在开发 Web 应用时,用户登录状态的管理至关重要。默认情况下,Session 是临时的,一旦用户关闭浏览器,Session 通常会被清除,这意味着用户需要重新登录。然而,在许多应用场景中,我们希望实现持久化登录,即用户即使关闭了浏览器,在一段时间内仍然不需要重新登录。本文将介绍如何在 Flask 中实现这一功能,包括使用 Session 持久化、JWT Token、以及Redis 存储 Session 的方法。
目录
- 使用 Flask-Session 持久化登录状态
- 使用 Cookies 存储 JWT Token 实现持久化登录
- Redis 持久化 Session,支持分布式架构
- 总结
1. 使用 Flask-Session 持久化登录状态
Flask 使用 Session 管理用户的登录状态。默认情况下,Session 是临时的,通常在用户关闭浏览器后失效。为了让用户的登录状态可以持续一段时间(如 1 天),我们可以将 Session 配置为“永久”,并设置一个有效期。
代码实现:
python">from flask import Flask, session, redirect, url_for, request
import datetimeapp = Flask(__name__)
app.secret_key = 'your_secret_key'# 设置 Session 的过期时间为1天
app.config['PERMANENT_SESSION_LIFETIME'] = datetime.timedelta(days=1)@app.route('/login', methods=['GET', 'POST'])
def login():if request.method == 'POST':username = request.form['username']password = request.form['password']# 假设用户名和密码正确if username == 'test_user' and password == 'test_password':session.permanent = True # 使 session 永久化session['username'] = username # 存储用户信息在 session 中return redirect(url_for('dashboard'))return 'Invalid credentials'return '''<form method="post"><p><input type=text name=username><p><input type=password name=password><p><input type=submit value=Login></form>'''@app.route('/dashboard')
def dashboard():if 'username' in session:return f'Hello, {session["username"]}! You are logged in.'return redirect(url_for('login'))@app.route('/logout')
def logout():session.pop('username', None) # 删除 session 中的用户信息return redirect(url_for('login'))if __name__ == '__main__':app.run(debug=True)
解释:
- Session 持久化:通过
session.permanent = True将 Session 设置为永久,即使关闭浏览器,Session 仍然会保持。 PERMANENT_SESSION_LIFETIME:设置为 1 天,使得用户在登录后的 1 天内保持登录状态。
2. 使用 Cookies 存储 JWT Token 实现持久化登录
另一种实现持久化登录的方式是通过 JWT (JSON Web Token),将生成的 Token 存储在 Cookies 中,并设置过期时间。在用户访问受保护的路由时,服务器可以通过解码 Token 验证用户身份,从而实现 1 天内无需重新登录。
代码实现:
python">from flask import Flask, request, redirect, url_for, render_template, make_response
import datetime
import jwtapp = Flask(__name__)
app.secret_key = 'your_secret_key'# JWT 秘钥
JWT_SECRET = 'your_jwt_secret'def create_jwt_token(username):payload = {'username': username,'exp': datetime.datetime.utcnow() + datetime.timedelta(days=1) # 1天后过期}token = jwt.encode(payload, JWT_SECRET, algorithm='HS256')return tokendef verify_jwt_token(token):try:decoded = jwt.decode(token, JWT_SECRET, algorithms=['HS256'])return decoded['username']except (jwt.ExpiredSignatureError, jwt.InvalidTokenError):return None@app.route('/login', methods=['GET', 'POST'])
def login():if request.method == 'POST':username = request.form['username']password = request.form['password']if username == 'test_user' and password == 'test_password':token = create_jwt_token(username)resp = make_response(redirect(url_for('dashboard')))# 设置 Cookie,保存1天resp.set_cookie('auth_token', token, max_age=60*60*24) # 1天有效期return respreturn 'Invalid username or password', 401return render_template('login.html')@app.route('/dashboard')
def dashboard():token = request.cookies.get('auth_token')if token:username = verify_jwt_token(token)if username:return f'Hello, {username}! You are logged in.'return redirect(url_for('login'))@app.route('/logout')
def logout():resp = make_response(redirect(url_for('login')))resp.delete_cookie('auth_token') # 删除 Cookiereturn respif __name__ == '__main__':app.run(debug=True)
解释:
- JWT:登录成功后生成 JWT Token,将其存储在 Cookie 中,并设置有效期为 1 天。
- Token 验证:在用户访问受保护的路由时,通过解码 Token 来验证用户身份。
3. Redis 持久化 Session,支持分布式架构
在更复杂的应用场景中,可能需要跨多个服务器或进程保持用户的登录状态。这时,可以使用 Redis 或其他数据库来持久化 Session。Redis 允许将 Session 存储在服务器端,并支持集群化和分布式应用场景。
代码实现:
python">from flask import Flask, session
from flask_session import Session
import redisapp = Flask(__name__)# 配置 Redis 作为 Session 后端
app.config['SESSION_TYPE'] = 'redis'
app.config['SESSION_PERMANENT'] = True
app.config['PERMANENT_SESSION_LIFETIME'] = datetime.timedelta(days=1)
app.config['SESSION_USE_SIGNER'] = True
app.config['SESSION_KEY_PREFIX'] = 'myapp_'
app.config['SESSION_REDIS'] = redis.StrictRedis(host='localhost', port=6379, db=0)# 初始化 Session
Session(app)@app.route('/login')
def login():session['username'] = 'test_user' # 存储用户名到 Sessionreturn 'Logged in successfully!'@app.route('/dashboard')
def dashboard():username = session.get('username')if username:return f'Hello, {username}!'return 'You need to log in first.', 401if __name__ == '__main__':app.run(debug=True)
解释:
- Redis 后端:Session 数据保存在 Redis 中,支持多服务器之间的 Session 同步和持久化。
4. 总结
通过本文,我们介绍了如何在 Flask 应用中实现持久化登录。无论是使用 Session 还是 JWT Token,都可以让用户在 1 天内无需重新登录。如果您的应用需要分布式架构支持,Redis 是一个很好的选择,用于持久化存储 Session 数据。根据应用的需求,您可以选择适合的方案来优化用户体验。
