Python实战 Day 10 - 用户注册和登录

论坛 期权论坛 期权     
筑梦编程   2019-7-21 15:20   5347   0

用户管理是绝大部分Web网站都需要解决的问题。用户管理涉及到用户注册和登录。
用户注册相对简单,我们可以先通过API把用户注册这个功能实现了:

  1. _RE_EMAIL = re.compile(r'^[a-z0-9\.\-\_]+\@[a-z0-9\-\_]+(\.[a-z0-9\-\_]+){1,4}$')
复制代码
  1. _RE_SHA1 = re.compile(r'^[0-9a-f]{40}$')
复制代码
  1. [/code][code]@post('/api/users')
复制代码
  1. def api_register_user(*, email, name, passwd):
复制代码
  1.     if not name or not name.strip():
复制代码
  1.         raise APIValueError('name')
复制代码
  1.     if not email or not _RE_EMAIL.match(email):
复制代码
  1.         raise APIValueError('email')
复制代码
  1.     if not passwd or not _RE_SHA1.match(passwd):
复制代码
  1.         raise APIValueError('passwd')
复制代码
  1.     users = yield from User.findAll('email=?', [email])
复制代码
  1.     if len(users) > 0:
复制代码
  1.         raise APIError('register:failed', 'email', 'Email is already in use.')
复制代码
  1.     uid = next_id()
复制代码
  1.     sha1_passwd = '%s:%s' % (uid, passwd)
复制代码
  1.     user = User(id=uid, name=name.strip(), email=email, passwd=hashlib.sha1(sha1_passwd.encode('utf-8')).hexdigest(), image='http://www.gravatar.com/avatar/%s?d=mm&s=120' % hashlib.md5(email.encode('utf-8')).hexdigest())
复制代码
  1.     yield from user.save()
复制代码
  1.     # make session cookie:
复制代码
  1.     r = web.Response()
复制代码
  1.     r.set_cookie(COOKIE_NAME, user2cookie(user, 86400), max_age=86400, httponly=True)
复制代码
  1.     user.passwd = '******'
复制代码
  1.     r.content_type = 'application/json'
复制代码
  1.     r.body = json.dumps(user, ensure_ascii=False).encode('utf-8')
复制代码
  1.     return r
复制代码
注意用户口令是客户端传递的经过SHA1计算后的40位Hash字符串,所以服务器端并不知道用户的原始口令。

接下来可以创建一个注册页面,让用户填写注册表单,然后,提交数据到注册用户的API:

