本教程詳細介紹在用戶注冊過程中如何去驗證他們的email地址。
工作流程上來講,在用戶注冊一個新賬戶后會寄送一個確認信。直到用戶按指示完成了郵件中的“驗證”,否則他們的賬戶會一直處于“未驗證”狀態。這是大多數網絡應用會采用的工作流程。
這當中很重要的一件事就是,未驗證的用戶有什么權限?或者說,對于你的應用,他們是有全部權限呢,還是被限制的權限呢,還是根本沒有權限?對于本教程中的應用,未驗證用戶會在登錄后進到一個頁面,會提醒他們只有驗證了賬戶才可以進入應用。
開始前說明一下,很多我們要增加的功能是Flask-用戶和Flask-安全的擴展部分――問題來了,為什么不直接用這兩個擴展呢?嗯,首先,這是個學習機會。同時,這倆擴展都有局限性,比如支持的數據庫。要是你想用RethinkDB怎么辦呢?
我們開始吧
Flask基本注冊
我們將會要開始一Flask樣例,這包括了用戶基本注冊。從這個github倉庫獲取代碼庫。一旦你創建和激活了virtualenv,運行下面的命令來快速開始:
$ pip install -r requirements.txt
$ export APP_SETTINGS="project.config.DevelopmentConfig"
$ python manage.py create_db
$ python manage.py db init
$ python manage.py db migrate
$ python manage.py create_admin
$ python manage.py runserver
在應用運行的狀態下,訪問http://localhost:5000/register頁面,注冊一個新用戶。注意,注冊之后應用會自動登陸,引導你進入主頁面。大概看一下,然后運行代碼――尤其是user這個藍圖(Blueprint是flask的一個概念)。
完成時停止服務器。
更新當前應用
模型
首先,我們來在我們project/models.py中的User模型里添加上confirmed字段:
class User(db.Model):
__tablename__ = "users"
id = db.Column(db.Integer, primary_key=True)
email = db.Column(db.String, unique=True, nullable=False)
password = db.Column(db.String, nullable=False)
registered_on = db.Column(db.DateTime, nullable=False)
admin = db.Column(db.Boolean, nullable=False, default=False)
confirmed = db.Column(db.Boolean, nullable=False, default=False)
confirmed_on = db.Column(db.DateTime, nullable=True)
def __init__(self, email, password, confirmed,
paid=False, admin=False, confirmed_on=None):
self.email = email
self.password = bcrypt.generate_password_hash(password)
self.registered_on = datetime.datetime.now()
self.admin = admin
self.confirmed = confirmed
self.confirmed_on = confirmed_on
注意此區域是怎樣默認成“False”的。還要添加個confirmed_on字段,那是個datetime。為了用隊列分析來分析registered_on和confirmed_on日期的不同,所以我想包含這個datetime。
讓我們完全從頭開始創建數據庫并遷移吧!所以,先刪除數據庫dev.sqlite,以及“遷移”文件夾。
控制命令
接下來,在manage.py中,更新create_admin命令,使新的數據庫字段生效:
@manager.command
def create_admin():
"""Creates the admin user."""
