Python Flask-Login深度解析:用户认证与会话管理实战指南

最新推荐文章于 2025-09-29 09:57:38 发布
原创 最新推荐文章于 2025-09-29 09:57:38 发布 · 1.3k 阅读 · 28 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #flask #开发语言 #pip #pycharm #fastapi

部署运行你感兴趣的模型镜像

文章目录

flask-login 是 Flask 生态中用于处理用户认证的核心扩展库,专注于管理用户会话(登录、注销、会话维持等),简化了用户认证流程,避免开发者重复实现复杂的会话管理逻辑。它不直接处理用户数据库验证(如密码校验),而是专注于会话生命周期管理,可与任意用户存储方案(如 SQL 数据库、NoSQL、LDAP 等)配合使用。

一、flask-login 核心功能

  1. 用户会话管理:自动处理用户登录状态的创建、维持和销毁
  2. 登录状态验证:提供装饰器保护路由,仅允许登录用户访问
  3. "记住我"功能:支持长期会话,即使浏览器关闭后仍能保持登录状态
  4. 用户加载机制:通过回调函数从会话中加载用户对象
  5. 安全特性:内置防会话固定攻击、自动处理用户会话过期等

二、核心概念与依赖

  • 用户模型(User Model):必须实现特定属性/方法(或继承 UserMixin 简化实现)
  • 用户加载器(User Loader):回调函数,用于从用户 ID 加载用户对象
  • 登录管理器(LoginManager):核心对象,协调认证流程
  • 依赖:需安装 flaskflask-login(Python 3.6+ 支持)

三、使用步骤与代码示例

步骤 1:安装依赖

pip install flask flask-login

步骤 2:初始化应用与登录管理器

首先创建 Flask 应用,初始化 LoginManager,并配置必要参数(如密钥)。

from flask import Flask, render_template, redirect, url_for, request, flash
from flask_login import LoginManager, UserMixin, login_user, login_required, logout_user, current_user

# 初始化Flask应用
app = Flask(__name__)
# 配置密钥(用于会话加密,生产环境需使用复杂随机值)
app.config['SECRET_KEY'] = 'your-secret-key-here-keep-it-safe'

# 初始化登录管理器
login_manager = LoginManager(app)
# 设置登录页面路由(未登录用户访问受保护路由时跳转至此)
login_manager.login_view = 'login'
# 登录提示消息
login_manager.login_message = '请先登录以访问该页面'
login_manager.login_message_category = 'info'

步骤 3:定义用户模型

用户模型需实现 flask-login 要求的 4 个属性/方法(或直接继承 UserMixin 简化):

  • is_authenticated:是否已认证(布尔值)
  • is_active:账户是否激活(布尔值)
  • is_anonymous:是否为匿名用户(布尔值)
  • get_id():返回用户唯一标识符(字符串)
# 示例:使用内存字典模拟用户数据库
users = {
    'user1': {'password': 'pass123', 'id': 1, 'name': '张三'},
    'user2': {'password': 'pass456', 'id': 2, 'name': '李四'}
}

# 定义用户类(继承UserMixin简化实现)
class User(UserMixin):
    def __init__(self, user_id, username, name):
        self.id = user_id  # 唯一标识(必须)
        self.username = username
        self.name = name

# 实现用户加载器(核心!用于从会话中加载用户)
@login_manager.user_loader
def load_user(user_id):
    # 根据用户ID从数据库/存储中查询用户
    # 这里从模拟字典中查询
    for username, user_data in users.items():
        if user_data['id'] == int(user_id):
            return User(
                user_id=user_data['id'],
                username=username,
                name=user_data['name']
            )
    return None  # 未找到用户返回None

步骤 4:实现登录与注销视图

  • 登录:验证用户凭据(用户名/密码),通过 login_user() 函数创建会话
  • 注销:通过 logout_user() 函数销毁会话
# 登录视图
@app.route('/login', methods=['GET', 'POST'])
def login():
    # 如果已登录,直接跳转到首页
    if current_user.is_authenticated:
        return redirect(url_for('index'))
    
    if request.method == 'POST':
        username = request.form.get('username')
        password = request.form.get('password')
        remember = 'remember' in request.form  # "记住我"复选框
        
        # 验证用户(实际应用中应查询数据库)
        user_data = users.get(username)
        if not user_data or user_data['password'] != password:
            flash('用户名或密码错误', 'danger')
            return redirect(url_for('login'))
        