  1. {% extends '__base__.html' %}
复制代码
  1. [/code][code]{% block title %}注册{% endblock %}
复制代码
  1. [/code][code]{% block beforehead %}
复制代码
  1. [/code][code]
复制代码
  1. function validateEmail(email) {
复制代码
  1.     var re = /^[a-z0-9\.\-\_]+\@[a-z0-9\-\_]+(\.[a-z0-9\-\_]+){1,4}$/;
复制代码
  1.     return re.test(email.toLowerCase());
复制代码
  1. }
复制代码
  1. $(function () {
复制代码
  1.     var vm = new Vue({
复制代码
  1.         el: '#vm',
复制代码
  1.         data: {
复制代码
  1.             name: '',
复制代码
  1.             email: '',
复制代码
  1.             password1: '',
复制代码
  1.             password2: ''
复制代码
  1.         },
复制代码
  1.         methods: {
复制代码
  1.             submit: function (event) {
复制代码
  1.                 event.preventDefault();
复制代码
  1.                 var $form = $('#vm');
复制代码
  1.                 if (! this.name.trim()) {
复制代码
  1.                     return $form.showFormError('请输入名字');
复制代码
  1.                 }
复制代码
  1.                 if (! validateEmail(this.email.trim().toLowerCase())) {
复制代码
  1.                     return $form.showFormError('请输入正确的Email地址');
复制代码
  1.                 }
复制代码
  1.                 if (this.password1.length < 6) {
复制代码
  1.                     return $form.showFormError('口令长度至少为6个字符');
复制代码
  1.                 }
复制代码
  1.                 if (this.password1 !== this.password2) {
复制代码
  1.                     return $form.showFormError('两次输入的口令不一致');
复制代码
  1.                 }
复制代码
  1.                 var email = this.email.trim().toLowerCase();
复制代码
  1.                 $form.postJSON('/api/users', {
复制代码
  1.                     name: this.name.trim(),
复制代码
  1.                     email: email,
复制代码
  1.                     passwd: CryptoJS.SHA1(email + ':' + this.password1).toString()
复制代码
  1.                 }, function (err, r) {
复制代码
  1.                     if (err) {
复制代码
  1.                         return $form.showFormError(err);
复制代码
  1.                     }
复制代码
  1.                     return location.assign('/');
复制代码
  1.                 });
复制代码
  1.             }
复制代码
  1.         }
复制代码
  1.     });
复制代码
  1.     $('#vm').show();
复制代码
  1. });
复制代码
  1. [/code][code]
复制代码
  1. {% endblock %}
复制代码
  1. [/code][code]{% block content %}
复制代码
  1. [/code][code]   
复制代码
  1.         欢迎注册!
复制代码
  1.         
复制代码
  1.             
复制代码
  1.             
复制代码
  1.                 名字:
复制代码
  1.                
复制代码
  1.                     
复制代码
  1.                
复制代码
  1.             
复制代码
  1.             
复制代码
  1.                 电子邮件:
复制代码
  1.                
复制代码
  1.                     
复制代码
  1.                
复制代码
  1.             
复制代码
  1.             
复制代码
  1.                 输入口令:
复制代码
  1.                
复制代码
  1.                     
复制代码
  1.                
复制代码
  1.             
复制代码
  1.             
复制代码
  1.                 重复口令:
复制代码
  1.                
复制代码
  1.                     
复制代码
  1.                
复制代码
  1.             
复制代码
  1.             
复制代码
  1.                  注册
复制代码
  1.             
复制代码
  1.         
复制代码
  1.    
复制代码
  1. [/code][code]{% endblock %}
复制代码
这样我们就把用户注册的功能完成了:


用户登录比用户注册复杂。由于HTTP协议是一种无状态协议,而服务器要跟踪用户状态,就只能通过cookie实现。大多数Web框架提供了Session功能来封装保存用户状态的cookie。

Session的优点是简单易用,可以直接从Session中取出用户登录信息。
Session的缺点是服务器需要在内存中维护一个映射表来存储用户登录信息,如果有两台以上服务器,就需要对Session做集群,因此,使用Session的Web App很难扩展。
我们采用直接读取cookie的方式来验证用户登录,每次用户访问任意URL,都会对cookie进行验证,这种方式的好处是保证服务器处理任意的URL都是无状态的,可以扩展到多台服务器。
由于登录成功后是由服务器生成一个cookie发送给浏览器,所以,要保证这个cookie不会被客户端伪造出来。
实现防伪造cookie的关键是通过一个单向算法(例如SHA1),举例如下:
当用户输入了正确的口令登录成功后,服务器可以从数据库取到用户的id,并按照如下方式计算出一个字符串:

  1. "用户id" + "过期时间" + SHA1("用户id" + "用户口令" + "过期时间" + "SecretKey")
复制代码
当浏览器发送cookie到服务器端后,服务器可以拿到的信息包括:

  • 用户id
  • 过期时间
  • SHA1值
如果未到过期时间,服务器就根据用户id查找用户口令,并计算:

  1. SHA1("用户id" + "用户口令" + "过期时间" + "SecretKey")
复制代码
并与浏览器cookie中的哈希进行比较,如果相等,则说明用户已登录,否则,cookie就是伪造的。

这个算法的关键在于SHA1是一种单向算法,即可以通过原始字符串计算出SHA1结果,但无法通过SHA1结果反推出原始字符串。
所以登录API可以实现如下:

