目录
1、实现原理
1. 用户登录过程
当用户通过表单提交用户名和密码进行登录时,后端会进行身份验证。如果验证通过,Flask-Login 会执行以下操作:
- 记录会话:将用户ID等信息写入到 Flask 的 session 中,以便后续请求能够识别用户身份。
- 设置上下文:同时,Flask-Login 会在请求上下文中设置当前用户(
current_user),这是一个 LocalProxy 对象,封装了对用户信息的访问。
2. 判断用户是否登录的原理
在 Flask-Login 中,判断用户是否登录主要依赖于以下几个组件和机制:
current_user属性:current_user是一个 LocalProxy 对象,它封装了对当前用户信息的访问。在 Flask 应用中,可以通过from flask_login import current_user来导入并使用它。- 当需要判断用户是否登录时,可以直接调用
current_user.is_authenticated属性。这个属性是一个布尔值,当用户已登录时返回True,否则返回False。
is_authenticated属性:- 用户类(通常是继承自
UserMixin的类)需要实现is_authenticated属性。这个属性用于表示用户是否已通过身份验证。 - 在 Flask-Login 中,
current_user对象通过代理机制访问用户类的is_authenticated属性来判断用户是否登录。
- 用户类(通常是继承自
@login_required装饰器:- Flask-Login 提供了
@login_required装饰器,用于保护需要登录才能访问的视图函数。 - 当未登录用户尝试访问被
@login_required装饰的视图函数时,Flask-Login 会自动重定向用户到登录页面(除非配置了其他处理方式)。 @login_required装饰器内部通过检查current_user.is_authenticated来判断用户是否已登录。
- Flask-Login 提供了
user_loader回调函数:- Flask-Login 要求实现一个
user_loader回调函数,用于从 session 中的用户ID加载用户对象。 - 这个回调函数在每次请求时都会被调用(特别是在需要判断用户是否登录时),以确保
current_user对象能够正确地反映当前用户的身份。
- Flask-Login 要求实现一个
3. 注销过程
当用户注销时,Flask-Login 会清除 session 中的用户相关信息,并将 current_user 设置为匿名用户对象。这样,后续请求就无法再通过 current_user.is_authenticated 判断用户为已登录状态。
2、示例使用
from flask import Flask, request, redirect, url_for, render_template
from flask_login import LoginManager, UserMixin, login_user, logout_user, login_required, current_user
app = Flask(__name__)
app.secret_key = 'your_secret_key'
# 用户模型
class User(UserMixin):
def __init__(self, id, username, password):
self.id = id
self.username = username
self.password = password
# 用户数据库(示例使用字典模拟)
users_db = {
1: User(1, 'user1', 'password1'),
2: User(2, 'user2', 'password2')
}
# 用户加载器回调函数
def user_loader(user_id):
return users_db.get(int(user_id))
# 初始化 Flask-Login
login_manager = LoginManager()
login_manager.init_app(app)
login_manager.user_loader(user_loader)
@app.route('/')
def index():
return render_template('index.html')
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'POST':
username = request.form['username']
password = request.form['password']
user = users_db.get(username) # 假设用户名是唯一的,并且用作字典的键(实际中应使用 ID)
if user and user.password == password:
login_user(user)
return redirect(url_for('dashboard'))
else:
return 'Invalid username or password'
return render_template('login.html')
@app.route('/welcome')
@login_required
def dashboard():
return f'Welcome, {current_user.username}!'
@app.route('/logout')
@login_required
def logout():
logout_user()
return redirect(url_for('index'))
if __name__ == '__main__':
app.run(debug=True)
