Authentication & Authorization
认证与授权是 Web 应用的常见需求。Flask 推荐使用 Flask-Login 实现会话登录,再结合角色/权限模型完成授权。
安装:
bash
pip install flask-login初始化:
python
from flask_login import LoginManager
login_manager = LoginManager()
# app/__init__.py
def create_app():
login_manager.init_app(app)
login_manager.login_view = "auth.login"用户模型与加载:
python
from flask_login import UserMixin
from .extensions import db
class User(db.Model, UserMixin):
id = db.Column(db.Integer, primary_key=True)
email = db.Column(db.String(120), unique=True, nullable=False)
password_hash = db.Column(db.String(255), nullable=False)
@login_manager.user_loader
def load_user(user_id):
return User.query.get(int(user_id))登录视图:
python
from flask_login import login_user, logout_user, login_required, current_user
@bp.post("/login")
def login():
# 校验用户名密码
login_user(user, remember=True)
return redirect(url_for("index"))
@bp.get("/logout")
@login_required
def logout():
logout_user()
return redirect(url_for("index"))授权:
- 使用
@login_required保护需要登录的路由 - 角色权限:设计
roles/permissions表并在视图前置检查
密码安全:
python
from werkzeug.security import generate_password_hash, check_password_hash
hash = generate_password_hash("secret")
check_password_hash(hash, "secret")