首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 Python

用Python实现web端用户登录和注册功能的教程

Posted in Python onApril 30, 2015

用户管理是绝大部分Web网站都需要解决的问题。用户管理涉及到用户注册和登录。

用户注册相对简单,我们可以先通过API把用户注册这个功能实现了:

_RE_MD5 = re.compile(r'^[0-9a-f]{32}$')

@api
@post('/api/users')
def register_user():
 i = ctx.request.input(name='', email='', password='')
 name = i.name.strip()
 email = i.email.strip().lower()
 password = i.password
 if not name:
  raise APIValueError('name')
 if not email or not _RE_EMAIL.match(email):
  raise APIValueError('email')
 if not password or not _RE_MD5.match(password):
  raise APIValueError('password')
 user = User.find_first('where email=?', email)
 if user:
  raise APIError('register:failed', 'email', 'Email is already in use.')
 user = User(name=name, email=email, password=password, image='http://www.gravatar.com/avatar/%s?d=mm&s=120' % hashlib.md5(email).hexdigest())
 user.insert()
 return user

注意用户口令是客户端传递的经过MD5计算后的32位Hash字符串,所以服务器端并不知道用户的原始口令。

接下来可以创建一个注册页面,让用户填写注册表单,然后,提交数据到注册用户的API:

{% extends '__base__.html' %}

{% block title %}注册{% endblock %}

{% block beforehead %}

<script>
function check_form() {
 $('#password').val(CryptoJS.MD5($('#password1').val()).toString());
 return true;
}
</script>

{% endblock %}

{% block content %}

<div class="uk-width-2-3">
 <h1>欢迎注册!</h1>
 <form id="form-register" class="uk-form uk-form-stacked" onsubmit="return check_form()">
  <div class="uk-alert uk-alert-danger uk-hidden"></div>
  <div class="uk-form-row">
   <label class="uk-form-label">名字:</label>
   <div class="uk-form-controls">
    <input name="name" type="text" class="uk-width-1-1">
   </div>
  </div>
  <div class="uk-form-row">
   <label class="uk-form-label">电子邮件:</label>
   <div class="uk-form-controls">
    <input name="email" type="text" class="uk-width-1-1">
   </div>
  </div>
  <div class="uk-form-row">
   <label class="uk-form-label">输入口令:</label>
   <div class="uk-form-controls">
    <input id="password1" type="password" class="uk-width-1-1">
    <input id="password" name="password" type="hidden">
   </div>
  </div>
  <div class="uk-form-row">
   <label class="uk-form-label">重复口令:</label>
   <div class="uk-form-controls">
    <input name="password2" type="password" maxlength="50" placeholder="重复口令" class="uk-width-1-1">
   </div>
  </div>
  <div class="uk-form-row">
   <button type="submit" class="uk-button uk-button-primary"><i class="uk-icon-user"></i> 注册</button>
  </div>
 </form>
</div>

{% endblock %}
Try

这样我们就把用户注册的功能完成了:

用Python实现web端用户登录和注册功能的教程

用户登录比用户注册复杂。由于HTTP协议是一种无状态协议,而服务器要跟踪用户状态,就只能通过cookie实现。大多数Web框架提供了Session功能来封装保存用户状态的cookie。

Session的优点是简单易用,可以直接从Session中取出用户登录信息。

Session的缺点是服务器需要在内存中维护一个映射表来存储用户登录信息,如果有两台以上服务器,就需要对Session做集群,因此,使用Session的Web App很难扩展。

我们采用直接读取cookie的方式来验证用户登录,每次用户访问任意URL,都会对cookie进行验证,这种方式的好处是保证服务器处理任意的URL都是无状态的,可以扩展到多台服务器。

由于登录成功后是由服务器生成一个cookie发送给浏览器,所以,要保证这个cookie不会被客户端伪造出来。

实现防伪造cookie的关键是通过一个单向算法(例如MD5),举例如下:

当用户输入了正确的口令登录成功后,服务器可以从数据库取到用户的id,并按照如下方式计算出一个字符串:

"用户id" + "过期时间" + MD5("用户id" + "用户口令" + "过期时间" + "SecretKey")

当浏览器发送cookie到服务器端后,服务器可以拿到的信息包括:

  •     用户id
  •     过期时间
  •     MD5值

如果未到过期时间,服务器就根据用户id查找用户口令,并计算:

MD5("用户id" + "用户口令" + "过期时间" + "SecretKey")

并与浏览器cookie中的MD5进行比较,如果相等,则说明用户已登录,否则,cookie就是伪造的。

这个算法的关键在于MD5是一种单向算法,即可以通过原始字符串计算出MD5,但无法通过MD5反推出原始字符串。

所以登录API可以实现如下:

@api
@post('/api/authenticate')
def authenticate():
  i = ctx.request.input()
  email = i.email.strip().lower()
  password = i.password
  user = User.find_first('where email=?', email)
  if user is None:
    raise APIError('auth:failed', 'email', 'Invalid email.')
  elif user.password != password:
    raise APIError('auth:failed', 'password', 'Invalid password.')
  max_age = 604800
  cookie = make_signed_cookie(user.id, user.password, max_age)
  ctx.response.set_cookie(_COOKIE_NAME, cookie, max_age=max_age)
  user.password = '******'
  return user

