用户登陆验证系统用户登陆验证系统

回顾总结一下 flask 开发api时用到的用户登陆验证系统。基本的想法如下：
1、用户登陆后，将用户的 uid 加密后放在 cookie 中；
2、每次网络请求均验证该 cookie 是否过期，如果过期则需要用户重新登陆；
3、支持二级站点跨域访问。
基本工具模块创建一个 utils 模块，在 __init__.py 文件中写入如下代码：

#encoding:utf8 import os,datetime,urlparse from jot import jwt,jws import Cookie from .. import config as conf# 用于创建每个api的response的基本模板 def create_result(msg='ok',code=0): return { 'msg':msg, 'code':code, 'data':None }# 创建一个中间件，对 Request 进行解析处理 class ReqParser(object): def __init__(self,request): # 用 _myproject_sess 作为cookie中存放登陆token的key self.__cookie_key='_myproject_sess' self.__date=datetime.datetime.now() # 请求地址 self.__remote_addr=request.remote_addr # 请求方法 self.__method=request.method # 请求参数 url_parse_res=urlparse.urlparse(request.url) # 请求路径 self.__path=url_parse_res.path # 仅支持GET和DELETE的url参数 if self.__method in ('GET','DELETE'): self.__params={ k:v[-1] for k,v in urlparse.parse_qs(url_parse_res.query).items() } elif self.__method in ('POST','PUT'): # 对POST和PUT，同时支持上传json或form if request.json is not None: self.__params = request.json elif request.form is not None: self.__params=request.form else: # 对于不支持的方法都报错 raise Exception('Methods not allowed') # 保存 headers self.__headers=dict(request.headers.items()) # 保存 ua self.__user_agent=self.__headers.get('User-Agent',None) # 保存 referer self.__ref=request.referrer # 能正常解析的，创建一个变量 __status，保存值为0 self.__status=0# 从cookie中获取token def get_cookie(self): c = Cookie.SimpleCookie() c.load(self.__headers.get('Cookie', '').encode('utf8')) return c.get(self.__cookie_key).value# 从 cookie 中获取 uid，用于验证是否是合法的登陆用户 def get_user_id(self,validate=True): try: c=Cookie.SimpleCookie() c.load(self.__headers.get('Cookie','').encode('utf8')) cookie = jwt.decode(c.get(self.__cookie_key).value, signers=[jws.HmacSha(bits=256, key=conf.c_key)]) return int(cookie['payload']['uid'])# 获取api的版本号 def get_ver(self): return self.__headers.get('myapi-ver',None) except: if not validate: return -1 raise Exception(conf.ERR_NOT_USER)# 登陆成功时用于在数据库保存登陆log def loggin(self,resp_time): self.__user_id=self.get_user_id() self.__resp_time=resp_time log_content={ 'date':self.__date, 'user_id':self.__user_id, 'method':self.__method, 'path':self.__path, 'params':self.__params, 'remote-addr':self.__remote_addr, 'user-agent':self.__user_agent, 'ref':self.__ref, 'status':self.__status, 'resp-time':self.__resp_time } # 省略在数据库加入登陆记录的代码

使用工具类来处理 api 请求需要注意以下一些问题：

在 flask 创建的 app 中，首先需要声明支持二级站点的跨域访问
创建一个装饰方法，统一处理基本异常情况，将异常转换为错误信息返回给前端

支持跨域访问

from flask_cors import CORSflask_app=Flask(__name__) flask_app.config.from_object(conf.config[status]) cors=CORS(flask_app,supports_credentials=True)

装饰方法统一处理异常情况完成如下功能：
1、记录每个请求的处理时间，便于性能调试
2、异常情况分为两种：一种是系统产生的异常信息；一种是自定义的异常信息（比如未登录用户访问了需要登录才能访问的接口等等）

def error_handler(func): def wrapper(*args,**keys): try: time_start=time.time() # 通过 func 内部 raise Exception 将一些约定的错误返回到这里 resp=func(*args,**keys) time_finish=time.time() resp.resp_time=time_finish-time_start return resp except Exception as err: resp=utils.create_result() e_msg=str(err.message) # 自定义的出错信息用“编号::出错描述”的形式传递出错信息 # 比如：ERR_NOT_USER=u'3::未登录用户不能访问' if e_msg.find('::')==-1: resp['code'],resp['msg']=-1,e_msg else: info=e_msg.split('::') resp['code'], resp['msg'] = info[0],info[1] return jsonify(resp) return wrapper

【用户登陆验证系统】error_handler 的使用举例：

class ApiUploadDocxZip(MethodView): def __init__(self,template): self.template=template super(ApiUploadDocxZip,self).__init__()@error_handler def post(self): req_parser = utils.ReqParser(request) user_id = req_parser.get_user_id() file=request.files['files'] filename = file.filename result=utils.create_result() if allowed_ext(filename): ...... return jsonify(result) else: raise Exception(conf.ERR_INVALID_FILE_TYPE)