个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
好吧,我对编程真的很陌生(今天刚刚学会了如何建立数据库连接并从中写入/读取),我正在尝试创建一个基本站点,允许您登录用户,并有一些当用户登录时,页面会有所不同。我决定使用 Flask、Flask-session、Sqlite3 进行尝试,基本上身份验证如下:用户使用表单登录,表单数据根据中的信息进行检查sqlite3数据库,如果正确,则将相应的值写入CLIENT端cookie。这是一种可以接受的登录方式吗?请原谅我的无知,但我对编程真的很陌生,并且我缺少一些关键术语来在这里搜索我自己的答案。我已经四处搜索,但无法确定这是否是一种可接受的登录/退出方式。
我的网站可以运行,但我不知道我是否真的以传统意义上的方式登录或注销任何内容。另请注意,有些路线被奇怪地破坏或隐藏,这只是我试图破坏事物以了解它们如何工作的原因。为了让我的网站运行,我没有包含模板:
从 app.py 导入 init_db
init_db()
python app.py
这是我的应用程序文件:
#importations
import sqlite3
from flask import Flask, request, session, g, redirect, url_for, \
abort, render_template, flash, escape
from contextlib import closing
import sys
import datetime
from models import User
from formms import RegistrationForm, Login
import os
key1 = os.urandom(24)
#config
DATABASE = '/tmp/fitty1.db'
DEBUG = True
SECRET_KEY = key1
USERNAME = 'admin'
PASSWORD = 'default'
print key1
#Initialize the application
app = Flask(__name__)
app.config.from_object(__name__)
#login_manager = LoginManager()
#login_manager.init_app(app)
#Method to connect to database, use to open a connection on request, or from interactive python shell
def connect_db():
return sqlite3.connect(app.config['DATABASE'])
#Run this before application to initialize the DB
def init_db():
with closing(connect_db()) as db:
with app.open_resource('schema.sql', mode='r') as f:
db.cursor().executescript(f.read())
db.commit()
def query_db(query, args=(), one=False):
cur = get_db().execute(query, args)
rv = cur.fetchall()
cur.close()
return (rv[0] if rv else None) if one else rv
@app.teardown_request
def teardown_request(exception):
db = getattr(g, 'db', None)
if db is not None:
db.close()
@app.route('/')
def show_entries():
g.db = connect_db()
cur = g.db.execute('select title, text from entries order by id desc')
entries = [dict(title=row[0], text=row[1]) for row in cur.fetchall()]
return render_template('show_entries.html', entries=entries)
@app.route('/register', methods=['POST', 'GET'])
def register():
g.db = connect_db()
form = RegistrationForm(request.form)
if request.method == 'POST' and form.validate():
user = User(form.username.data, form.email.data, form.password.data)
g.db.execute('insert into users (username, email, password) values (?, ?, ?)',
[request.form['username'], request.form['email'], request.form['password']])
g.db.commit()
flash('Registered successfully')
return redirect(url_for('show_entries'))
return render_template('register.html', form=form)
@app.route('/account')
def account():
g.db = connect_db()
if not session.get('logged_in'):
abort(401)
if 'username' in session:
username = session['username']
c = g.db.execute("SELECT password from users where username = (?)", (username,))
passwc = c.fetchone()
c = g.db.execute("SELECT text from entries")
texty = c.fetchone()
return 'Your username is "%s", your password is "%s" and code %s' % (username, passwc[0], texty[0])
return 'You are not logged in'
@app.route('/add', methods=['POST'])
def add_entry():
g.db = connect_db()
if not session.get('logged_in'):
abort(401)
g.db.execute('insert into entries (title, text) values (?, ?)',
[request.form['title'], request.form['text']])
g.db.commit()
flash('New entry was successfully added')
return redirect(url_for('show_entries'))
@app.route('/login', methods=['GET', 'POST'])
def login():
g.db = connect_db()
error = None
form = Login(request.form)
user = User(form.username.data, form.email.data, form.password.data)
if request.method == 'POST':
c = g.db.execute("SELECT username from users where username = (?)", [form.username.data])
userexists = c.fetchone()
if userexists:
c = g.db.execute("SELECT password from users where password = (?)", [form.password.data])
passwcorrect = c.fetchone()