db.session.add(User(
email="ad@min.com",
password="admin",
admin=True,
confirmed=True,
confirmed_on=datetime.datetime.now())
)
db.session.commit()
要確保導入datetime。現在,先再一次運行下面的指令:
$ python manage.py create_db
$ python manage.py db init
$ python manage.py db migrate
$ python manage.py create_admin
register()視圖函數
最后,在我們再次注冊用戶之前,我們需要改一下project/user/views.py中的register()視圖函數……
user = User(
email=form.email.data,
password=form.password.data
)
改成下面的:
user = User(
email=form.email.data,
password=form.password.data,
confirmed=False
)
明白了嗎?思考下為什么要把confirmed默認成False。
嗯好。再運行一遍應用。轉入到http://localhost:5000/register,再注冊一個新用戶。如果你在SQLite瀏覽器中打開了你的SQLite數據庫,你會看到:
那么,這個我新注冊的用戶,michael@realpython.com沒有被驗證。讓我們驗證它。
添加email驗證
產生驗證令牌
郵件驗證應包含一個特殊URL,使得用戶只需簡單地點擊它,即可驗證他/她的賬戶。理想情況下,這個URL應該看起來像這樣?Chttp://yourapp.com/confirm/
創建一個叫project/token.py的文件,添加下面的代碼:
# project/token.py
from itsdangerous import URLSafeTimedSerializer
from project import app
def generate_confirmation_token(email):
serializer = URLSafeTimedSerializer(app.config['SECRET_KEY'])
return serializer.dumps(email, salt=app.config['SECURITY_PASSWORD_SALT'])
def confirm_token(token, expiration=3600):
serializer = URLSafeTimedSerializer(app.config['SECRET_KEY'])
try:
email = serializer.loads(
token,
salt=app.config['SECURITY_PASSWORD_SALT'],
max_age=expiration
)
except:
return False
return email
所以在generate_confirmation_token()函數中,通過URLSafeTimedSerializer用在用戶注冊時得到的email地址生成一個令牌。那個_真實的_email在令牌中被編了碼。確認令牌之后,在confirm_token()函數中,我們可以用loads()方法,它接管令牌和其過期時間――一個小時(3600秒)內有效――作為參數。只要令牌沒過期,那它就會返回一個email。
在應用的配置中(BaseConfig()),確保添加SECURITY_PASSWORD_SALT:
SECURITY_PASSWORD_SALT = 'my_precious_two'
更新register()視圖函數
現在再從project/user/views.py更新下register()視圖函數:
@user_blueprint.route('/register', methods=['GET', 'POST'])
def register():
form = RegisterForm(request.form)
if form.validate_on_submit():
user = User(
email=form.email.data,
password=form.password.data,
confirmed=False
)
db.session.add(user)
db.session.commit()
token = generate_confirmation_token(user.email)
也是,要確保更新了這些導入模塊:
from project.token import generate_confirmation_token, confirm_token
處理Email驗證
接下來,添加個新的視圖來解決email驗證:
@user_blueprint.route('/confirm/
')
@login_required
def confirm_email(token):
try:
email = confirm_token(token)
except:
flash('The confirmation link is invalid or has expired.', 'danger')
user = User.query.filter_by(email=email).first_or_404()
if user.confirmed:
flash('Account already confirmed. Please login.', 'success')
else:
user.confirmed = True
user.confirmed_on = datetime.datetime.now()
db.session.add(user)
db.session.commit()
flash('You have confirmed your account. Thanks!', 'success')
return redirect(url_for('main.home'))
把這個添加到project/user/views.py。同樣,確保更新了這些導入:
import datetime
現在我們通過令牌調用confirm_token()函數。如果成功,我們更新用戶,把email_confirmed屬性改成True, 設置datetime為驗證發生的時間。還有,要是用戶已經進行過一遍驗證過程了――而且已經驗證了――我們要提醒用戶這點。
創建email模板
接著,添加一個基礎email模板:
Welcome! Thanks for signing up. Please follow this link to activate your account:
Cheers!