        # 创建用户对象
        user = User(
            user_id=user_data['id'],
            username=username,
            name=user_data['name']
        )
        
        # 登录用户(创建会话)
        # remember=True:启用"记住我"功能(会话有效期更长)
        login_user(user, remember=remember)
        
        # 如果有跳转页面(如访问受保护路由被拦截后跳转登录),则跳转到该页面
        next_page = request.args.get('next')
        return redirect(next_page or url_for('index'))
    
    # GET请求:显示登录表单
    return render_template('login.html')

# 注销视图
@app.route('/logout')
@login_required  # 仅登录用户可访问
def logout():
    logout_user()  # 销毁会话
    flash('已成功注销', 'info')
    return redirect(url_for('login'))

步骤 5:创建受保护路由

使用 @login_required 装饰器保护路由,未登录用户访问时会自动跳转到登录页。

# 首页(公开访问)
@app.route('/')
def index():
    return render_template('index.html')

# 个人中心(仅登录用户可访问)
@app.route('/profile')
@login_required  # 保护路由
def profile():
    # current_user:全局变量,自动获取当前登录用户对象
    return render_template('profile.html', user=current_user)

# 管理员页面(示例:更严格的权限控制)
@app.route('/admin')
@login_required
def admin():
    # 假设只有id=1的用户是管理员
    if current_user.id != 1:
        flash('没有管理员权限', 'danger')
        return redirect(url_for('index'))
    return render_template('admin.html')

步骤 6:创建模板文件

需要简单的 HTML 模板配合(放在 templates 文件夹下):

login.html(登录表单)
<!DOCTYPE html>
<html>
<head>
    <title>登录</title>
    <link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/bootstrap@5.3.0/dist/css/bootstrap.min.css">
</head>
<body>
    <div class="container mt-5" style="max-width: 500px;">
        <h2>用户登录</h2>
        {% with messages = get_flashed_messages(with_categories=true) %}
            {% if messages %}
                {% for category, message in messages %}
                    <div class="alert alert-{{ category }}">{{ message }}</div>
                {% endfor %}
            {% endif %}
        {% endwith %}
        <form method="post">
            <div class="mb-3">
                <label for="username" class="form-label">用户名</label>
                <input type="text" class="form-control" id="username" name="username" required>
            </div>
            <div class="mb-3">
                <label for="password" class="form-label">密码</label>
                <input type="password" class="form-control" id="password" name="password" required>
            </div>
            <div class="mb-3 form-check">
                <input type="checkbox" class="form-check-input" id="remember" name="remember">
                <label class="form-check-label" for="remember">记住我</label>
            </div>
            <button type="submit" class="btn btn-primary">登录</button>
        </form>
    </div>
</body>
</html>
profile.html(个人中心)
<!DOCTYPE html>
<html>
<head>
    <title>个人中心</title>
    <link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/bootstrap@5.3.0/dist/css/bootstrap.min.css">
</head>
<body>
    <div class="container mt-5">
        <h2>个人中心</h2>
        <p>登录用户:{{ user.name }}({{ user.username }})</p>
        <p>用户ID:{{ user.id }}</p>
        <a href="{{ url_for('logout') }}" class="btn btn-danger">注销</a>
        <a href="{{ url_for('index') }}" class="btn btn-secondary">返回首页</a>
    </div>
</body>
</html>

步骤 7:运行应用

if __name__ == '__main__':
    app.run(debug=True)  # 开发环境使用debug模式

四、关键知识点解析

  1. current_user 全局变量
    flask-login 提供,在任意视图或模板中可直接访问,自动指向当前登录用户(未登录时为匿名用户)。

  2. 用户加载器(user_loader
    核心回调函数,flask-login 会在每次请求时通过它从用户 ID 加载用户对象,必须实现(否则无法维持登录状态)。

  3. "记住我"功能
    通过 login_user(user, remember=True) 启用,会话有效期默认为 365 天(可通过 REMEMBER_COOKIE_DURATION 配置)。

  4. 会话安全

    • 自动生成安全的会话 ID
    • 支持配置会话过期时间(PERMANENT_SESSION_LIFETIME
    • 防会话固定攻击(登录时自动刷新会话 ID)

