Flask Session 登录认证模块

Flask 框架提供了强大的 Session 模块组件，为 Web 应用实现用户注册与登录系统提供了方便的机制。结合 Flask-WTF 表单组件，我们能够轻松地设计出用户友好且具备美观界面的注册和登录页面，使这一功能能够直接应用到我们的项目中。本文将深入探讨如何通过 Flask 和 Flask-WTF 构建一个完整的用户注册与登录系统，以及如何对页面进行优化美化，提高用户体验。通过这一系统，用户能够方便注册账户、安全登录，并且我们能够有效管理用户的会话信息，为 Web 应用的用户管理提供一种高效的解决方案。

什么是Session机制？

Session 是一种在 Web 应用中用于存储用户特定信息的机制。它允许在用户访问网站时存储和检索信息，以便在用户的不同请求之间保持状态。Session 机制在用户登录、购物网站、个性化设置等场景中得到广泛应用，它为用户提供了更加连贯和个性化的体验。在 Flask 中，通过 Flask Session 模块可以方便地使用 Session ，实现用户状态的维护和管理。

在 Web 开发中，HTTP 协议是无状态的，即每个请求都是独立的，服务器不会记住之前的请求信息。为了解决这个问题，引入了 Session 机制。基本思想是在用户访问网站时，服务器生成一个唯一的 Session ID，并将这个 ID 存储在用户的浏览器中（通常通过 Cookie）。同时，服务器端会保存一个映射，将 Session ID 与用户的相关信息关联起来，这样在用户的后续请求中，服务器就能根据 Session ID 找到相应的用户信息，从而实现状态的保持。

Session 的认证流程通常包括以下步骤：

1. 用户登录： 用户通过提供用户名和密码进行登录。在登录验证成功后，服务器为该用户创建一个唯一的 Session ID，并将这个 ID 存储在用户浏览器的 Cookie 中。
2. Session 存储： 服务器端将用户的相关信息（如用户 ID、权限等）与 Session ID 关联起来，并将这些信息存储在服务器端的 Session 存储中。Session 存储可以是内存、数据库或其他持久化存储方式。
3. Session ID 传递： 服务器将生成的 Session ID 发送给用户浏览器，通常是通过 Set-Cookie 头部。这个 Cookie 会在用户的每次请求中被包含在 HTTP 头中。
4. 后续请求： 用户在后续的请求中会携带包含 Session ID 的 Cookie。服务器通过解析请求中的 Session ID，从 Session 存储中检索用户的信息，以恢复用户的状态。
5. 认证检查： 服务器在每次请求中检查 Session ID 的有效性，并验证用户的身份。如果 Session ID 无效或过期，用户可能需要重新登录。
6. 用户登出： 当用户主动注销或 Session 过期时，服务器将删除与 Session ID 关联的用户信息，用户需要重新登录。

总体而言，Session 的认证流程通过在客户端和服务器端之间传递唯一的 Session ID，实现了用户状态的持久化和管理。这种机制使得用户可以在多个请求之间保持登录状态，提供了一种有效的用户认证方式。在 Flask 中，开发者可以方便地使用 Flask 提供的 Session 模块来实现这一流程。

Session 认证基础

默认情况下，直接使用Session模块即可实现Session登录会话保持，该方式是将Session存储到内存中，程序重启后即释放，Session的设置一般可以通过使用session["username"]赋值的方式进行，如需验证该Session的可靠性，则只需要调用session.get方法即可一得到特定字段，通过对字段的判断即可实现认证机制。