# 计算加密cookie:
def make_signed_cookie(id, password, max_age):
  expires = str(int(time.time() + max_age))
  L = [id, expires, hashlib.md5('%s-%s-%s-%s' % (id, password, expires, _COOKIE_KEY)).hexdigest()]
  return '-'.join(L)

对于每个URL处理函数,如果我们都去写解析cookie的代码,那会导致代码重复很多次。

利用拦截器在处理URL之前,把cookie解析出来,并将登录用户绑定到ctx.request对象上,这样,后续的URL处理函数就可以直接拿到登录用户:

@interceptor('/')
def user_interceptor(next):
  user = None
  cookie = ctx.request.cookies.get(_COOKIE_NAME)
  if cookie:
    user = parse_signed_cookie(cookie)
  ctx.request.user = user
  return next()

# 解密cookie:
def parse_signed_cookie(cookie_str):
  try:
    L = cookie_str.split('-')
    if len(L) != 3:
      return None
    id, expires, md5 = L
    if int(expires) < time.time():
      return None
    user = User.get(id)
    if user is None:
      return None
    if md5 != hashlib.md5('%s-%s-%s-%s' % (id, user.password, expires, _COOKIE_KEY)).hexdigest():
      return None
    return user
  except:
    return None
Try

这样,我们就完成了用户注册和登录的功能。

用Python实现web端用户登录和注册功能的教程

- Author -

廖雪峰

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

Python 相关文章推荐
Python中的tuple元组详细介绍
Feb 02 Python
Python isinstance函数介绍
Apr 14 Python
Python函数式编程指南(一):函数式编程概述
Jun 24 Python
Python RabbitMQ消息队列实现rpc
May 30 Python
Django Rest framework之权限的实现示例
Dec 17 Python
Python二元赋值实用技巧解析
Oct 25 Python
python中count函数简单用法
Jan 05 Python
Tensorflow中tf.ConfigProto()的用法详解
Feb 06 Python
Python HTMLTestRunner库安装过程解析
May 25 Python
Python进阶学习之带你探寻Python类的鼻祖-元类
May 08 Python
聊聊pytorch测试的时候为何要加上model.eval()
May 23 Python
python 利用PyAutoGUI快速构建自动化操作脚本
May 31 Python
用Python编写web API的教程
Apr 30 #Python
为Python的web框架编写前端模版的教程
Apr 30 #Python
为Python的web框架编写MVC配置来使其运行的教程
Apr 30 #Python
在Python的web框架中配置app的教程
Apr 30 #Python
python实现从ftp服务器下载文件的方法
Apr 30 #Python
简单介绍Python下自己编写web框架的一些要点
Apr 29 #Python
编写Python的web框架中的Model的教程
Apr 29 #Python
思想汇报(404) 推荐信(292) 岗位职责(1324) 创业计划书(312) 演讲稿(869) 道歉信(39) 欢迎词(65) 心得体会(660) 职业生涯规划书(234) 证婚词(21)
You might like
如何使用动态共享对象的模式来安装PHP
2006/10/09 PHP
PHP获取photoshop写入图片文字信息的方法
2015/03/31 PHP
PHP中的类型约束介绍
2015/05/11 PHP
PHP实现动态web服务器方法
2015/07/29 PHP
PHP多维数组元素操作类的方法
2016/11/14 PHP
jQuery 位置函数offset,innerWidth,innerHeight,outerWidth,outerHeight,scrollTop,scrollLeft
2010/03/23 Javascript
javascript学习笔记(八) js内置对象
2012/06/19 Javascript
面向对象设计模式的核心法则
2013/11/10 Javascript
禁止iframe脚本弹出的窗口覆盖了父窗口的方法
2014/09/06 Javascript
js实时获取并显示当前时间的方法
2015/07/31 Javascript
Webpack 实现 AngularJS 的延迟加载
2016/03/02 Javascript
微信jssdk用法汇总
2016/07/16 Javascript
Angular.JS通过指令操作DOM的方法
2017/05/10 Javascript
javascript帧动画(实例讲解)
2017/09/02 Javascript
js canvas实现简单的图像扩散效果
2020/06/28 Javascript
Angular实现svg和png图片下载实现
2019/05/05 Javascript
Jquery Fade用法详解
2020/11/06 jQuery
Python tempfile模块学习笔记(临时文件)
2014/05/25 Python
Python3中的2to3转换工具使用示例
2015/06/12 Python
Python探索之pLSA实现代码
2017/10/25 Python
Python实现合并同一个文件夹下所有PDF文件的方法示例
2018/04/28 Python
梅尔倒谱系数(MFCC)实现
2019/06/19 Python
Python操作SQLite数据库过程解析
2019/09/02 Python
Python 多线程共享变量的实现示例
2020/04/17 Python
django rest framework 自定义返回方式
2020/07/12 Python
HTML5如何使用SVG的方法示例
2019/01/11 HTML / CSS
金融专业个人的自我评价
2013/10/18 职场文书
销售主管岗位职责
2014/02/08 职场文书
竞选学生会演讲稿
2014/04/25 职场文书
留学经费担保书
2014/05/12 职场文书
村级四风对照检查材料
2014/08/24 职场文书
邮政竞聘演讲稿
2014/09/03 职场文书
学校教师师德师风承诺书
2015/04/28 职场文书
大学运动会通讯稿
2015/07/18 职场文书
详解CocosCreator项目结构机制
2021/04/14 Javascript
Mysql 一主多从的部署
2022/05/20 MySQL