20:使用身份验证登录

根据用户列表验证用户名和密码的登录视图。

背景

大多数Web应用程序都有允许人们通过Web浏览器添加/编辑/删除内容的URL。添加时间 security 应用程序。在第一步中，我们将介绍身份验证。也就是说，登录和注销，使用Pyramid丰富的可插入用户存储设施。

在下一步中，我们将使用授权安全声明介绍对资源的保护。

目标

• 介绍认证的Pyramid概念。

• 创建登录和注销视图。

步骤

1. 我们将使用视图类步骤作为起点：

   cd ..; cp -r view_classes authentication; cd authentication
   

2. 添加 bcrypt 作为一种依附 authentication/setup.py ：

   from setuptools import setup
   
   # List of dependencies installed via `pip install -e .`
   # by virtue of the Setuptools `install_requires` value below.
   requires = [
       'bcrypt',
       'pyramid',
       'pyramid_chameleon',
       'waitress',
   ]
   
   # List of dependencies installed via `pip install -e ".[dev]"`
   # by virtue of the Setuptools `extras_require` value in the Python
   # dictionary below.
   dev_requires = [
       'pyramid_debugtoolbar',
       'pytest',
       'webtest',
   ]
   
   setup(
       name='tutorial',
       install_requires=requires,
       extras_require={
           'dev': dev_requires,
       },
       entry_points={
           'paste.app_factory': [
               'main = tutorial:main'
           ],
       },
   )
   

3. 我们现在可以在开发模式下安装我们的项目：

   $VENV/bin/pip install -e .
   

4. 将安全哈希放入 authentication/development.ini 配置文件为 tutorial.secret 而不是将其放入代码中：

   [app:main]
   use = egg:tutorial
   pyramid.reload_templates = true
   pyramid.includes =
       pyramid_debugtoolbar
   tutorial.secret = 98zd
   
   [server:main]
   use = egg:waitress#main
   listen = localhost:6543
   

5. 创建一个 authentication/tutorial/security.py 模块，它可以通过提供 security policy ：

   import bcrypt
   from pyramid.authentication import AuthTktCookieHelper
   
   
   def hash_password(pw):
       pwhash = bcrypt.hashpw(pw.encode('utf8'), bcrypt.gensalt())
       return pwhash.decode('utf8')
   
   def check_password(pw, hashed_pw):
       expected_hash = hashed_pw.encode('utf8')
       return bcrypt.checkpw(pw.encode('utf8'), expected_hash)
   
   
   USERS = {'editor': hash_password('editor'),
            'viewer': hash_password('viewer')}
   
   
   class SecurityPolicy:
       def __init__(self, secret):
           self.authtkt = AuthTktCookieHelper(secret=secret)
   
       def identity(self, request):
           identity = self.authtkt.identify(request)
           if identity is not None and identity['userid'] in USERS:
               return identity
   
       def authenticated_userid(self, request):
           identity = self.identity(request)
           if identity is not None:
               return identity['userid']
   
       def remember(self, request, userid, **kw):
           return self.authtkt.remember(request, userid, **kw)
   
       def forget(self, request, **kw):
           return self.authtkt.forget(request, **kw)
   

6. 注册 SecurityPolicy 与 configurator 在里面 authentication/tutorial/__init__.py ：

   from pyramid.config import Configurator
   
   from .security import SecurityPolicy
   
   
   def main(global_config, **settings):
       config = Configurator(settings=settings)
       config.include('pyramid_chameleon')
   
       config.set_security_policy(
           SecurityPolicy(
               secret=settings['tutorial.secret'],
           ),
       )
   
       config.add_route('home', '/')
       config.add_route('hello', '/howdy')
       config.add_route('login', '/login')
       config.add_route('logout', '/logout')
       config.scan('.views')
       return config.make_wsgi_app()
   

7. 更新中的视图 authentication/tutorial/views.py ：

   from pyramid.httpexceptions import HTTPFound
   from pyramid.security import (
       remember,
       forget,
       )
   
   from pyramid.view import (
       view_config,
       view_defaults
       )
   
   from .security import (
       USERS,
       check_password
   )
   
   
   @view_defaults(renderer='home.pt')
   class TutorialViews:
       def __init__(self, request):
           self.request = request
           self.logged_in = request.authenticated_userid
   
       @view_config(route_name='home')
       def home(self):
           return {'name': 'Home View'}
   
       @view_config(route_name='hello')
       def hello(self):
           return {'name': 'Hello View'}
   