如下是一个Flask后端代码，运行后通过访问http://127.0.0.1:5000进入到登录这页面。

from flask import Flask,session,render_template,request,Response,redirect,url_for
from functools import wraps
import osapp = Flask(__name__, static_folder="./template",template_folder="./template")
app.config['SECRET_KEY'] = os.urandom(24)# 登录认证装饰器
def login_required(func):@wraps(func)def wrapper(*args, **kwargs):if session.get("username") != None and session.get("is_login") ==True:print("登陆过则继续执行原函数")return func(*args, **kwargs)else:print("没有登录则跳转到登录页面")resp = Response()resp.status_code=200resp.data = "<script>window.location.href='/login';</script>"return respreturn wrapper@app.route("/login",methods=["GET","POST"])
def login():if request.method == "GET":html = """<form action="/login" method="post"><p>账号: <input type="text" name="username"></p><p>密码: <input type="password" name="password"></p><input type="submit" value="登录"></form>"""return htmlif request.method == "POST":get_dict = request.form.to_dict()get_username = get_dict['username']get_password = get_dict['password']if (get_username == "lyshark" or get_username == "admin") and get_password == "123123":session["username"] = get_usernamesession["is_login"] = Trueprint("登录完成直接跳到主页")resp = Response()resp.status_code=200resp.data = "<script>window.location.href='/index';</script>"return respelse:return "登陆失败"return "未知错误"# 主页菜单
@app.route("/index",methods = ["GET","POST"])
@login_required
def index():username = session.get("username")return "用户 {} 您好,这是主页面".format(username)# 第二个菜单
@app.route("/get",methods = ["GET","POST"])
@login_required
def get():username = session.get("username")return "用户 {} 您好,这是子页面".format(username)@app.route("/logout",methods = ["GET","POST"])
@login_required
def logout():username = session.get("username")# 登出操作session.pop("username")session.pop("is_login")session.clear()return "用户 {} 已注销".format(username)if __name__ == '__main__':app.run()

程序运行后，当用户访问http://127.0.0.1:5000地址则会跳转到login登陆页面，此时如果用户第一次访问则会输出如下所示的登陆信息；

通过输入正确的用户名lyshark和密码123123则可以登录成功，此处登录的用户是lyshark如下图。

通过输入不同的用户登录会出现不同的页面提示信息，如下图则是admin的主页信息。

当我们手动输入logout时则此时会退出登录用户，后台也会清除该用户的Session，在开发中可以自动跳转到登出页面；

Session 使用数据库

通过结合 Session 与 SQLite 数据库，我们可以实现一个更完善的用户注册、登录以及密码修改功能。在这个案例中，首先，用户可以通过注册表单输入用户名、密码等信息，这些信息经过验证后将被存储到 SQLite 数据库中。注册成功后，用户可以使用相同的用户名和密码进行登录。登录成功后，我们使用 Flask 的 Session 机制将用户信息保存在服务器端，确保用户在访问其他页面时仍然处于登录状态。

为了增加更多功能，我们还可以实现密码修改的功能。用户在登录状态下，通过密码修改表单输入新的密码，我们将新密码更新到数据库中，确保用户可以安全地更改密码。这个案例综合运用了 Flask、SQLite 和 Session 等功能，为 Web 应用提供了一套完整的用户管理系统。

