Day 10 - 用户注册和登录

用户管理是绝大部分Web网站都需要解决的问题。用户管理涉及到用户注册和登录。

用户注册相对简单,我们可以先通过API把用户注册这个功能实现了:

  1. _RE_MD5 = re.compile(r'^[0-9a-f]{32}$')
  3. @api
  4. @post('/api/users')
  5. def register_user():
  6.     i = ctx.request.input(name='', email='', password='')
  7.     name = i.name.strip()
  8.     email = i.email.strip().lower()
  9.     password = i.password
  10.     if not name:
  11.         raise APIValueError('name')
  12.     if not email or not _RE_EMAIL.match(email):
  13.         raise APIValueError('email')
  14.     if not password or not _RE_MD5.match(password):
  15.         raise APIValueError('password')
  16.     user = User.find_first('where email=?', email)
  17.     if user:
  18.         raise APIError('register:failed', 'email', 'Email is already in use.')
  19.     user = User(name=name, email=email, password=password, image='http://www.gravatar.com/avatar/%s?d=mm&s=120' % hashlib.md5(email).hexdigest())
  20.     user.insert()
  21.     return user

注意用户口令是客户端传递的经过MD5计算后的32位Hash字符串,所以服务器端并不知道用户的原始口令。

接下来可以创建一个注册页面,让用户填写注册表单,然后,提交数据到注册用户的API:

  1. {% extends '__base__.html' %}
  3. {% block title %}注册{% endblock %}
  5. {% block beforehead %}
  7. <script>
  8. function check_form() {
  9.     $('#password').val(CryptoJS.MD5($('#password1').val()).toString());
  10.     return true;
  11. }
  12. </script>
  14. {% endblock %}
  16. {% block content %}
  18. <div class="uk-width-2-3">
  19.     <h1>欢迎注册!</h1>
  20.     <form id="form-register" class="uk-form uk-form-stacked" onsubmit="return check_form()">
  21.         <div class="uk-alert uk-alert-danger uk-hidden"></div>
  22.         <div class="uk-form-row">
  23.             <label class="uk-form-label">名字:</label>
  24.             <div class="uk-form-controls">
  25.                 <input name="name" type="text" class="uk-width-1-1">
  26.             </div>
  27.         </div>
  28.         <div class="uk-form-row">
  29.             <label class="uk-form-label">电子邮件:</label>
  30.             <div class="uk-form-controls">
  31.                 <input name="email" type="text" class="uk-width-1-1">
  32.             </div>
  33.         </div>
  34.         <div class="uk-form-row">
  35.             <label class="uk-form-label">输入口令:</label>
  36.             <div class="uk-form-controls">
  37.                 <input id="password1" type="password" class="uk-width-1-1">
  38.                 <input id="password" name="password" type="hidden">
  39.             </div>
  40.         </div>
  41.         <div class="uk-form-row">
  42.             <label class="uk-form-label">重复口令:</label>
  43.             <div class="uk-form-controls">
  44.                 <input name="password2" type="password" maxlength="50" placeholder="重复口令" class="uk-width-1-1">
  45.             </div>
  46.         </div>
  47.         <div class="uk-form-row">
  48.             <button type="submit" class="uk-button uk-button-primary"><i class="uk-icon-user"></i> 注册</button>
  49.         </div>
  50.     </form>
  51. </div>
  53. {% endblock %}

这样我们就把用户注册的功能完成了:

awesomepy-register

用户登录比用户注册复杂。由于HTTP协议是一种无状态协议,而服务器要跟踪用户状态,就只能通过cookie实现。大多数Web框架提供了Session功能来封装保存用户状态的cookie。

Session的优点是简单易用,可以直接从Session中取出用户登录信息。

Session的缺点是服务器需要在内存中维护一个映射表来存储用户登录信息,如果有两台以上服务器,就需要对Session做集群,因此,使用Session的Web App很难扩展。

我们采用直接读取cookie的方式来验证用户登录,每次用户访问任意URL,都会对cookie进行验证,这种方式的好处是保证服务器处理任意的URL都是无状态的,可以扩展到多台服务器。

由于登录成功后是由服务器生成一个cookie发送给浏览器,所以,要保证这个cookie不会被客户端伪造出来。

实现防伪造cookie的关键是通过一个单向算法(例如MD5),举例如下:

当用户输入了正确的口令登录成功后,服务器可以从数据库取到用户的id,并按照如下方式计算出一个字符串:

  1. "用户id" + "过期时间" + MD5("用户id" + "用户口令" + "过期时间" + "SecretKey")

当浏览器发送cookie到服务器端后,服务器可以拿到的信息包括:

  • 用户id

  • 过期时间

  • MD5值

如果未到过期时间,服务器就根据用户id查找用户口令,并计算:

  1. MD5("用户id" + "用户口令" + "过期时间" + "SecretKey")

并与浏览器cookie中的MD5进行比较,如果相等,则说明用户已登录,否则,cookie就是伪造的。

这个算法的关键在于MD5是一种单向算法,即可以通过原始字符串计算出MD5,但无法通过MD5反推出原始字符串。

所以登录API可以实现如下:

  1. @api
  2. @post('/api/authenticate')
  3. def authenticate():
  4.     i = ctx.request.input()
  5.     email = i.email.strip().lower()
  6.     password = i.password
  7.     user = User.find_first('where email=?', email)
  8.     if user is None:
  9.         raise APIError('auth:failed', 'email', 'Invalid email.')
  10.     elif user.password != password:
  11.         raise APIError('auth:failed', 'password', 'Invalid password.')
  12.     max_age = 604800
  13.     cookie = make_signed_cookie(user.id, user.password, max_age)
  14.     ctx.response.set_cookie(_COOKIE_NAME, cookie, max_age=max_age)
  15.     user.password = '******'
  16.     return user
  18. # 计算加密cookie:
  19. def make_signed_cookie(id, password, max_age):
  20.     expires = str(int(time.time() + max_age))
  21.     L = [id, expires, hashlib.md5('%s-%s-%s-%s' % (id, password, expires, _COOKIE_KEY)).hexdigest()]
  22.     return '-'.join(L)

对于每个URL处理函数,如果我们都去写解析cookie的代码,那会导致代码重复很多次。

利用拦截器在处理URL之前,把cookie解析出来,并将登录用户绑定到ctx.request对象上,这样,后续的URL处理函数就可以直接拿到登录用户:

  1. @interceptor('/')
  2. def user_interceptor(next):
  3.     user = None
  4.     cookie = ctx.request.cookies.get(_COOKIE_NAME)
  5.     if cookie:
  6.         user = parse_signed_cookie(cookie)
  7.     ctx.request.user = user
  8.     return next()
  10. # 解密cookie:
  11. def parse_signed_cookie(cookie_str):
  12.     try:
  13.         L = cookie_str.split('-')
  14.         if len(L) != 3:
  15.             return None
  16.         id, expires, md5 = L
  17.         if int(expires) < time.time():
  18.             return None
  19.         user = User.get(id)
  20.         if user is None:
  21.             return None
  22.         if md5 != hashlib.md5('%s-%s-%s-%s' % (id, user.password, expires, _COOKIE_KEY)).hexdigest():
  23.             return None
  24.         return user
  25.     except:
  26.         return None

这样,我们就完成了用户注册和登录的功能。

原文: https://wizardforcel.gitbooks.io/liaoxuefeng/content/py2/104.html