欢迎访问宙启技术站
智能推送
最新文章

Python中基于Session实现用户认证和授权

发布时间:2023-12-18 03:36:13

在Python中,可以使用Session对象来实现用户认证和授权。Session是服务器端用来存储用户相关信息的一种方式,通过在服务器端存储用户认证信息,可以保证用户在整个会话期间的状态和权限。

下面是一个使用Flask框架和Flask-Session扩展来实现用户认证和授权的例子:

1. 安装依赖包:

pip install flask flask-session

2. 创建一个名为app.py的文件,内容如下:

from flask import Flask, session, redirect, url_for, render_template, request
from flask_session import Session

app = Flask(__name__)
app.secret_key = 'secret_key'
app.config['SESSION_TYPE'] = 'filesystem'
app.config['SESSION_FILE_DIR'] = './.flask_session/'
Session(app)

# 模拟数据库中的用户信息
users = {
    'admin': {
        'password': 'admin123',
        'role': 'admin'
    },
    'user': {
        'password': 'user123',
        'role': 'user'
    }
}

# 登录页面
@app.route('/')
def login():
    return render_template('login.html')

# 登录认证
@app.route('/auth', methods=['POST'])
def auth():
    username = request.form.get('username')
    password = request.form.get('password')

    if username in users and users[username]['password'] == password:
        session['username'] = username
        session['role'] = users[username]['role']
        return redirect(url_for('home'))
    else:
        return redirect(url_for('login'))

# 主页
@app.route('/home')
def home():
    if 'username' in session:
        return render_template('home.html', username=session['username'])
    else:
        return redirect(url_for('login'))

# 需要认证权限的操作
@app.route('/protected')
def protected():
    if 'username' in session and session['role'] == 'admin':
        return 'Protected page for admin'
    elif 'username' in session and session['role'] == 'user':
        return 'Protected page for user'
    else:
        return redirect(url_for('login'))

# 登出
@app.route('/logout')
def logout():
    session.clear()
    return redirect(url_for('login'))

if __name__ == '__main__':
    app.run()

3. 创建一个名为login.html的模板文件,内容如下:

<!DOCTYPE html>
<html>
<head>
    <title>Login</title>
</head>
<body>
    <h1>Login</h1>
    <form action="/auth" method="post">
        <label for="username">Username:</label>
        <input type="text" id="username" name="username" required><br><br>
        <label for="password">Password:</label>
        <input type="password" id="password" name="password" required><br><br>
        <input type="submit" value="Login">
    </form>
</body>
</html>

4. 创建一个名为home.html的模板文件,内容如下:

<!DOCTYPE html>
<html>
<head>
    <title>Home</title>
</head>
<body>
    <h1>Welcome, {{ username }}</h1>
    <a href="/protected">Protected Page</a><br><br>
    <a href="/logout">Logout</a>
</body>
</html>

这个例子中,使用Flask-Session扩展来实现Session功能。app.secret_key设置了用于加密Session的密钥,app.config['SESSION_TYPE']设置了Session存储类型为文件系统,app.config['SESSION_FILE_DIR']设置了Session存储的目录。

在登录认证(auth)的路由中,首先从表单中获取username和password,然后与模拟数据库中的用户信息进行比较。如果认证成功,将username和role存储在session中,并重定向到主页(home);如果认证失败,重定向回登录页面(login)。

在主页(home)的路由中,首先检查session中是否存在username,如果存在则渲染home.html模板,显示欢迎信息和一些选项;如果不存在,则重定向到登录页面。

在需要认证权限的操作(protected)的路由中,首先检查session中是否存在username和role,并判断role是否为admin或user。如果满足条件,返回相应的受保护页面;如果不满足条件,重定向回登录页面。

在登出(logout)的路由中,使用session.clear()方法来清除session中的所有数据,并重定向回登录页面。

通过这个例子,你可以理解如何在Python中使用Session来实现用户认证和授权。当用户登录成功后,服务器会为该用户分配一个 的Session ID,并在后续的请求中通过Session ID来识别用户。可以通过session对象来访问和操作Session中存储的数据。