session实现用户登录(登录session的用法)

实现用户登录为什么要用session不用cookie

如果你想做简单一点。那就用session。一行代码就可以保存的登陆状态，在session有效的时间内。再次访问页面不需要重新登陆。 但是，这个有一个弊端。就是现在的web编程思想：轻端，重客户端。也就是尽量减轻端的压力（少在服...

session实现用户登录(登录session的用法)

session实现用户登录(登录session的用法)

Flask博客实战 - 实现登录注册功能

上一节我们已经创建了一个用户应用，并创建了用户模型，那么我们这节就开始实现一个简单的用户登录注册功能！

登录注册功能Flask有一个非常的扩展Flask-login，我们可以选择使用这个扩展来实现，但为了学习我们暂时不使用这个第三方扩展，而是选择使用session来实现！

首先，我们需要完善登录的html页面, 路径为： app/auth/templates/login.html

代码详解：

这个登陆模板继承了 base.html 的样式，这个 base.html 中的模块及代码其实就是我们之前实现的首页，只是我们把他作为一个模板基类来继承他！

这段代码中其实就是写了一个输入账号密码的表单，其他多余的代码都是为了实现表单的样式而存在的！

这里要特别说明的是这个input表单必须设置name属性，因为后端要根据此name属性来获取用户输入的值！其他属性则需要大家自行去了解学习！

登录功能的后端逻辑视图, 路径为： app/auth/views/auth.py

代码详解： - request.mod == 'POST' 判断当前请求是否为t请求方式 - error = None 来初始化一个错误变量，如果未通过登录验证，把错误信息通过消息传送到页面提示用户

这段代码首先在数据库通过用户提交的用户名去查询该用户，用户不存在就会返回None返回错误提示，用户存在则判断密码是否正确，这里用到了一个 check_password_hash() 的方法，这是用来将密文密码解密后与用户输入密码比对方法，与之对应的有一个 generate_password_hash() 的方法用来加密明文密码保存到数据库！

这段代码则是如果没有返回任何错误提示，说明该提交的表单符合我们的要求，并且数据库也存在该用户信息，那么我们只需要清空session，重新将session中的user_id设置为当前登录的id即可！

因此在实现登录注册逻辑之前就必须引入这两个方法：

登录功能虽然实现了，但我们数据库目前还没有任何一个用户，所以此时就应该要去实现用户的注册功能，向数据库新增用户，大概的逻辑是，用户输入用户名及两次密码，先判断该用户是否已经存在，存在则提示更换用户名，不存在则向数据库创建该用户信息，并清空session，重新设置user_id的值为注册用户的id，以达到注册成功后自动登录的目的！

首先，我们需要完善注册的html页面, 路径为： app/auth/templates/register.html

这是注册页面的html，大家自行理解下，这里着重说一个我们在视图中通过 flash() 传递出来的消息，在模板中由以下代码接收！

注册功能的后端逻辑视图, 路径为： app/auth/views/auth.py

这个注册的逻辑基本上涵盖了我们之前所有章节学到的知识点，这里就不再过多地去一一解释代码，大家可自行理解并完善注释！

通过登录和注册功能的实现，我们已经清楚地知道，用户是否登录其实是判断session会话中是否存在用户的id来决定，那么推出登录，我们只需要清除session会话中的用户id即可，这里我们直接选择清空session的方式实现推出功能！

bp.before_app_request() 注册一个在视图函数之前运行的函数，无论请求什么 URL。 都会先检查用户 ID 是否存储在会话中，并从数据库获取该用户的数据，将其存储在 g.user 上，该数据在请求期间持续。

注册完这个函数之后，我们就可以在base.html中的导航的右侧通过g.user的返回值，判断用户是否已经登录，显示不同的信息！

对于像下一章节我们要实现的用户中心以及管理后台，则必须是带有权限的访问，基本的权限应该是必须是登录用户，那么所以说对于那些未登录的用户我们需要拒绝访问的功能！

这个其实思路也非常简单，既然在实现模板中调用用户信息的时候，我们把当前登录的用户信息添加到了g对象，那么我们只需要判断g.user的返回值是否为None即可判断用户是否登陆！

到这里关于用户登录注册相关的基本权限问题我们就完成了，注意这些视图函数都在 app/auth/views/auth.py 文件中！

1. 用session对象实现登陆,在一个页面中有输入框,在另一页面输出:登陆名,你好

个页面

protected void Button1_Click(object sender, EventArgs e)

{UserBll userBll = new UserBll();

string userName, passWord;

userName = TextBox1.Text;

passWord = TextBox2.Text;

if (userBll.login_OK(userName, passWord))//判断用户名和密码是否相同。

{Session["adminName"] = userName;//获取登陆的用户名

Session["loginTime"] = DateTime.Now.ToString();//获取当前的时间，也就是登陆时间。

}}

另一个页面：

protected void Page_Load(object sender, EventArgs e)

{Label1.Text = Session["adminName"].ToString();

}

请使用如下代码：

Session[Session.SessionID+"name"]=toginname.Text;

取值时直接用：

string name=Session[Session.SessionID+"name"].ToString();

特别注意Session.SessionID是的，这样就保证了性

前端登陆实现

四种方式

Cookie 出现的原因： HTTP 协议是无状态的，每次请求都会建立一个新的链接，请求结束就会断开链接，优点就是可以节省链接资源，缺点就是无法保存用户状态。Cookie 的出现就是为了解决这个问题。