from flask import Flask,request,render_template,session,Response
import sqlite3,os
from functools import wrapsapp = Flask(__name__)app.config['SECRET_KEY'] = os.urandom(24)# 创建数据库
def UserDB():conn = sqlite3.connect("./database.db")cursor = conn.cursor()create = "create table UserDB(" \"uid INTEGER primary key AUTOINCREMENT not null unique," \"username char(64) not null unique," \"password char(64) not null," \"email char(64) not null" \")"cursor.execute(create)conn.commit()cursor.close()conn.close()# 增删改查简单封装
def RunSqlite(db,table,action,field,value):connect = sqlite3.connect(db)cursor = connect.cursor()# 执行插入动作if action == "insert":insert = f"insert into {table}({field}) values({value});"if insert == None or len(insert) == 0:return Falsetry:cursor.execute(insert)except Exception:return False# 执行更新操作elif action == "update":update = f"update {table} set {value} where {field};"if update == None or len(update) == 0:return Falsetry:cursor.execute(update)except Exception:return False# 执行查询操作elif action == "select":# 查询条件是否为空if value == "none":select = f"select {field} from {table};"else:select = f"select {field} from {table} where {value};"try:ref = cursor.execute(select)ref_data = ref.fetchall()connect.commit()connect.close()return ref_dataexcept Exception:return False# 执行删除操作elif action == "delete":delete = f"delete from {table} where {field};"if delete == None or len(delete) == 0:return Falsetry:cursor.execute(delete)except Exception:return Falsetry:connect.commit()connect.close()return Trueexcept Exception:return False# 创建数据库
@app.route("/create")
def create():UserDB()return "create success"# 登录认证装饰器
def login_required(func):@wraps(func)def wrapper(*args, **kwargs):if session.get("username") != None and session.get("is_login") ==True:print("登陆过则继续执行原函数")return func(*args, **kwargs)else:print("没有登录则跳转到登录页面")resp = Response()resp.status_code=200resp.data = "<script>window.location.href='/login';</script>"return respreturn wrapper# 用户注册页面
@app.route("/register",methods=["GET","POST"])
def register():if request.method == "GET":html = """<form action="/register" method="post"><p>账号: <input type="text" name="username"></p><p>密码: <input type="password" name="password"></p><p>邮箱: <input type="text", name="email"></p><input type="submit" value="用户注册"></form>"""return htmlif request.method == "POST":username = request.form.get("username")password = request.form.get("password")email = request.form.get("email")if RunSqlite("database.db","UserDB","select","username",f"username='{username}'") == []:insert = RunSqlite("database.db","UserDB","insert","username,password,email",f"'{username}','{password}','{email}'")if insert == True:return "创建完成"else:return "创建失败"else:return "用户存在"return "未知错误"# 用户登录模块
@app.route("/login",methods=["GET","POST"])
def login():if request.method == "GET":html = """<form action="/login" method="post"><p>账号: <input type="text" name="username"></p><p>密码: <input type="password" name="password"></p><input type="submit" value="登录"></form>"""return htmlif request.method == "POST":username = request.form.get("username")password = request.form.get("password")select = RunSqlite("database.db","UserDB","select","username,password",f"username='{username}'")if select != []:# 继续验证密码if select[0][1] == password:session["username"] = usernamesession["is_login"] = Trueprint("登录完成直接跳到主页")resp = Response()resp.status_code = 200resp.data = "<script>window.location.href='/index';</script>"return respelse:return "密码不正确"else:return "用户不存在"return "未知错误"# 修改密码
@app.route("/modify",methods=["GET","POST"])
@login_required
def modify():if request.method == "GET":html = """<form action="/modify" method="post"><p>新密码: <input type="password" name="new_password"></p><input type="submit" value="修改密码"></form>"""return htmlif request.method == "POST":username = session.get("username")new_password = request.form.get("new_password")update = RunSqlite("database.db","UserDB","update",f"username='{username}'",f"password='{new_password}'")if update == True:# 登出操作session.pop("username")session.pop("is_login")session.clear()print("密码已更新,请重新登录")resp = Response()resp.status_code = 200resp.data = "<script>window.location.href='/login';</script>"return respelse:return "密码更新失败"return "未知错误"# 主页菜单
@app.route("/index",methods = ["GET","POST"])
@login_required
def index():username = session.get("username")return "用户 {} 您好,这是主页面".format(username)# 第二个菜单
@app.route("/get",methods = ["GET","POST"])
@login_required
def get():username = session.get("username")return "用户 {} 您好,这是子页面".format(username)@app.route("/logout",methods = ["GET","POST"])
@login_required
def logout():username = session.get("username")# 登出操作session.pop("username")session.pop("is_login")session.clear()return "用户 {} 已注销".format(username)if __name__ == '__main__':app.run(debug=True)

案例被运行后首先通过调用http://127.0.0.1:5000/create创建database.db数据库，接着我们可以通过访问/register路径实现账号注册功能，如下我们注册lyshark密码是123123，输出效果如下所示；

通过访问/modify可实现对用户密码的修改，但在修改之前需要先通过/login页面登录后进行，否则会默认跳转到用户登录页面中；

使用WTForms登录模板

在如上代码基础上，我们着重增加一个美化登录模板，以提升用户在注册登录流程中的整体体验。通过引入WTF表单组件和Flask-WTF扩展，在前端实现了一个更友好的登录页面。

此登录模板的设计考虑了页面布局、颜色搭配、表单样式等因素，以确保用户在输入用户名和密码时感到轻松自然。同时，我们利用Flask-WTF的验证器功能，对用户输入的数据进行有效性检查，保障了用户信息的安全性。

首先，我们需要在template目录下，创建register.html前端文件，用于用户注册，并写入以下代码。

<html>
<head><link rel="stylesheet" href="https://www.lyshark.com/javascript/bootstrap/3.3.7/css/bootstrap.min.css"><link href="https://www.lyshark.com/javascript/font-awesome/4.7.0/css/font-awesome.min.css" rel="stylesheet" type="text/css" /><link href="https://www.lyshark.com/javascript/other/my_login.css" rel="stylesheet" type="text/css" />
</head>
<body><div class="container"><div class="row"><div class="col-md-offset-3 col-md-6"><form action="/register" method="post" class="form-horizontal">{{ form.csrf_token }}<span class="heading">用 户 注 册</span><div class="form-group">{{ form.username }}<i class="fa fa-user"></i><a href="/login" class="fa fa-question-circle"></a></div><div class="form-group">{{ form.email }}<i class="fa fa-envelope"></i></div><div class="form-group">{{ form.password }}<i class="fa fa-lock"></i></div><div class="form-group">{{ form.RepeatPassword }}<i class="fa fa-unlock-alt"></i></div>{{ form.submit }}</form></div></div></div>
</body>
</html>