發送郵件
通過已經安裝了而且設置在project/__init__.py中的Flask-Mail的一點兒幫助來創建一個基本函數來發送郵件。
創建一個叫email.py的文件:
# project/email.py
from flask.ext.mail import Message
from project import app, mail
def send_email(to, subject, template):
msg = Message(
subject,
recipients=[to],
html=template,
sender=app.config['MAIL_DEFAULT_SENDER']
)
mail.send(msg)
在“project”文件夾中存一下。
所以,我們只要簡單地去處理收件人列表,主題,模板即可。我們會一點一點處理郵件配置的設置。
在project/user/views.py中(再次!)更新register()視圖函數
@user_blueprint.route('/register', methods=['GET', 'POST'])
def register():
form = RegisterForm(request.form)
if form.validate_on_submit():
user = User(
email=form.email.data,
password=form.password.data,
confirmed=False
)
db.session.add(user)
db.session.commit()
token = generate_confirmation_token(user.email)
confirm_url = url_for('user.confirm_email', token=token, _external=True)
html = render_template('user/activate.html', confirm_url=confirm_url)
subject = "Please confirm your email"
send_email(user.email, subject, html)
login_user(user)
flash('A confirmation email has been sent via email.', 'success')
return redirect(url_for("main.home"))
return render_template('user/register.html', form=form)
還要添加下面的導入模塊:
from project.email import send_email
我們在這里將所有的東西整合到一起。這個函數基本功能是作為控制器(直接或間接):
- 處理最初注冊,
- 產生令牌和確認URL,
- 寄送確認email,
- 快速驗證,
- 用戶登入,
- 更改用戶。
你注意到_external=True參數了嗎?這增加了包含了hostname和port(在我們情況中,http://localhost:5000)的完整URL。
在我們測試這個之前,我們要去設定郵件設置。
郵件
在project/config.py中更新BaseConfig():
class BaseConfig(object):
"""Base configuration."""
# main config
SECRET_KEY = 'my_precious'
SECURITY_PASSWORD_SALT = 'my_precious_two'
DEBUG = False
BCRYPT_LOG_ROUNDS = 13
WTF_CSRF_ENABLED = True
DEBUG_TB_ENABLED = False
DEBUG_TB_INTERCEPT_REDIRECTS = False
# mail settings
MAIL_SERVER = 'smtp.googlemail.com'
MAIL_PORT = 465
MAIL_USE_TLS = False
MAIL_USE_SSL = True
# gmail authentication
MAIL_USERNAME = os.environ['APP_MAIL_USERNAME']
MAIL_PASSWORD = os.environ['APP_MAIL_PASSWORD']
# mail accounts
MAIL_DEFAULT_SENDER = 'from@example.com'
查看 official Flask-Mail documentation 以得到更多信息
如果你已經有了GMAIL賬號,那你可以用它或者注冊一個測試用GMAIL賬戶。然后把環境變量暫時設置在當前shell中:
$ export APP_MAIL_USERNAME="foo"
$ export APP_MAIL_PASSWORD="bar"
如果你GMAIL賬號有兩步授權, Google會屏蔽掉它。
現在開始測試!
第一個測試
打開應用,轉入到 http://localhost:5000/register。然后用你能登陸的email地址注冊。順利的話,你應該會收到封email,看起來像這樣:
點擊URL,你會轉到 http://localhost:5000/。保證用戶在數據庫里,那‘confirmed'字段是True,有個datetime和confirmed_on字段綁定在一起。
好!
處理許可
如果你記得,在教程的開始部分,我們決定了“未驗證用戶可以登錄但是他們會立刻被轉入一個頁面――我們稱之為/unconfirmed路徑――提醒用戶需要驗證賬戶才能使用應用”。
所以,我們要――
- 添加/unconfirmed路徑
- 添加unconfirmed.html模板
- 更新register()視圖函數
- 創建裝飾器
- 更新navigation.html模板
- 添加/unconfirmed路徑
添加下面的路徑project/user/views.py:
@user_blueprint.route('/unconfirmed')
@login_required
def unconfirmed():
if current_user.confirmed:
return redirect('main.home')
flash('Please confirm your account!', 'warning')
return render_template('user/unconfirmed.html')
你看過類似的代碼,所以我們繼續。
添加unconfirmed.html模板
{% extends "_base.html" %}
{% block content %}
Welcome!
You have not confirmed your account. Please check your inbox (and your spam folder) - you should have received an email with a confirmation link.
Didn't get the email?
Resend
.
