用Python實現web端使用者登入和註冊功能

這篇文章主要介紹了用Python實現web端使用者登入和註冊功能的教程,需要的朋友可以參考下

使用者管理是絕大部分Web網站都需要解決的問題。使用者管理涉及到使用者註冊和登入。

使用者註冊相對簡單，我們可以先通過API把使用者註冊這個功能實現了：

_RE_MD5 = re.compile(r'^[0-9a-f]{32}$')@api@post('/api/users')def register_user(): i = ctx.request.input(name='', email='', password='') name = i.name.strip() email = i.email.strip().lower() password = i.password if not name:  raise APIValueError('name') if not email or not _RE_EMAIL.match(email):  raise APIValueError('email') if not password or not _RE_MD5.match(password):  raise APIValueError('password') user = User.find_first('where email=?', email) if user:  raise APIError('register:failed', 'email', 'Email is already in use.') user = User(name=name, email=email, password=password, image='http://www.gravatar.com/avatar/%s?d=mm&s=120' % hashlib.md5(email).hexdigest()) user.insert() return user

注意使用者口令是用戶端傳遞的經過MD5計算後的32位Hash字串，所以伺服器端並不知道使用者的原始口令。

接下來可以建立一個註冊頁面，讓使用者填寫註冊表單，然後，提交資料到註冊使用者的API：

{% extends '__base__.html' %}{% block title %}註冊{% endblock %}{% block beforehead %}<script>function check_form() { $('#password').val(CryptoJS.MD5($('#password1').val()).toString()); return true;}</script>{% endblock %}{% block content %}<p class="uk-width-2-3"> <h1>歡迎註冊！</h1> <form id="form-register" class="uk-form uk-form-stacked" onsubmit="return check_form()">  <p class="uk-alert uk-alert-danger uk-hidden"></p>  <p class="uk-form-row">   <label class="uk-form-label">名字:</label>   <p class="uk-form-controls">    <input name="name" type="text" class="uk-width-1-1">   </p>  </p>  <p class="uk-form-row">   <label class="uk-form-label">電子郵件:</label>   <p class="uk-form-controls">    <input name="email" type="text" class="uk-width-1-1">   </p>  </p>  <p class="uk-form-row">   <label class="uk-form-label">輸入口令:</label>   <p class="uk-form-controls">    <input id="password1" type="password" class="uk-width-1-1">    <input id="password" name="password" type="hidden">   </p>  </p>  <p class="uk-form-row">   <label class="uk-form-label">重複口令:</label>   <p class="uk-form-controls">    <input name="password2" type="password" maxlength="50" placeholder="重複口令" class="uk-width-1-1">   </p>  </p>  <p class="uk-form-row">   <button type="submit" class="uk-button uk-button-primary"><i class="uk-icon-user"></i> 註冊</button>  </p> </form></p>{% endblock %}Try

這樣我們就把使用者註冊的功能完成了：

使用者登入比使用者註冊複雜。由於HTTP協議是一種無狀態協議，而伺服器要跟蹤使用者狀態，就只能通過cookie實現。大多數Web架構提供了Session功能來封裝儲存使用者狀態的cookie。

Session的優點是簡單易用，可以直接從Session中取出使用者登入資訊。

Session的缺點是伺服器需要在記憶體中維護一個映射表來儲存使用者登入資訊，如果有兩台以上伺服器，就需要對Session做叢集，因此，使用Session的Web App很難擴充。

我們採用直接讀取cookie的方式來驗證使用者登入，每次使用者訪問任意URL，都會對cookie進行驗證，這種方式的好處是保證伺服器處理任意的URL都是無狀態的，可以擴充到多台伺服器。

由於登入成功後是由伺服器產生一個cookie發送給瀏覽器，所以，要保證這個cookie不會被用戶端偽造出來。

實現防偽造cookie的關鍵是通過一個單向演算法（例如MD5），舉例如下：

當使用者輸入了正確的口令登入成功後，伺服器可以從資料庫取到使用者的id，並按照如下方式計算出一個字串：

"使用者id" + "到期時間" + MD5("使用者id" + "使用者口令" + "到期時間" + "SecretKey")

當瀏覽器發送cookie到伺服器端後，伺服器可以拿到的資訊包括：

• 使用者id

• 到期時間

• MD5值

如果未到到期時間，伺服器就根據使用者id尋找使用者口令，並計算：

MD5("使用者id" + "使用者口令" + "到期時間" + "SecretKey")

並與瀏覽器cookie中的MD5進行比較，如果相等，則說明使用者已登入，否則，cookie就是偽造的。

這個演算法的關鍵在於MD5是一種單向演算法，即可以通過原始字串計算出MD5，但無法通過MD5反推出原始字串。

所以登入API可以實現如下：

@api@post('/api/authenticate')def authenticate():  i = ctx.request.input()  email = i.email.strip().lower()  password = i.password  user = User.find_first('where email=?', email)  if user is None:    raise APIError('auth:failed', 'email', 'Invalid email.')  elif user.password != password:    raise APIError('auth:failed', 'password', 'Invalid password.')  max_age = 604800  cookie = make_signed_cookie(user.id, user.password, max_age)  ctx.response.set_cookie(_COOKIE_NAME, cookie, max_age=max_age)  user.password = '******'  return user# 計算加密cookie:def make_signed_cookie(id, password, max_age):  expires = str(int(time.time() + max_age))  L = [id, expires, hashlib.md5('%s-%s-%s-%s' % (id, password, expires, _COOKIE_KEY)).hexdigest()]  return '-'.join(L)對於每個URL處理函數，如果我們都去寫解析cookie的代碼，那會導致代碼重複很多次。利用攔截器在處理URL之前，把cookie解析出來，並將登入使用者綁定到ctx.request對象上，這樣，後續的URL處理函數就可以直接拿到登入使用者：@interceptor('/')def user_interceptor(next):  user = None  cookie = ctx.request.cookies.get(_COOKIE_NAME)  if cookie:    user = parse_signed_cookie(cookie)  ctx.request.user = user  return next()# 解密cookie:def parse_signed_cookie(cookie_str):  try:    L = cookie_str.split('-')    if len(L) != 3:      return None    id, expires, md5 = L    if int(expires) < time.time():      return None    user = User.get(id)    if user is None:      return None    if md5 != hashlib.md5('%s-%s-%s-%s' % (id, user.password, expires, _COOKIE_KEY)).hexdigest():      return None    return user  except:    return NoneTry

這樣，我們就完成了使用者註冊和登入的功能。