接着，继续创建login.html前端文件，用于登录账号时使用，并写入以下代码。

<html>
<head><link rel="stylesheet" href="https://www.lyshark.com/javascript/bootstrap/3.3.7/css/bootstrap.min.css"><link href="https://www.lyshark.com/javascript/font-awesome/4.7.0/css/font-awesome.min.css" rel="stylesheet" type="text/css" /><link href="https://www.lyshark.com/javascript/other/my_login.css" rel="stylesheet" type="text/css" />
</head><body><div class="container"><div class="row"><div class="col-md-offset-3 col-md-6"><form action="/login" method="post" class="form-horizontal">{{ form.csrf_token }}<span class="heading">用 户 登 录</span><div class="form-group">{{ form.username }}<i class="fa fa-user"></i></div><div class="form-group help">{{ form.password }}<i class="fa fa-lock"></i><a href="#" class="fa fa-question-circle"></a></div><div class="form-group"><button type="submit" class="btn btn-success">登 录 后 台</button></div></form></div></div></div></body>
</html>

后台代码部分，我们需要在原代码的基础之上，增加对前端注册和登录页面的渲染类，此处使用flask_wtf组件实现渲染生成，具体代码如下。

from flask import Flask,request,render_template,session,Response
from functools import wraps
import sqlite3,osfrom flask_wtf import FlaskForm
from wtforms import widgets,validators
from wtforms.validators import DataRequired,Regexp,DataRequired, Length, Email, EqualTo, NumberRange
from wtforms.fields import (StringField, PasswordField, DateField, BooleanField,DateTimeField,TimeField,SelectField, SelectMultipleField, TextAreaField,FloatField,HiddenField,RadioField, IntegerField, DecimalField, SubmitField, IntegerRangeField)# app = Flask(__name__, static_folder="./template",template_folder="./template")
app = Flask(__name__)app.config["SECRET_KEY"] = "d3d3Lmx5c2hhcmsuY29t"# -----------------------------------------------------------------------------
# 创建数据库
def UserDB():conn = sqlite3.connect("database.db")cursor = conn.cursor()create = "create table UserDB(" \"uid INTEGER primary key AUTOINCREMENT not null unique," \"username char(64) not null unique," \"password char(64) not null," \"email char(64) not null" \")"cursor.execute(create)conn.commit()cursor.close()conn.close()# 增删改查简单封装
def RunSqlite(db,table,action,field,value):connect = sqlite3.connect(db)cursor = connect.cursor()# 执行插入动作if action == "insert":insert = f"insert into {table}({field}) values({value});"if insert == None or len(insert) == 0:return Falsetry:cursor.execute(insert)except Exception:return False# 执行更新操作elif action == "update":update = f"update {table} set {value} where {field};"if update == None or len(update) == 0:return Falsetry:cursor.execute(update)except Exception:return False# 执行查询操作elif action == "select":# 查询条件是否为空if value == "none":select = f"select {field} from {table};"else:select = f"select {field} from {table} where {value};"try:ref = cursor.execute(select)ref_data = ref.fetchall()connect.commit()connect.close()return ref_dataexcept Exception:return False# 执行删除操作elif action == "delete":delete = f"delete from {table} where {field};"if delete == None or len(delete) == 0:return Falsetry:cursor.execute(delete)except Exception:return Falsetry:connect.commit()connect.close()return Trueexcept Exception:return False# -----------------------------------------------------------------------------
# 生成用户注册表单
class RegisterForm(FlaskForm):username = StringField(validators=[DataRequired(message='用户名不能为空'),Length(min=1, max=15, message='用户名长度必须大于%(min)d且小于%(max)d')],widget=widgets.TextInput(),render_kw={'class': 'form-control', "placeholder":"输入注册用户名"})email = StringField(validators=[validators.DataRequired(message='邮箱不能为空'),validators.Email(message="邮箱格式输入有误")],render_kw={'class':'form-control', "placeholder":"输入Email邮箱"})password = PasswordField(validators=[validators.DataRequired(message='密码不能为空'),validators.Length(min=5, message='用户名长度必须大于%(min)d'),validators.Regexp(regex="[0-9a-zA-Z]{5,}",message='密码不允许使用特殊字符')],widget=widgets.PasswordInput(),render_kw={'class': 'form-control', "placeholder":"输入用户密码"})RepeatPassword = PasswordField(validators=[validators.DataRequired(message='密码不能为空'),validators.Length(min=5, message='密码长度必须大于%(min)d'),validators.Regexp(regex="[0-9a-zA-Z]{5,}",message='密码不允许使用特殊字符'),validators.EqualTo("password",message="两次密码输入必须一致")],widget=widgets.PasswordInput(),render_kw={'class': 'form-control', "placeholder":"再次输入密码"})submit = SubmitField(label="用 户 注 册", render_kw={ "class":"btn btn-success" })# 生成用户登录表单
