回顧總結一下 flask 開發api時用到的用戶登陸驗證系統。基本的想法如下:
1、用戶登陸后,將用戶的 uid 加密后放在 cookie 中;
2、每次網絡請求均驗證該 cookie 是否過期,如果過期則需要用戶重新登陸;
3、支持二級站點跨域訪問。
基本工具模塊
創建一個 utils 模塊,在 __init__.py 文件中寫入如下代碼:
#encoding:utf8
import os,datetime,urlparse
from jot import jwt,jws
import Cookie
from .. import config as conf
# 用于創建每個api的response的基本模板
def create_result(msg='ok',code=0):
return {
'msg':msg,
'code':code,
'data':None
}
# 創建一個中間件,對 Request 進行解析處理
class ReqParser(object):
def __init__(self,request):
# 用 _myproject_sess 作為cookie中存放登陸token的key
self.__cookie_key='_myproject_sess'
self.__date=datetime.datetime.now()
# 請求地址
self.__remote_addr=request.remote_addr
# 請求方法
self.__method=request.method
# 請求參數
url_parse_res=urlparse.urlparse(request.url)
# 請求路徑
self.__path=url_parse_res.path
# 僅支持GET和DELETE的url參數
if self.__method in ('GET','DELETE'):
self.__params={
k:v[-1] for k,v in urlparse.parse_qs(url_parse_res.query).items()
}
elif self.__method in ('POST','PUT'):
# 對POST和PUT,同時支持上傳json或form
if request.json is not None:
self.__params = request.json
elif request.form is not None:
self.__params=request.form
else:
# 對于不支持的方法都報錯
raise Exception('Methods not allowed')
# 保存 headers
self.__headers=dict(request.headers.items())
# 保存 ua
self.__user_agent=self.__headers.get('User-Agent',None)
# 保存 referer
self.__ref=request.referrer
# 能正常解析的,創建一個變量 __status,保存值為0
self.__status=0
# 從cookie中獲取token
def get_cookie(self):
c = Cookie.SimpleCookie()
c.load(self.__headers.get('Cookie', '').encode('utf8'))
return c.get(self.__cookie_key).value
# 從 cookie 中獲取 uid,用于驗證是否是合法的登陸用戶
def get_user_id(self,validate=True):
try:
c=Cookie.SimpleCookie()
c.load(self.__headers.get('Cookie','').encode('utf8'))
cookie = jwt.decode(c.get(self.__cookie_key).value,
signers=[jws.HmacSha(bits=256, key=conf.c_key)])
return int(cookie['payload']['uid'])
# 獲取api的版本號
def get_ver(self):
return self.__headers.get('myapi-ver',None)
except:
if not validate: return -1
raise Exception(conf.ERR_NOT_USER)
# 登陸成功時用于在數據庫保存登陸log
def loggin(self,resp_time):
self.__user_id=self.get_user_id()
self.__resp_time=resp_time
log_content={
'date':self.__date,
'user_id':self.__user_id,
'method':self.__method,
'path':self.__path,
'params':self.__params,
'remote-addr':self.__remote_addr,
'user-agent':self.__user_agent,
'ref':self.__ref,
'status':self.__status,
'resp-time':self.__resp_time
}
# 省略在數據庫加入登陸記錄的代碼
使用工具類來處理 api 請求
需要注意以下一些問題:
- 在 flask 創建的 app 中,首先需要聲明支持二級站點的跨域訪問
- 創建一個裝飾方法,統一處理基本異常情況,將異常轉換為錯誤信息返回給前端
支持跨域訪問
from flask_cors import CORS
flask_app=Flask(__name__)
flask_app.config.from_object(conf.config[status])
cors=CORS(flask_app,supports_credentials=True)
裝飾方法統一處理異常情況
完成如下功能:
1、記錄每個請求的處理時間,便于性能調試
2、異常情況分為兩種:一種是系統產生的異常信息;一種是自定義的異常信息(比如未登錄用戶訪問了需要登錄才能訪問的接口等等)
def error_handler(func):
def wrapper(*args,**keys):
try:
time_start=time.time()
# 通過 func 內部 raise Exception 將一些約定的錯誤返回到這里
resp=func(*args,**keys)
time_finish=time.time()
resp.resp_time=time_finish-time_start
return resp
except Exception as err:
resp=utils.create_result()
e_msg=str(err.message)
# 自定義的出錯信息用“編號::出錯描述”的形式傳遞出錯信息
# 比如:ERR_NOT_USER=u'3::未登錄用戶不能訪問'
if e_msg.find('::')==-1:
resp['code'],resp['msg']=-1,e_msg
else:
info=e_msg.split('::')
resp['code'], resp['msg'] = info[0],info[1]
return jsonify(resp)
return wrapper
error_handler 的使用舉例:
class ApiUploadDocxZip(MethodView):
def __init__(self,template):
self.template=template
super(ApiUploadDocxZip,self).__init__()
@error_handler
def post(self):
req_parser = utils.ReqParser(request)
user_id = req_parser.get_user_id()
file=request.files['files']
filename = file.filename
result=utils.create_result()
if allowed_ext(filename):
......
return jsonify(result)
else:
raise Exception(conf.ERR_INVALID_FILE_TYPE)
