用户登陆验证系统

回顾总结一下 flask 开发api时用到的用户登陆验证系统。基本的想法如下：
1、用户登陆后，将用户的 uid 加密后放在 cookie 中；
2、每次网络请求均验证该 cookie 是否过期，如果过期则需要用户重新登陆；
3、支持二级站点跨域访问。

基本工具模块

创建一个 utils 模块，在 __init__.py 文件中写入如下代码：

#encoding:utf8
import os,datetime,urlparse
from jot import jwt,jws
import Cookie
from .. import config as conf

# 用于创建每个api的response的基本模板
def create_result(msg='ok',code=0):
    return {
        'msg':msg,
        'code':code,
        'data':None
    }

# 创建一个中间件，对 Request 进行解析处理
class ReqParser(object):
    def __init__(self,request):
      # 用 _myproject_sess 作为cookie中存放登陆token的key
        self.__cookie_key='_myproject_sess' 
        self.__date=datetime.datetime.now()
      # 请求地址
        self.__remote_addr=request.remote_addr
      # 请求方法
        self.__method=request.method
      # 请求参数
        url_parse_res=urlparse.urlparse(request.url)
      # 请求路径
        self.__path=url_parse_res.path
      # 仅支持GET和DELETE的url参数
        if self.__method in ('GET','DELETE'):
            self.__params={
                k:v[-1] for k,v in urlparse.parse_qs(url_parse_res.query).items()
            }
        elif self.__method in ('POST','PUT'):
          # 对POST和PUT，同时支持上传json或form
            if request.json is not None:
                self.__params = request.json
            elif request.form is not None:
                self.__params=request.form
        else:
           # 对于不支持的方法都报错
            raise Exception('Methods not allowed')
        # 保存 headers
        self.__headers=dict(request.headers.items())
        # 保存 ua
        self.__user_agent=self.__headers.get('User-Agent',None)
        # 保存 referer
        self.__ref=request.referrer
        # 能正常解析的，创建一个变量 __status，保存值为0
        self.__status=0

    # 从cookie中获取token
    def get_cookie(self):
        c = Cookie.SimpleCookie()
        c.load(self.__headers.get('Cookie', '').encode('utf8'))
        return c.get(self.__cookie_key).value

    # 从 cookie 中获取 uid，用于验证是否是合法的登陆用户
    def get_user_id(self,validate=True):
        try:
            c=Cookie.SimpleCookie()
            c.load(self.__headers.get('Cookie','').encode('utf8'))
            cookie = jwt.decode(c.get(self.__cookie_key).value,
                                signers=[jws.HmacSha(bits=256, key=conf.c_key)])
            return int(cookie['payload']['uid'])
    
# 获取api的版本号
    def get_ver(self):
        return self.__headers.get('myapi-ver',None)
        except:
            if not validate: return -1
            raise Exception(conf.ERR_NOT_USER)
   
    # 登陆成功时用于在数据库保存登陆log
    def loggin(self,resp_time):
        self.__user_id=self.get_user_id()
        self.__resp_time=resp_time
        log_content={
            'date':self.__date,
            'user_id':self.__user_id,
            'method':self.__method,
            'path':self.__path,
            'params':self.__params,
            'remote-addr':self.__remote_addr,
            'user-agent':self.__user_agent,
            'ref':self.__ref,
            'status':self.__status,
            'resp-time':self.__resp_time
        }
        # 省略在数据库加入登陆记录的代码

使用工具类来处理 api 请求

需要注意以下一些问题：

• 在 flask 创建的 app 中，首先需要声明支持二级站点的跨域访问
• 创建一个装饰方法，统一处理基本异常情况，将异常转换为错误信息返回给前端

支持跨域访问

from flask_cors import CORS

flask_app=Flask(__name__)
flask_app.config.from_object(conf.config[status])
cors=CORS(flask_app,supports_credentials=True)

装饰方法统一处理异常情况

完成如下功能：

1、记录每个请求的处理时间，便于性能调试
2、异常情况分为两种：一种是系统产生的异常信息；一种是自定义的异常信息（比如未登录用户访问了需要登录才能访问的接口等等）

def error_handler(func):
    def wrapper(*args,**keys):
        try:
            time_start=time.time()
            # 通过 func 内部 raise Exception 将一些约定的错误返回到这里
            resp=func(*args,**keys)
            time_finish=time.time()
            resp.resp_time=time_finish-time_start
            return resp
        except Exception as err:
            resp=utils.create_result()
            e_msg=str(err.message)
            # 自定义的出错信息用“编号::出错描述”的形式传递出错信息
            # 比如：ERR_NOT_USER=u'3::未登录用户不能访问'
            if e_msg.find('::')==-1:
                resp['code'],resp['msg']=-1,e_msg
            else:
                info=e_msg.split('::')
                resp['code'], resp['msg'] = info[0],info[1]
            return jsonify(resp)
    return wrapper

error_handler 的使用举例：

class ApiUploadDocxZip(MethodView):
    def __init__(self,template):
        self.template=template
        super(ApiUploadDocxZip,self).__init__()

    @error_handler
    def post(self):
        req_parser = utils.ReqParser(request)
        user_id = req_parser.get_user_id()
        file=request.files['files']
        filename = file.filename
        result=utils.create_result()
        if allowed_ext(filename):
            ......
            return jsonify(result)
        else:
            raise Exception(conf.ERR_INVALID_FILE_TYPE)