首頁 > 後端開發 > Python教學 > Flask中的使用者身份驗證和授權

Flask中的使用者身份驗證和授權

WBOY
發布: 2023-06-17 18:02:05
原創
2956 人瀏覽過

隨著Web應用程式的廣泛使用,安全性和資料保護已成為Web應用程式開發的重要議題。為了確保Web應用程式的安全性,需要進行使用者身份驗證和授權。 Flask作為一個流行的Web開發框架,提供了許多用於實現使用者身份驗證和授權的機制。

  1. 使用者驗證

使用者驗證是指在使用者存取網路應用程式的時候,透過一定的身分驗證方式來決定使用者的身分是否合法。 Flask提供了很多內建的方法來實現使用者身份驗證。

1.1. HTTP基本認證

HTTP基本認證是一種基於HTTP協定的驗證機制,它要求使用者在請求資源時提供使用者名稱和密碼進行驗證。 Flask內建了HTTP基本認證的功能,透過 Flask-BasicAuth 擴充功能可以輕易地實現基本認證功能。

使用 Flask-BasicAuth 擴展,需要在 Flask 應用中安裝並建立一個 BasicAuth 對象,然後將其裝飾在需要進行基本認證的路由函數上。範例程式碼如下:

from flask import Flask
from flask_basicauth import BasicAuth

app = Flask(__name__)

app.config['BASIC_AUTH_USERNAME'] = 'username'
app.config['BASIC_AUTH_PASSWORD'] = 'password'

basic_auth = BasicAuth(app)

@app.route('/')
@basic_auth.required
def index():
    return 'Hello, World!'
登入後複製

上面的程式碼中,BasicAuth的兩個設定項用於設定使用者名稱和密碼。路由函數上的 @basic_auth.required 裝飾器實作了基本認證的功能。

1.2. 表單認證

表單認證是Web應用程式中最常見的驗證方式之一。在Flask中實作表單認證一般需要使用 Flask-Login 擴充。

Flask-Login 擴充功能提供了一個 UserMixin 類,可以用來表示使用者資料模型。範例程式碼如下:

from flask_login import UserMixin

class User(UserMixin):
    def __init__(self, id, username, password):
        self.id = id
        self.username = username
        self.password = password

    def get_id(self):
        return str(self.id)
登入後複製

範例程式碼中,User 類別繼承自 flask_login.UserMixin 類,其中包含了常用的使用者認證方法。在 Flask-Login 擴充功能中,還需要提供一個使用者載入函數,用於載入使用者資料。範例程式碼如下:

from flask_login import login_user, LoginManager
from flask import Flask, render_template, redirect, url_for
from werkzeug.security import generate_password_hash, check_password_hash

app = Flask(__name__)
app.secret_key = 'your secret key'

login_manager = LoginManager(app)

# 用户数据
users = {
    1: {'username': 'user1', 'password': 'password1'},
    2: {'username': 'user2', 'password': 'password2'},
    3: {'username': 'user3', 'password': 'password3'},
}

# 实现用户加载函数
@login_manager.user_loader
def load_user(user_id):
    user = users.get(int(user_id))
    if user:
        return User(user_id, user['username'], user['password'])
    return None

# 实现登录视图
@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'POST':
        username = request.form['username']
        password = request.form['password']
        for user_id, user_data in users.items():
            if user_data['username'] == username and check_password_hash(user_data['password'], password):
                user = User(user_id, username, password)
                login_user(user)
                return redirect(url_for('index'))
        return 'Invalid username/password combination'
    return render_template('login.html')

# 实现需要登录才能访问的视图
@app.route('/')
@login_required
def index():
    return 'Hello, World!'
登入後複製

範例程式碼中,使用 Flask-Login 擴充功能需要對 Flask 應用進行初始化並設定 secret_key,然後透過 login_manager.user_loader 裝飾器實作使用者載入函數。最後,在需要登入才能存取的視圖函數上使用 @login_required 裝飾器即可實現登入控制。

  1. 使用者授權

使用者授權是指確定哪些使用者可以存取哪些資源。在Flask中實作使用者授權需要使用 Flask-Principal 擴充功能。

Flask-Principal 擴充功能提供了 Permission、Role 和 Identity 三個類,可以用來定義使用者存取資源的權限。 Permission 表示請求存取某個資源的權限,Role 表示使用者身分或group,Identity 表示某個使用者的識別資訊。

範例程式碼如下:

from flask_principal import Principal, Identity, AnonymousIdentity, Permission, RoleNeed

app = Flask(__name__)

principal = Principal(app)

# 定义角色,这里假设有管理员和普通用户两种角色
admin_role = RoleNeed('admin')
user_role = RoleNeed('user')

# 定义权限
admin_permission = Permission(admin_role)
user_permission = Permission(user_role)

# 定义 Identity,需要通过 Identity 的认证才能访问需要权限管理的路由
@app.before_request
def before_request():
    identity = Identity(anonymous=True)
    if current_user.is_authenticated:
        identity = Identity(current_user.id)
        if current_user.is_admin:
            identity.provides.add(admin_role)
        else:
            identity.provides.add(user_role)
    principal.identity = identity

# 在需要受权限控制的路由上使用 requires(permission) 装饰器
@app.route('/admin')
@admin_permission.require(http_exception=403)
def admin_index():
    return 'Hello, Admin!'

@app.route('/user')
@user_permission.require(http_exception=403)
def user_index():
    return 'Hello, User!'
登入後複製

在範例程式碼中,定義了兩個 Role,即 admin_role 和 user_role。每個 Role 均可定義一個 Permission,用於控制相關操作存取需求的權限。在 before_request 函數中,實作了 Identity 的認證,並根據具體情況加入不同的 Role。在需要權限管理的路由上使用 requires(permission) 裝飾器即可實現權限控制。

Flask提供了許多用於實現使用者身份驗證和授權的方法。掌握這些方法可以幫助開發者提升Web應用程式的安全性。同時,開發者也需要仔細考慮使用哪種方法來實現使用者身份驗證和授權,以確保應用程式的安全性和使用者資料的保護。

以上是Flask中的使用者身份驗證和授權的詳細內容。更多資訊請關注PHP中文網其他相關文章!

相關標籤:
來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板