用python写注册登录_用Python实现web端用户登录和注册功能的教程
用戶管理是絕大部分Web網站都需要解決的問題。用戶管理涉及到用戶注冊和登錄。
用戶注冊相對簡單,我們可以先通過API把用戶注冊這個功能實現了:
_RE_MD5 = re.compile(r'^[0-9a-f]{32}$')
@api
@post('/api/users')
def register_user():
i = ctx.request.input(name='', email='', password='')
name = i.name.strip()
email = i.email.strip().lower()
password = i.password
if not name:
raise APIValueError('name')
if not email or not _RE_EMAIL.match(email):
raise APIValueError('email')
if not password or not _RE_MD5.match(password):
raise APIValueError('password')
user = User.find_first('where email=?', email)
if user:
raise APIError('register:failed', 'email', 'Email is already in use.')
user = User(name=name, email=email, password=password, image='http://www.gravatar.com/avatar/%s?d=mm&s=120' % hashlib.md5(email).hexdigest())
user.insert()
return user
注意用戶口令是客戶端傳遞的經過MD5計算后的32位Hash字符串,所以服務器端并不知道用戶的原始口令。
接下來可以創建一個注冊頁面,讓用戶填寫注冊表單,然后,提交數據到注冊用戶的API:
{% extends '__base__.html' %}
{% block title %}注冊{% endblock %}
{% block beforehead %}
function check_form() {
$('#password').val(CryptoJS.MD5($('#password1').val()).toString());
return true;
}
{% endblock %}
{% block content %}
歡迎注冊!
名字:
電子郵件:
輸入口令:
重復口令:
注冊
{% endblock %}
Try
這樣我們就把用戶注冊的功能完成了:
用戶登錄比用戶注冊復雜。由于HTTP協議是一種無狀態協議,而服務器要跟蹤用戶狀態,就只能通過cookie實現。大多數Web框架提供了Session功能來封裝保存用戶狀態的cookie。
Session的優點是簡單易用,可以直接從Session中取出用戶登錄信息。
Session的缺點是服務器需要在內存中維護一個映射表來存儲用戶登錄信息,如果有兩臺以上服務器,就需要對Session做集群,因此,使用Session的Web App很難擴展。
我們采用直接讀取cookie的方式來驗證用戶登錄,每次用戶訪問任意URL,都會對cookie進行驗證,這種方式的好處是保證服務器處理任意的URL都是無狀態的,可以擴展到多臺服務器。
由于登錄成功后是由服務器生成一個cookie發送給瀏覽器,所以,要保證這個cookie不會被客戶端偽造出來。
實現防偽造cookie的關鍵是通過一個單向算法(例如MD5),舉例如下:
當用戶輸入了正確的口令登錄成功后,服務器可以從數據庫取到用戶的id,并按照如下方式計算出一個字符串:
"用戶id" + "過期時間" + MD5("用戶id" + "用戶口令" + "過期時間" + "SecretKey")
當瀏覽器發送cookie到服務器端后,服務器可以拿到的信息包括:
用戶id
過期時間
MD5值
如果未到過期時間,服務器就根據用戶id查找用戶口令,并計算:
MD5("用戶id" + "用戶口令" + "過期時間" + "SecretKey")
并與瀏覽器cookie中的MD5進行比較,如果相等,則說明用戶已登錄,否則,cookie就是偽造的。
這個算法的關鍵在于MD5是一種單向算法,即可以通過原始字符串計算出MD5,但無法通過MD5反推出原始字符串。
所以登錄API可以實現如下:
@api
@post('/api/authenticate')
def authenticate():
i = ctx.request.input()
email = i.email.strip().lower()
password = i.password
user = User.find_first('where email=?', email)
if user is None:
raise APIError('auth:failed', 'email', 'Invalid email.')
elif user.password != password:
raise APIError('auth:failed', 'password', 'Invalid password.')
max_age = 604800
cookie = make_signed_cookie(user.id, user.password, max_age)
ctx.response.set_cookie(_COOKIE_NAME, cookie, max_age=max_age)
user.password = '******'
return user
# 計算加密cookie:
def make_signed_cookie(id, password, max_age):
expires = str(int(time.time() + max_age))
L = [id, expires, hashlib.md5('%s-%s-%s-%s' % (id, password, expires, _COOKIE_KEY)).hexdigest()]
return '-'.join(L)
對于每個URL處理函數,如果我們都去寫解析cookie的代碼,那會導致代碼重復很多次。
利用攔截器在處理URL之前,把cookie解析出來,并將登錄用戶綁定到ctx.request對象上,這樣,后續的URL處理函數就可以直接拿到登錄用戶:
@interceptor('/')
def user_interceptor(next):
user = None
cookie = ctx.request.cookies.get(_COOKIE_NAME)
if cookie:
user = parse_signed_cookie(cookie)
ctx.request.user = user
return next()
# 解密cookie:
def parse_signed_cookie(cookie_str):
try:
L = cookie_str.split('-')
if len(L) != 3:
return None
id, expires, md5 = L
if int(expires) < time.time():
return None
user = User.get(id)
if user is None:
return None
if md5 != hashlib.md5('%s-%s-%s-%s' % (id, user.password, expires, _COOKIE_KEY)).hexdigest():
return None
return user
except:
return None
Try
這樣,我們就完成了用戶注冊和登錄的功能。
總結
以上是生活随笔為你收集整理的用python写注册登录_用Python实现web端用户登录和注册功能的教程的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python查看类的属性和方法_Pyth
- 下一篇: websocket python爬虫_p