class LoginForm(FlaskForm):username = StringField(validators=[validators.DataRequired(message=''),validators.Length(min=4, max=15, message=''),validators.Regexp(regex="[0-9a-zA-Z]{4,15}", message='')],widget=widgets.TextInput(),render_kw={"class":"form-control", "placeholder":"请输入用户名或电子邮件"})password = PasswordField(validators=[validators.DataRequired(message=''),validators.Length(min=5, max=15,message=''),validators.Regexp(regex="[0-9a-zA-Z]{5,15}",message='')],widget=widgets.PasswordInput(),render_kw={"class":"form-control", "placeholder":"请输入密码"})# -----------------------------------------------------------------------------
# 创建数据库
@app.route("/create")
def create():UserDB()return "create success"# 登录认证装饰器
def login_required(func):@wraps(func)def wrapper(*args, **kwargs):if session.get("username") != None and session.get("is_login") ==True:print("登陆过则继续执行原函数")return func(*args, **kwargs)else:print("没有登录则跳转到登录页面")resp = Response()resp.status_code=200resp.data = "<script>window.location.href='/login';</script>"return respreturn wrapper# 用户注册页面
@app.route("/register",methods=["GET","POST"])
def register():form = RegisterForm(csrf_enabled = True)if request.method == "POST":if form.validate_on_submit():username = form.username.datapassword = form.RepeatPassword.dataemail = form.email.dataprint("用户: {} 邮箱: {}".format(username,email))if RunSqlite("database.db", "UserDB", "select", "username", f"username='{username}'") == []:insert = RunSqlite("database.db", "UserDB", "insert", "username,password,email",f"'{username}','{password}','{email}'")if insert == True:return "创建完成"else:return "创建失败"else:return "用户存在"return render_template("register.html", form=form)# 用户登录页面
@app.route("/login",methods=["GET","POST"])
def login():form = LoginForm(csrf_enabled = True)if request.method == "POST":username = form.username.datapassword = form.password.dataselect = RunSqlite("database.db","UserDB","select","username,password",f"username='{username}'")if select != []:# 继续验证密码if select[0][1] == password:session["username"] = usernamesession["is_login"] = Trueprint("登录完成直接跳到主页")resp = Response()resp.status_code = 200resp.data = "<script>window.location.href='/index';</script>"return respelse:return "密码不正确"else:return "用户不存在"return render_template("login.html", form=form)# 修改密码
@app.route("/modify",methods=["GET","POST"])
@login_required
def modify():if request.method == "GET":html = """<form action="/modify" method="post"><p>新密码: <input type="password" name="new_password"></p><input type="submit" value="修改密码"></form>"""return htmlif request.method == "POST":username = session.get("username")new_password = request.form.get("new_password")update = RunSqlite("database.db","UserDB","update",f"username='{username}'",f"password='{new_password}'")if update == True:# 登出操作session.pop("username")session.pop("is_login")session.clear()print("密码已更新,请重新登录")resp = Response()resp.status_code = 200resp.data = "<script>window.location.href='/login';</script>"return respelse:return "密码更新失败"return "未知错误"# 主页菜单
@app.route("/index",methods = ["GET","POST"])
@login_required
def index():username = session.get("username")return "用户 {} 您好,这是主页面".format(username)# 第二个菜单
@app.route("/get",methods = ["GET","POST"])
@login_required
def get():username = session.get("username")return "用户 {} 您好,这是子页面".format(username)@app.route("/logout",methods = ["GET","POST"])
@login_required
def logout():username = session.get("username")# 登出操作session.pop("username")session.pop("is_login")session.clear()return "用户 {} 已注销".format(username)if __name__ == '__main__':app.run(debug=True)

目录结果如下图所示；

当用户访问/register时，则可以看到通过flask_wtf渲染后的用户注册页面，如下图所示；

用户访问/login时，则是用户登录页面，如下图所示；