username']:
               # log user in, 
               login_user(User)
               return url_for("index"))
          else:
               flash("Invalid username.")
      else:
           flash(u"Invalid login.")
      return render_template("login.html")

我的代码“ kinda”可以工作,我可以登录和注销,但是正如我所说,它必须访问数据库中的几乎所有内容,因为我必须在其他名称空间/作用域的其余地方为回调函数提供一个User对象。登录操作发生。我很确定自己做错了,但我不知道怎么做。

flask-login提供的示例代码以这种方式执行此操作,但这仅适用,因为它是从全局硬编码字典中拉出User对象,而不是像数据库这样的实际情况(在该场景中必须检查DB并用户输入用户登录凭据后创建的用户对象。而且我似乎找不到其他示例代码来说明如何通过flask-login使用数据库。

这里缺少什么?


阅读 666

收藏
2020-04-07

共1个答案

一尘不染

你将需要在每次请求时从数据库加载用户对象。达到此要求的最强烈原因是Flask-Login每次都会检查身份验证令牌以确保其连续有效性。该令牌的计算可能需要将参数存储在用户对象上。

例如,假设一个用户有两个并发会话。在其中之一中,用户更改其密码。在随后的请求中,必须注销该第二个会话的用户,并强制其重新登录,以确保你的应用程序安全。考虑一下第二次会话被盗的情况,因为你的用户忘记了注销计算机-你希望更改密码以立即解决这种情况。你可能还希望使管理员能够将用户踢出去。

为了使这种强制注销发生,存储在cookie中的身份验证令牌必须:1)部分基于密码或每次设置新密码时都会更改的其他内容;2)在运行任何视图之前,请对照存储在数据库中的用户对象的最新已知属性进行检查。

2020-04-07