五、扩展与最佳实践

  1. 结合数据库:实际应用中应使用 SQLAlchemy 等 ORM 管理用户数据,而非内存字典。
    示例(SQLAlchemy 用户模型):

    from flask_sqlalchemy import SQLAlchemy

db = SQLAlchemy(app)

class User(UserMixin, db.Model):
    id = db.Column(db.Integer, primary_key=True)
    username = db.Column(db.String(50), unique=True, nullable=False)
    password = db.Column(db.String(100), nullable=False)  # 存储加密后的密码
    name = db.Column(db.String(100))

  2. 密码安全:永远不要明文存储密码,应使用 werkzeug.security 加密:

    from werkzeug.security import generate_password_hash, check_password_hash

# 存储密码时加密
hashed_password = generate_password_hash('user_password', method='pbkdf2:sha256')

# 验证密码时
if check_password_hash(user.hashed_password, input_password):
    # 密码正确

  3. 自定义匿名用户:通过 login_manager.anonymous_user 配置自定义匿名用户类。

  4. 会话配置:在生产环境中调整会话相关配置:

    app.config['PERMANENT_SESSION_LIFETIME'] = 3600  # 会话有效期(秒)
app.config['REMEMBER_COOKIE_DURATION'] = 30 * 24 * 3600  # "记住我"有效期(30天)
app.config['SESSION_COOKIE_SECURE'] = True  # 仅通过HTTPS传输cookie

总结

flask-login 是 Flask 认证的事实标准库,它剥离了复杂的会话管理细节,让开发者专注于业务逻辑。核心流程为:定义用户模型 → 实现用户加载器 → 处理登录/注销 → 保护路由。配合密码加密和数据库存储,可构建安全可靠的用户认证系统。