Cookie 是存储在浏览器中的，可以通过 Js 和 set-cookie 这个响应字段来进行设置。

cookie 的限制：

有了 cookie 之后，服务端就可以从客户端获取到信息，如果需要对信息进行验证，那么还需要 session

服务端在收到客户端的请求之后，会在中开辟一片内存空间来存放 session

次登陆之后，下次再访问的时候就会携带这个 cookie，服务端就可以根据 sessionId 进行验证用户是否登陆（判断这个 sessionId 和服务端保存的 sessionId 是否一致，是否有这个 sessionId 的记录或者记录是否有效）

客户端浏览器访问的时候，把客户端信息以某种形式记录在上。这就是 Session。客户端浏览器再次访问时只需要从该 Session 中查找该客户的状态就可以了。

Token 是 生成的一个字符串，作为客户端请求的一个令牌。次登陆之后，会生成一个 Token 返回给客户端，客户端后续访问的时候，只需带上这个 Token 进行身份认证

缺点

JWT（Json Web Token）

服务端不需要存储 Token 那么服务端是怎么验证客户端传递过来的 Token 是否有效的呢？

：

Token 并不是杂乱无章的字符串，而是通过多种算法拼接而成的字符串

header 部分指定了这个 Token 所使用的签名算法

payload 部分表明了这个 JWT 的意图

signature 部分为 JWT 的签名，主要是为了让 JWT 不被随意的篡改

签名的部分有两个步骤

一：

二:

的 Token 计算如下：

单点登陆指的是公司会搭建一个公共的认证中心，公司里的所有产品的认证都可以在这个认证中心中完成，一个产品在认证中心认证之后，再去访问其他产品时就不需要再次认证

这个时候，由于 存在已登录的 Cookie 信息，所以端直接认证成功。

这个时候由于认证中心存在之前登陆过的 cookie，所以不需要再输入账号密码，直接从第四步开始执行

目前我们已经完成了单点登录，在同一套认证中心的管理下，多个产品可以共享登录态。现在我们需要考虑退出了，即：在一个产品中退出了登录，怎么让其他的产品也都退出登录？

原理也不难，其实就是在携带 ticket 去请求认证中心的时候，再去请求一下认证中心的退出登陆的 api 即可

当某个产品 c 退出登陆时

sso 就是一个集中地验证系统。你项目内请求时，向 sso 发一个请求，他给你个 token 你扔到游览器缓存里，请求的时候放在请求头里带着。和其他验证接口一样。 他好就好在，一个账号在不同系统里都可以登录，因为不同项目可以共用这个 token。并且通过 sso 集中管理一些用户信息，你可以方便的拿用户信息。

以微信为例子

php单点登录是如何实现的

单点登录（Single Sign On），简称为SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

阅读：php

实现单点登录的方法

server端

“共享Cookie”即共享session的方式,本质上cookie只是存储session-id的介质,session-id也可以放在每次请求的里面.session机制是一个server一个session

SSO-Token方式是因为共享session的方式不安全,所以我们不再以session-id作为身份的标识,我们另外生成一种标识,把它取名为SSO-Token,这种标识在整个server群的,所以所有的server群都能验证整个token,同时拿到token 就代表拿到用户的信息

浏览器端

单点登录还有非常关键的一步，这一步跟server端验证token的方式无关，用早的“共享session”的方式还是现在的“token”方式，身份标识到了浏览器端都要面临这样的一个问题：用户登录成功拿到token(或者是session-id)后怎么让浏览器存储和分享到其它域名下？

同域名很简单，把token存在cookie里，把cookie的路径设置成域名下，这样所有子域都能读取cookie中的token。这就是共享cookie的方式（这才叫共享Cookie嘛，上面那个应该叫共享session）。

技术实现的机制

当用户次访问应用系统的时候，因为还没有登录，会被到认证系统中进行登录；根据用户提供的登录信息，认证系统进行身份校验，如果通过校验，应该返回给用户一个认证的凭据－ticket；

用户再访问别的应用的时候，就会将这个ticket带上，作为自己认证的凭据，应用系统接受到请求之后会把ticket送到认证系统进行校验，检查ticket的合法性。如果通过校验，用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。

要实现SSO，需要以下主要的功能：

所有应用系统共享一个身份认证系统。

统一的认证系统是SSO的前提之一。认证系统的主要功能是将用户的登录信息和用户信息库相比较，对用户进行登录认证；认证成功后，认证系统应该生成统一的认证标志（ticket），返还给用户。另外，认证系统还应该对ticket进行效验，判断其有效性。

所有应用系统能够识别和提取ticket信息。

要实现SSO的功能，让用户只登录一次，就必须让应用系统能够识别已经登录过的用户。应用系统应该能对ticket进行识别和提取，通过与认证系统的通讯，能自动判断当前用户是否登录过，从而完成单点登录的功能。

ja怎么用session实现保持登录状态和一个账户不能同时登录的问题

其实麻烦一点可以在数据库中添加一个在线与否的状态字段，

登录就把次字段状态设置成多少，退出之后再改回以前的

这样就能判断了

有点麻烦

当一个用户登录成功时，就设置哥标记存入session中 然后通过判断session是否为空来进行限制

在业务类里，判断用户输入正确后，把这个对象存入session.

session.set（“自命名”，对象名）；

然后你就可以判断

如果session有值，就不让登录

session的有效期是30分钟