首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 Python

用Python实现web端用户登录和注册功能的教程

Posted in Python onApril 30, 2015

用户管理是绝大部分Web网站都需要解决的问题。用户管理涉及到用户注册和登录。

用户注册相对简单,我们可以先通过API把用户注册这个功能实现了:

_RE_MD5 = re.compile(r'^[0-9a-f]{32}$')

@api
@post('/api/users')
def register_user():
 i = ctx.request.input(name='', email='', password='')
 name = i.name.strip()
 email = i.email.strip().lower()
 password = i.password
 if not name:
  raise APIValueError('name')
 if not email or not _RE_EMAIL.match(email):
  raise APIValueError('email')
 if not password or not _RE_MD5.match(password):
  raise APIValueError('password')
 user = User.find_first('where email=?', email)
 if user:
  raise APIError('register:failed', 'email', 'Email is already in use.')
 user = User(name=name, email=email, password=password, image='http://www.gravatar.com/avatar/%s?d=mm&s=120' % hashlib.md5(email).hexdigest())
 user.insert()
 return user

注意用户口令是客户端传递的经过MD5计算后的32位Hash字符串,所以服务器端并不知道用户的原始口令。

接下来可以创建一个注册页面,让用户填写注册表单,然后,提交数据到注册用户的API:

{% extends '__base__.html' %}

{% block title %}注册{% endblock %}

{% block beforehead %}

<script>
function check_form() {
 $('#password').val(CryptoJS.MD5($('#password1').val()).toString());
 return true;
}
</script>

{% endblock %}

{% block content %}

<div class="uk-width-2-3">
 <h1>欢迎注册!</h1>
 <form id="form-register" class="uk-form uk-form-stacked" onsubmit="return check_form()">
  <div class="uk-alert uk-alert-danger uk-hidden"></div>
  <div class="uk-form-row">
   <label class="uk-form-label">名字:</label>
   <div class="uk-form-controls">
    <input name="name" type="text" class="uk-width-1-1">
   </div>
  </div>
  <div class="uk-form-row">
   <label class="uk-form-label">电子邮件:</label>
   <div class="uk-form-controls">
    <input name="email" type="text" class="uk-width-1-1">
   </div>
  </div>
  <div class="uk-form-row">
   <label class="uk-form-label">输入口令:</label>
   <div class="uk-form-controls">
    <input id="password1" type="password" class="uk-width-1-1">
    <input id="password" name="password" type="hidden">
   </div>
  </div>
  <div class="uk-form-row">
   <label class="uk-form-label">重复口令:</label>
   <div class="uk-form-controls">
    <input name="password2" type="password" maxlength="50" placeholder="重复口令" class="uk-width-1-1">
   </div>
  </div>
  <div class="uk-form-row">
   <button type="submit" class="uk-button uk-button-primary"><i class="uk-icon-user"></i> 注册</button>
  </div>
 </form>
</div>

{% endblock %}
Try

这样我们就把用户注册的功能完成了:

用Python实现web端用户登录和注册功能的教程

用户登录比用户注册复杂。由于HTTP协议是一种无状态协议,而服务器要跟踪用户状态,就只能通过cookie实现。大多数Web框架提供了Session功能来封装保存用户状态的cookie。

Session的优点是简单易用,可以直接从Session中取出用户登录信息。

Session的缺点是服务器需要在内存中维护一个映射表来存储用户登录信息,如果有两台以上服务器,就需要对Session做集群,因此,使用Session的Web App很难扩展。

我们采用直接读取cookie的方式来验证用户登录,每次用户访问任意URL,都会对cookie进行验证,这种方式的好处是保证服务器处理任意的URL都是无状态的,可以扩展到多台服务器。

由于登录成功后是由服务器生成一个cookie发送给浏览器,所以,要保证这个cookie不会被客户端伪造出来。

实现防伪造cookie的关键是通过一个单向算法(例如MD5),举例如下:

当用户输入了正确的口令登录成功后,服务器可以从数据库取到用户的id,并按照如下方式计算出一个字符串:

"用户id" + "过期时间" + MD5("用户id" + "用户口令" + "过期时间" + "SecretKey")

当浏览器发送cookie到服务器端后,服务器可以拿到的信息包括:

  •     用户id
  •     过期时间
  •     MD5值

如果未到过期时间,服务器就根据用户id查找用户口令,并计算:

MD5("用户id" + "用户口令" + "过期时间" + "SecretKey")

并与浏览器cookie中的MD5进行比较,如果相等,则说明用户已登录,否则,cookie就是伪造的。

这个算法的关键在于MD5是一种单向算法,即可以通过原始字符串计算出MD5,但无法通过MD5反推出原始字符串。

所以登录API可以实现如下:

@api
@post('/api/authenticate')
def authenticate():
  i = ctx.request.input()
  email = i.email.strip().lower()
  password = i.password
  user = User.find_first('where email=?', email)
  if user is None:
    raise APIError('auth:failed', 'email', 'Invalid email.')
  elif user.password != password:
    raise APIError('auth:failed', 'password', 'Invalid password.')
  max_age = 604800
  cookie = make_signed_cookie(user.id, user.password, max_age)
  ctx.response.set_cookie(_COOKIE_NAME, cookie, max_age=max_age)
  user.password = '******'
  return user