您可能感兴趣的与本文相关的镜像

Python3.9

Python3.9

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

Flask-Login 用户登录
qq_45323012的博客
02-17 2285
Flask-Login提供Flask用户会话管理。它处理登录,注销和记住用户会话的常见任务。 它会: 1.将活动用户的ID存储在会话中,让您轻松登录和注销。 2.让您将视图限制为已登录(或已注销)用户。 3.处理通常令人毛骨悚然的“记住我”功能。 4.帮助保护您的用户会话免遭Cookie小偷窃取。 5.稍后可能Flask-Principal或其他授权扩展集成。 但是,它不会: 1.对您强加特定...
Flask_Login使用源码解读
程序员青菜学厨记
10-30 910
注:Flask是一个微框架,仅提供包含基本服务的核心(路由、网关接口、模板),其它功能都是通过扩展来实现,它有无数扩展,你可以根据需要自由组合,这一系列文章我们会来介绍一下这些扩展的使用以及解读一下其源码,另外关于分布系统登录方案可以参考 《注:如果用户登录后,会将user存储在当前request_context中,我们就可以直接获取,如果request_context中没有user对象,将调用_load_user()来恢复(服务器重启就会走这个路径,浏览器并不需要重新登录)
Flask-Login 使用详解
最新发布
m0_73419365的博客
09-29 1092
这个处理函数极大改善了用户体验,避免登录后还要手动导航回原本想访问的页面。# 当用户尝试访问需要登录的页面但未登录时自动调用flash('你需要登录才能访问该页面', 'warning') # 显示提示消息return redirect(url_for('login', next=request.url)) # 重定向到登录页关键点说明:装饰器,注册为未授权访问的默认处理函数flash():通过用户反馈,'warning'类别用于样式区分。
flask-Login实现用户登录系统,使用WTForm及Flask-Sqlalchemy实现用户注册
weixin_43741711的博客
03-12 1933
flask-loginflask-openid实现用户登录系统-建立web表单数据库的联系 安装扩展Flask-LoginFlask-OpenID 配置init,重构数据库模型,user_loader回调(从数据库加载用户),重新定义登录视图函数-login,登陆回调视图函数-after login认证成功之后进行登录),首页视图-index 从app中导入的是初始化函数中的变量 1.url_for()作用: (1)给指定的函数构造 URL。 (2)访问静态文件(CSS / JavaScrip
Python Flask-Login:构建强大的用户认证系统
m0_56659620的博客
07-26 2499
目录​编辑Flask-Login简介构建流程1. 用户模型初始化(2)模型中直接定义必要的属性和方法2. Flask-Login组件初始化(1)依赖包(1)设置login-secret_key(2)存储会话设置3. Flask-Login 路由方法编写(1) 存储userid(2)登录视图编写(调用load_user方法对id进行存储)(3)保护视图(加载login_required)(4) 注销视图(用户退出)(5)平台请求-刷新会话时间(如果30分钟内不存在接口请求-退出)4. 完整代码案例。
精选资源
flask-login-example:Flask-Login扩展示例
05-03
在这个名为"flask-login-example"的示例中,我们将深入探讨如何使用Flask-Login来管理用户会话,包括用户的登录、登出以及会话持久化等关键功能。 首先,让我们了解Flask-Login的基本概念。Flask-Login提供了一个`...
flask-login-example:一个非常简单的Flask应用程序,演示了如何将OpenID connect集成到用户会话管理
05-08
用户登录会话在和的帮助下进行管理。 请参阅了解相关性。 启动开发服务器 让我们确保一切都按承诺运行。 1.创建一个虚拟环境并安装依赖项。 python3 -mvenv env pip install --editable . 2.设置以下环境变量。 ...
Python身份认证】Authlib、Flask-LoginDjango OAuth Toolkit对比:特性、适用场景及选择指南
07-21
Flask - Login 专注于 Flask 应用的用户会话管理,提供简单易用的用户认证会话管理功能,适用于小型 Flask 应用。Django OAuth Toolkit 是专门为 Django 框架实现 OAuth 2.0 服务器功能的库,适合需要构建 OAuth ...
精选资源
flask-ldap3-loginFlaskFlask登录的LDAP3登录
02-05
5. **集成Flask-Login**:Flask-LDAP3-LoginFlask-Login库兼容,可以轻松地处理会话管理用户状态,如记住登录状态、自动登录等。 ### 使用Flask-LDAP3-Login的步骤 1. **安装**:首先,你需要通过pip安装Flask...
flask中的flask-login
weixin_41777118的博客
08-01 1398
Flask 中,用户认证通常是通过使用扩展库(例如 Flask-LoginFlask-HTTPAuth 或 Flask-Security)来实现的。
[python]Flask_Login
weixin_67719939的博客
10-05 1712
flask login的介绍使用
PythonFlask用户登录组件Flask-Login
彭世瑜的博客
04-21 4230
用户登录组件Flask-Login 文档: 中文:http://www.pythondoc.com/flask-login/ 英文:https://flask-login.readthedocs.io/en/latest/ 目录简要说明基本的接口使用示例 简要说明 flask_login提供的方法 # 类 UserMixin 用户类 #方法 login_user() 用户登入 logout_user() 登出功能 # 变量 current_user 获取当前用户 # 装饰器 @logi
Flask框架之用户登录模块flask_login模块
qq_41809511的博客
03-11 8611
flask_login模块 flask-loginflask提供了用户会话管理。他处理了日常的登入,登出并且长时间记住用户的会话。 在会话中存储当前活跃的用户ID让你能够自由地登入和登出。 让你限制登入或登出,用户可以访问的试图。 处理让人棘手的记住我功能。 帮助你保护用户会话免遭cookie被盗的牵连。 .可以以后可能使用的flask-principal或其他认证扩展集成。 一、配置你的应用 对一个使用flask-login的应用最重要的一部分是loginmanager类。
flask-login
weixin_30338497的博客
02-26 252
1.配置 login_manager = LoginManager() login_manager.init_app(app) 例子: @app.route('/login', methods=['GET', 'POST']) def login(): # Here we use a class of some kind to represent and validate our # client...
Flask-login
PythonKidDz的博客
03-04 1409
Flask-login提供用户session管理,它解决了用户登录,登出,在长时间内能记住你的用户的session。用处: - 储存已激活的用户ID到session中,方便用户登录和登出 - 对已登录用户或登出用户限制视图 - 提供“remember me”功能 - 帮助你防止你的session被cookie小偷盗掉 -认证扩展和Flask整合到一起然而,它无法做到: 不提供
Flask-login实现登录
fanxl10的专栏
05-25 400
flask-login实现登录安装flask-login配置flask-login在user对象配置get_user在需要认证的方法上添加注解 安装flask-login pipenv install flask-login 配置flask-login from flask_login import LoginManager login_manager = LoginManager() login_manager.init_app(app) # 指定登录地址 login_manager.login_v
DashFlask-Login集成插件:简化用户认证流程
通过Flask-Login提供的用户会话管理功能,Dash应用能够支持用户登录和注销,并且能够对用户的访问权限进行控制。 #### 安装部署 根据描述,可以通过pip包管理工具安装dash-flask-login插件。在安装完成后,开发者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值