{% endblock %}
在“project/templates/user”中,把這個存為 unconfirmed.html 。這次應該直截了當。現在,為了重新寄送驗證email,就只加了一個假的URL。我們接下來會解決它的。
更新register()視圖函數
現在簡單地把:
return redirect(url_for("main.home"))
變成:
return redirect(url_for("user.unconfirmed"))
所以,送完驗證email后,用戶會進入/unconfirmed路徑。
創建裝飾器
# project/decorators.py
from functools import wraps
from flask import flash, redirect, url_for
from flask.ext.login import current_user
def check_confirmed(func):
@wraps(func)
def decorated_function(*args, **kwargs):
if current_user.confirmed is False:
flash('Please confirm your account!', 'warning')
return redirect(url_for('user.unconfirmed'))
return func(*args, **kwargs)
return decorated_function
這里我們用一個基本函數去檢查用戶是否驗證。如果未驗證,用戶會進入/unconfirmed路徑。在“project”目錄中,把這個存為decorators.py。
現在裝飾 profile() 視圖函數:
@user_blueprint.route('/profile', methods=['GET', 'POST'])
@login_required
@check_confirmed
def profile():
... snip ...
確保導入裝飾器:
from project.decorators import check_confirmed
更新 navigation.html 模板
最后,更新navigation.html模板接下來的部分――
把:
變成:
又該測試了!
第二次測試
打開應用,再次用能登陸的email地址注冊。(可以隨便從數據庫刪除你之前注冊的老用戶,這樣可以再用一遍)現在,注冊完會轉入http://localhost:5000/unconfirmed。
確保測試了http://localhost:5000/profile路徑。這會使你轉到http://localhost:5000/unconfirmed。
驗證email,你就會有完整頁面的權限了。快去把!
重寄送email
最后,來做重新寄送的鏈接。增加下面的視圖函數到project/user/views.py:
@user_blueprint.route('/resend')
@login_required
def resend_confirmation():
token = generate_confirmation_token(current_user.email)
confirm_url = url_for('user.confirm_email', token=token, _external=True)
html = render_template('user/activate.html', confirm_url=confirm_url)
subject = "Please confirm your email"
send_email(current_user.email, subject, html)
flash('A new confirmation email has been sent.', 'success')
return redirect(url_for('user.unconfirmed'))
現在更新unconfirmed.html 模板:
{% extends "_base.html" %}
{% block content %}
Welcome!
You have not confirmed your account. Please check your inbox (and your spam folder) - you should have received an email with a confirmation link.
Didn't get the email?
Resend
.
{% endblock %}
第三次測試
你知道這次的演練內容了,這次保證去重新寄送一個新的確認email,測試鏈接。應該沒問題。
最后,如果你給自己發好幾個驗證信,會發生什么? 每封都有效嗎?測試一下。注冊個新用戶,寄送一些新的驗證信。驗證第一封試試。它可以嗎?它應該可以。這樣行嗎?你是否認為要是新的寄出,其他email應該失效呢?
對這種事做些調查。測試下你用的其他網頁應用。它們是怎么處理這種行為的?
更新測試套件
好的。這是為了主要功能。我們更新當前測試套件怎么樣?因為它,嗯,有問題。
運行測試:
$ python manage.py test
你會看到下面的錯誤:
TypeError: __init__() takes at least 4 arguments (3 given)
要去改正它,只需要在project/util.py中更新setUp()方法:
def setUp(self):
db.create_all()
user = User(email="ad@min.com", password="admin_user", confirmed=False)
db.session.add(user)
db.session.commit()
測試之前,在tests/test_models.py中,注釋一下test_user_registration()測試,因為我們不想為了這個測試真 的發送一封郵件。
現在再測試一下。應該全能通過!
結論
還可以做更多的:
- 富文本 vs. 純文本email――應該都寄出。
- 重設定密碼email――當用戶忘記密碼時,這些應該被寄出。
- 用戶管理――應該允許用戶更新email和密碼,當email變了的話,應該重新驗證一遍。
- 測試――需要寫更多測試來涉及更多新功能,包含用mock/patch更新的test_user_registration(),來防止實際email被發送。
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