# 计算加密cookie:
def make_signed_cookie(id, password, max_age):
  expires = str(int(time.time() + max_age))
  L = [id, expires, hashlib.md5('%s-%s-%s-%s' % (id, password, expires, _COOKIE_KEY)).hexdigest()]
  return '-'.join(L)

对于每个URL处理函数,如果我们都去写解析cookie的代码,那会导致代码重复很多次。

利用拦截器在处理URL之前,把cookie解析出来,并将登录用户绑定到ctx.request对象上,这样,后续的URL处理函数就可以直接拿到登录用户:

@interceptor('/')
def user_interceptor(next):
  user = None
  cookie = ctx.request.cookies.get(_COOKIE_NAME)
  if cookie:
    user = parse_signed_cookie(cookie)
  ctx.request.user = user
  return next()

# 解密cookie:
def parse_signed_cookie(cookie_str):
  try:
    L = cookie_str.split('-')
    if len(L) != 3:
      return None
    id, expires, md5 = L
    if int(expires) < time.time():
      return None
    user = User.get(id)
    if user is None:
      return None
    if md5 != hashlib.md5('%s-%s-%s-%s' % (id, user.password, expires, _COOKIE_KEY)).hexdigest():
      return None
    return user
  except:
    return None
Try

这样,我们就完成了用户注册和登录的功能。

用Python实现web端用户登录和注册功能的教程

- Author -

廖雪峰

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

Python 相关文章推荐
linux系统使用python获取内存使用信息脚本分享
Jan 15 Python
Python 字符串操作方法大全
Mar 11 Python
跟老齐学Python之赋值,简单也不简单
Sep 24 Python
python机器学习之神经网络(一)
Dec 20 Python
python实现比较类的两个instance(对象)是否相等的方法分析
Jun 26 Python
pytorch 固定部分参数训练的方法
Aug 17 Python
PyTorch中的C++扩展实现
Apr 02 Python
python中如何写类
Jun 29 Python
通过代码实例解析Pytest运行流程
Aug 20 Python
python 实现控制鼠标键盘
Nov 27 Python
Prometheus开发中间件Exporter过程详解
Nov 30 Python
python基于opencv 实现图像时钟
Jan 04 Python
用Python编写web API的教程
Apr 30 #Python
为Python的web框架编写前端模版的教程
Apr 30 #Python
为Python的web框架编写MVC配置来使其运行的教程
Apr 30 #Python
在Python的web框架中配置app的教程
Apr 30 #Python
python实现从ftp服务器下载文件的方法
Apr 30 #Python
简单介绍Python下自己编写web框架的一些要点
Apr 29 #Python
编写Python的web框架中的Model的教程
Apr 29 #Python
AM(1) ICF-2010(1) 实习报告(1) 频偏(1) 单管机(1) 原理(1) 电路(15) 春雷3P7(1) 发烧友(1) 探测器(1)
You might like
PHP4实际应用经验篇(8)
2006/10/09 PHP
PHP获取栏目的所有子级和孙级栏目的ID号示例
2014/04/01 PHP
Laravle eloquent 多对多模型关联实例详解
2017/11/22 PHP
JavaScript版代码高亮
2006/06/26 Javascript
javascript中的prototype属性使用说明(函数功能扩展)
2010/08/16 Javascript
YUI模块开发原理详解
2013/11/18 Javascript
jquery中获取元素里某一特定子元素的代码
2014/12/02 Javascript
NodeJS学习笔记之Http模块
2015/01/13 NodeJs
Javascript 计算字符串在localStorage中所占字节数
2015/10/21 Javascript
解析Node.js异常处理中domain模块的使用方法
2016/02/16 Javascript
Node.js开发者必须了解的4个JS要点
2016/02/21 Javascript
Angular 输入框实现自定义验证功能
2017/02/19 Javascript
jquery实现超简单的瀑布流布局【推荐】
2017/03/08 Javascript
基于JavaScript实现报警器提示音效果
2017/10/27 Javascript
Vue.js自定义事件的表单输入组件方法
2018/03/08 Javascript
JQuery通过后台获取数据遍历到前台的方法
2018/08/13 jQuery
详解vue2.0模拟后台json数据
2019/05/16 Javascript
vue+vant使用图片预览功能ImagePreview的问题解决
2020/04/10 Javascript
echarts实现晶体球面投影的实例教程
2020/10/10 Javascript
python 判断一个进程是否存在
2009/04/09 Python
利用Python演示数型数据结构的教程
2015/04/03 Python
Python入门之三角函数atan2()函数详解
2017/11/08 Python
Python numpy实现二维数组和一维数组拼接的方法
2018/06/05 Python
python将txt文件读入为np.array的方法
2018/10/30 Python
通过python实现随机交换礼物程序详解
2019/07/10 Python
python使用协程实现并发操作的方法详解
2019/12/27 Python
浅析Python3 pip换源问题
2020/01/06 Python
使用python实现飞机大战游戏
2020/03/23 Python
简单了解Java Netty Reactor三种线程模型
2020/04/26 Python
Python自动化之UnitTest框架实战记录
2020/09/08 Python
全面解析CSS Media媒体查询使用操作(推荐)
2017/08/15 HTML / CSS
导游欢迎词范文
2015/01/23 职场文书
2016大学生就业指导课心得体会
2016/01/15 职场文书
导游词之杭州岳王庙
2019/11/13 职场文书
聊聊基于pytorch实现Resnet对本地数据集的训练问题
2022/03/25 Python
vue3种table表格选项个数的控制方法
2022/04/14 Vue.js