       @view_config(route_name='login', renderer='login.pt')
       def login(self):
           request = self.request
           login_url = request.route_url('login')
           referrer = request.url
           if referrer == login_url:
               referrer = '/'  # never use login form itself as came_from
           came_from = request.params.get('came_from', referrer)
           message = ''
           login = ''
           password = ''
           if 'form.submitted' in request.params:
               login = request.params['login']
               password = request.params['password']
               hashed_pw = USERS.get(login)
               if hashed_pw and check_password(password, hashed_pw):
                   headers = remember(request, login)
                   return HTTPFound(location=came_from,
                                    headers=headers)
               message = 'Failed login'
   
           return dict(
               name='Login',
               message=message,
               url=request.application_url + '/login',
               came_from=came_from,
               login=login,
               password=password,
           )
   
       @view_config(route_name='logout')
       def logout(self):
           request = self.request
           headers = forget(request)
           url = request.route_url('home')
           return HTTPFound(location=url,
                            headers=headers)
   

8. 在添加登录模板 authentication/tutorial/login.pt ：

   <!DOCTYPE html>
   <html lang="en">
   <head>
       <title>Quick Tutorial: ${name}</title>
   </head>
   <body>
   <h1>Login</h1>
   <span tal:replace="message"/>
   
   <form action="${url}" method="post">
       <input type="hidden" name="came_from"
              value="${came_from}"/>
       <label for="login">Username</label>
       <input type="text" id="login"
              name="login"
              value="${login}"/><br/>
       <label for="password">Password</label>
       <input type="password" id="password"
              name="password"
              value="${password}"/><br/>
       <input type="submit" name="form.submitted"
              value="Log In"/>
   </form>
   </body>
   </html>
   

9. 在中提供登录/注销框 authentication/tutorial/home.pt ：

   <!DOCTYPE html>
   <html lang="en">
   <head>
       <title>Quick Tutorial: ${name}</title>
   </head>
   <body>
   
   <div>
       <a tal:condition="view.logged_in is None"
               href="${request.application_url}/login">Log In</a>
       <a tal:condition="view.logged_in is not None"
               href="${request.application_url}/logout">Logout</a>
   </div>
   
   <h1>Hi ${name}</h1>
   <p>Visit <a href="${request.route_url('hello')}">hello</a></p>
   </body>
   </html>
   

10. 运行 Pyramid 应用程序时使用：

    $VENV/bin/pserve development.ini --reload
    

11. 在浏览器中打开http://localhost:6543/。

12. 单击“登录”链接。

13. 使用用户名提交登录表单 editor 以及密码 editor .

14. 请注意，“登录”链接已更改为“注销”。

15. 单击“注销”链接。

分析

与许多web框架不同，Pyramid包含一个内置但可选的身份验证和授权安全模型。该安全系统旨在灵活并支持多种需求。在这个安全模型中，身份验证（您是谁）和授权（允许您做什么）是可插入的。为了一步一个脚印地学习，我们提供了一个识别用户并允许他们注销的系统。

在这个例子中，我们选择使用捆绑 pyramid.authentication.AuthTktCookieHelper 帮助程序将用户的登录状态存储在cookie中。我们在配置中启用了它，并在INI文件中提供了票证签名机密。

我们的视图类增加了一个登录视图。当你通过一个 GET 请求，它返回了一个登录表单。到达时通过 POST ，它根据 USERS 数据存储。

函数 hash_password 使用单向哈希算法，在用户密码上添加salt，通过 bcrypt 而不是以纯文本形式存储密码。这被认为是安全方面的“最佳实践”。

备注

还有其他的类库 bcrypt 如果是系统问题。只要确保库使用了一个被批准的安全存储密码的算法。

函数 check_password 将比较提交的密码和存储在数据库中的用户密码的两个哈希值。如果散列值是等效的，那么将对用户进行身份验证，否则身份验证将失败。

假设密码被验证，我们调用 pyramid.security.remember() 生成在响应中设置的cookie。随后的请求返回该cookie并标识用户。

在我们的模板中，我们获取了 logged_in 视图类中的值。我们使用这个来计算登录用户（如果有的话）。在模板中，我们可以选择显示匿名访问者的登录链接或登录用户的注销链接。

额外credit

1. 我可以用数据库代替吗 USERS 对用户进行身份验证？

2. 一旦我登录，是否有任何以用户为中心的信息被阻塞到每个请求上？使用 import pdb; pdb.set_trace() 回答这个问题。

参见

也见 安全性 ， pyramid.authentication.AuthTktCookieHelper ， bcrypt