if passwcorrect:
session['username'] = form.username.data
session['logged_in'] = True
flash('You were logged in')
return redirect(url_for('account'))
else:
return 'password fail'
else:
return 'username fail'
return render_template('login.html', form=form)
@app.route('/logout')
def logout():
g.db = connect_db()
session.pop('logged_in', None)
flash('You were logged Out')
return redirect(url_for('show_entries'))
#Use build in server to run standalone application
if __name__ == '__main__':
app.run()
型号
import sqlite3
from flask import g
from flask.ext.login import LoginManager, login_required
class User():
def __init__(self,username,email,password,active=True):
self.username = username
self.email = email
self.password = password
self.active = active
def is_authenticated(self):
return True
#Return true if authenticated, provided credentials
def is_active(self):
return True
def is_anonymous(self):
return False
#return true if anon, actual user returns false
def __repr__(self):
return '<User %r>' % (self.email)
架构.sql
drop table if exists entries;
create table entries (
id integer primary key autoincrement,
title text not null,
text text not null
);
drop table if exists users;
create table users (
id integer primary key autoincrement,
username text not null,
email text not null,
password text not null
);
最佳答案
这绝对是正确的做法。客户端 cookie 允许您唯一地识别用户。您只需确保 cookie 足够随机,否则有人可能会欺骗它。
如果您给我的 cookie 是 uid=hailey 那会很糟糕,因为我可以轻松地将其编辑为 uid=ach1lles 并获得您的管理员访问权限。相反,你想要做一些足够随机的事情,比如我的用户名和当前时间以及昨天《纽约时报》的标题的 sha2 哈希的 Base64 或类似的疯狂事情。您可能希望将其添加为数据库表,然后在我发出请求时检查它。
此外,不要将密码存储为文本,请考虑使用 bcrypt 之类的内容。 :)
关于python - 这是登录某人的正确/安全方式吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29504591/
25
4
0
这个问题已经有答案了: How to do case insensitive string comparison? (23 个回答) 已关闭 3 年前。 用户在我的输入栏中写入“足球”,然后执行第 6
啊,不习惯 javascript 中的字符串。 character_id= + id + correct= + correctOrIncorrect 这就是我需要制作成字符串的内容。如果您无法猜测字符
$(function() { var base_price = 0; CalculatePrice(); $(".math1").on('change', function(e) { Calc
我找不到任何文章回答问题:将Spinnaker部署到Spinnaker将管理的同一Kubernetes集群是否安全/正确?我主要是指生产,HA部署。 最佳答案 我认为Spinnaker和Kuberne
我正在使用MSVC在Windows上从源代码(官方源代码发布,而不是从仓库中)构建Qt5(Qt 5.15.0)。 我正在设置环境。变量,依赖项等,然后运行具有1600万个选项的configure,最后
我需要打印一个包含重复单词的数组。我的数组已经可以工作,但我不知道如何正确计算单词数。我已经知道,当我的索引计数器 (i) 为 49 时,并且当 (i) 想要计数到 50 时,我会收到错误,但我不知道
我正在遵循一个指南,该指南允许 Google map 屏幕根据屏幕尺寸禁用滚动。我唯一挣扎的部分是编写一个代码,当我手动调整屏幕大小时动态更改 True/False 值。 这是我按照说明操作的网站,但
我有一个类“FileButton”。它的目的是将文件链接到 JButton,FileButton 继承自 JButton。子类继承自此以使用链接到按钮的文件做有用的事情。 JingleCardButt
我的 friend 数组只返回一个数字而不是所有数字。 ($myfriends = 3) 应该是…… ($myfriends = 3 5 7 8 9 12). 如果我让它进入 while 循环……整个
这个问题在这里已经有了答案: Is there a workaround to make CSS classes with names that start with numbers valid?
我正在制作一个 JavaScript 函数,当调整窗口大小时,它会自动将 div 的大小调整为与窗口相同的宽度/高度。 该功能非常基本,但我注意到在调整窗口大小时出现明显的“绘制”滞后。在 JS fi
此问题的基本视觉效果可在 http://sevenx.de/demo/bootstrap-carousel/inc.carousel/tabbed-slider.html 获得。 - 如果你想看一看。
我明白,如果我想从函数返回一个字符串文字或一个数组,我应该将其声明为静态的,这样当被调用的函数被返回时,内容就不会“消亡”。 但我的问题是,当我在函数内部使用 malloc 分配内存时会怎样? 在下面
在 mySQL 数据库中存储 true/false/1/0 值最合适(读取数据消耗最少)的数据字段是什么? 我以前使用过一个字符长的 tinyint,但我不确定它是否是最佳解决方案? 谢谢! 最佳答案
我想一次读取并处理CSV文件第一行中的条目(例如打印)。我假设使用Unix风格的\n换行符,没有条目长度超过255个字符,并且(现在)在EOF之前有一个换行符。这意味着它是fgets()后跟strto
所以,我们都知道 -1 > 2u == true 的 C/C++ 有符号/无符号比较规则,并且我有一种情况,我想有效地实现“正确”比较。 我的问题是,考虑到人们熟悉的尽可能多的架构,哪种方法更有效。显
**摘要:**文章的标题看似自相矛盾。 本文分享自华为云社区《Java异常处理:如何写出“正确”但被编译器认为有语法错误的程序》,作者: Jerry Wang 。 文章的标题看似自相矛盾,然而我在“正
我有一个数据框,看起来像: dataDemo % mutate_each(funs(ifelse(. == '.', REF, as.character(.))), -POS) # POS REF
有人可以帮助我使用 VBScript 重新格式化/正确格式化带分隔符的文本文件吗? 我有一个文本文件 ^分界如下: AGREE^NAME^ADD1^ADD2^ADD3^ADD4^PCODE^BAL^A
就目前而言,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引起辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the he
我是一名优秀的程序员,十分优秀!