  1. @post('/api/authenticate')
复制代码
  1. def authenticate(*, email, passwd):
复制代码
  1.     if not email:
复制代码
  1.         raise APIValueError('email', 'Invalid email.')
复制代码
  1.     if not passwd:
复制代码
  1.         raise APIValueError('passwd', 'Invalid password.')
复制代码
  1.     users = yield from User.findAll('email=?', [email])
复制代码
  1.     if len(users) == 0:
复制代码
  1.         raise APIValueError('email', 'Email not exist.')
复制代码
  1.     user = users[0]
复制代码
  1.     # check passwd:
复制代码
  1.     sha1 = hashlib.sha1()
复制代码
  1.     sha1.update(user.id.encode('utf-8'))
复制代码
  1.     sha1.update(b':')
复制代码
  1.     sha1.update(passwd.encode('utf-8'))
复制代码
  1.     if user.passwd != sha1.hexdigest():
复制代码
  1.         raise APIValueError('passwd', 'Invalid password.')
复制代码
  1.     # authenticate ok, set cookie:
复制代码
  1.     r = web.Response()
复制代码
  1.     r.set_cookie(COOKIE_NAME, user2cookie(user, 86400), max_age=86400, httponly=True)
复制代码
  1.     user.passwd = '******'
复制代码
  1.     r.content_type = 'application/json'
复制代码
  1.     r.body = json.dumps(user, ensure_ascii=False).encode('utf-8')
复制代码
  1.     return r
复制代码
  1.    
复制代码
  1. # 计算加密cookie:
复制代码
  1. def user2cookie(user, max_age):
复制代码
  1.     # build cookie string by: id-expires-sha1
复制代码
  1.     expires = str(int(time.time() + max_age))
复制代码
  1.     s = '%s-%s-%s-%s' % (user.id, user.passwd, expires, _COOKIE_KEY)
复制代码
  1.     L = [user.id, expires, hashlib.sha1(s.encode('utf-8')).hexdigest()]
复制代码
  1.     return '-'.join(L)
复制代码
对于每个URL处理函数,如果我们都去写解析cookie的代码,那会导致代码重复很多次。

利用middle在处理URL之前,把cookie解析出来,并将登录用户绑定到
  1. request
复制代码
对象上,这样,后续的URL处理函数就可以直接拿到登录用户:

  1. @asyncio.coroutine
复制代码
  1. def auth_factory(app, handler):
复制代码
  1.     @asyncio.coroutine
复制代码
  1.     def auth(request):
复制代码
  1.         logging.info('check user: %s %s' % (request.method, request.path))
复制代码
  1.         request.__user__ = None
复制代码
  1.         cookie_str = request.cookies.get(COOKIE_NAME)
复制代码
  1.         if cookie_str:
复制代码
  1.             user = yield from cookie2user(cookie_str)
复制代码
  1.             if user:
复制代码
  1.                 logging.info('set current user: %s' % user.email)
复制代码
  1.                 request.__user__ = user
复制代码
  1.         return (yield from handler(request))
复制代码
  1.     return auth
复制代码
  1.    
复制代码
  1. # 解密cookie:
复制代码
  1. @asyncio.coroutine
复制代码
  1. def cookie2user(cookie_str):
复制代码
  1.     '''
复制代码
  1.     Parse cookie and load user if cookie is valid.
复制代码
  1.     '''
复制代码
  1.     if not cookie_str:
复制代码
  1.         return None
复制代码
  1.     try:
复制代码
  1.         L = cookie_str.split('-')
复制代码
  1.         if len(L) != 3:
复制代码
  1.             return None
复制代码
  1.         uid, expires, sha1 = L
复制代码
  1.         if int(expires) < time.time():
复制代码
  1.             return None
复制代码
  1.         user = yield from User.find(uid)
复制代码
  1.         if user is None:
复制代码
  1.             return None
复制代码
  1.         s = '%s-%s-%s-%s' % (uid, user.passwd, expires, _COOKIE_KEY)
复制代码
  1.         if sha1 != hashlib.sha1(s.encode('utf-8')).hexdigest():
复制代码
  1.             logging.info('invalid sha1')
复制代码
  1.             return None
复制代码
  1.         user.passwd = '******'
复制代码
  1.         return user
复制代码
  1.     except Exception as e:
复制代码
  1.         logging.exception(e)
复制代码
  1.         return None
复制代码
这样,我们就完成了用户注册和登录的功能。

[h2]参考源码[/h2]day-10(https://github.com/michaelliao/awesome-python3-webapp/tree/day-10)


*声明:本文于网络整理,版权归原作者所有,如来源信息有误或侵犯权益,请联系我们删除或授权事宜。



公众号ID:tzbc666

有趣的灵魂在等你长按扫码可关注

点个好看和转发也是一种支持哟!
分享到 :
0 人收藏
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

积分:75
帖子:15
精华:0
期权论坛 期权论坛
发布
内容

下载期权论坛手机APP