tornado------用户身份验证------用户身份验证框架

一个完整的身份认证编程框架：

import tornado
from tornado import web, ioloop
import uuid

dict_sessions = {}


class BaseHandler(web.RequestHandler):                         # 公共基类
    def get_current_user(self):                                # 写入current_user的函数
        session_id = self.get_secure_cookie("session_id")
        return dict_sessions.get(session_id)


class MainHandler(BaseHandler):
    @web.authenticated                                         # 需要身份认证才能访问的处理器
    def get(self, *args, **kwargs):
        name = tornado.escape.xhtml_escape(self.current_user)
        self.write("Hello, " + name)


class LoginHandler(BaseHandler):
    def get(self, *args, **kwargs):
        self.write('<html><body>'
                   'Name: <input type="text" name="name">'
                   '<input type="submit" value="Sign in">'
                   '</form>'
                   '</body></html>')

    def post(self, *args, **kwargs):
        if len(self.get_argument("name")) < 3:
            self.redirect("/login")
        session_id = str(uuid.uuid1())
        dict_sessions[session_id] = self.get_argument("name")
        self.set_secure_cookie("session_id", session_id)
        self.redirect("/")


application = web.Application([
    (r"/", MainHandler),
    (r"/login", LoginHandler),
], cookie_secret="SECRET_DONT_LEAK", login_url="/login")


def main():
    application.listen(8888)
    ioloop.IOLoop.current().start()


if __name__ == '__main__':
    main()

网页请求页面：

　　

 

代码解析：

　　全局字典dict_sessions保存用户信息，简单起见，此处只保存了会话ID。

　　定义一个公共基类，它继承于tornado.web.RequestHandler，用于定义本网站的公共属性和行为。重写了get_current_user()函数，开发

者在访问RequestHandler.current_user属性时自动被Tornado调用。

　　MainHandler 类是一个要求用户经过身份验证才能访问的处理器实例。里面的get方法在执行时，根据 current_user 是否被赋值判断用户

的身份认证情况。已经赋值了进行正常访问逻辑，否则自动重定向到网站的登陆页面。

　　在tornado.web.Application 的初始化函数中通过login_url参数给出网站的网站登陆地址。该地址还被用于tornado.web.authenticated 装饰

器在发现用户尚未验证时重定向到一个url。