关于flask、django 登录验证的分析

从login.required()装饰器说起。

在flask的接口访问中，需要对请求进行登录验证，确保合法登录的用户才可以访问对应的接口。

一般会在对应app的钩子函数before_request() 去进行验证。这样一来就可以对该app所有的接口访问都进行登录验证了。

在app/__init__.py 如下：

auth_token = HttpBasicAuth()

@app_name.before_request
@auth_token.login_required
def before_request()
    pass

注意HttpBasicAuth()这种编码方式，是需要前端配合，在前端的请求头中添加一个字段：

Authorization:   Basic JUU2JTlFJTk3JUU4JUI2JThBJUU2JTlFJTk3OjQ3ZTEyYmQ2MWZkYWYzZTg4NzgzYTczYTdlOGRjMGM3MzU1MDgzOxZTgxNDczNDllMDQ3N2I3YzExNWU1YjI2OTg0NzhiZmNlY2E5Y2ZhOWQ5ZDBhOWRlYWI1OGU1ZTgwNTFmMTk1NDU0Zjc2MTQ0NzQ4Njc1YmFiOTJlNzk4MjMwNmJiZTNjNmFhZTE1MWQ3ZTc0YTY4ZDFjOTJkY2NjODQwZjNjNDY1ODNlYmFkMjUyMjVlMmYwNzJiMjQ1OWJjZjJkZGIxYzRjYWFkMWI1ZjhkYzA3Y2I4YjMxOTExOGMxMzc0YWZhZDI3ZTU2NjBiYmIzNWNjNWM2Yzc=

前端可以把用户名，token进行base64编码加密，加在发给后端的request header中。

回到后台——

后台接收请求，装饰器login_required() 中会获取请求头中的 Authorization的值，进行解码，获取其中包含的信息，可能是username，token/password 等的信息。

在login_required 中所做的事情就是，对从前端请求头拿到的信息进行验证——在数据库寻找是否有该用户的信息以及信息是否正确。如果正确就给予访问，否则直接return 错误，或者跳到某个处理错误的回调函数 : error_handler()装饰器。

 

具体查看对应源码。