关于用户的登录状态,一部分的应用程序是采用session实现的。
HTTP是一个无状态协议,用户的每次请求都是相互独立的,HTTP本身意识不到用户是否登录。
很多web框架选择将session存放在cookies中,本节我们也是这样实现:
import tornado.ioloop import tornado.web class BaseHandler(tornado.web.RequestHandler): def get_current_user(self): return self.get_secure_cookie("user") class MainHandler(BaseHandler): def get(self): if not self.current_user: self.redirect("/login") return name = tornado.escape.xhtml_escape(self.current_user) self.write("Hello, " + name) class LoginHandler(tornado.web.RequestHandler): def get(self): self.render("login.html") def post(self): self.set_secure_cookie("user", self.get_argument("name")) self.redirect("/") application = tornado.web.Application([ (r"/", MainHandler), (r"/login", LoginHandler) ], cookie_secret="61oETzKXQAGaYdkL5gEmGeJJFuYh7EQnp2XdTP1o/Vo=") if __name__ == '__main__': application.listen(8888) tornado.ioloop.IOLoop.instance().start()
这里的核心便是LoginHandler类,他的get方法对于HTTP的GET请求,返回一个表单,对于post方法,则认为是用户的登录动作。
登录页面login.html代码如下:
<html> <head> <title>Login</title> </head> <body> <form action="/login" method="post" accept-charset="utf-8"> <input type="text" name="name" value="your username"><br> <input type="submit" value="submit"> </form> </body> </html>
这里处理实际登录的逻辑是,在cookies中存入相应的数据。
这样,我们检测用户是否登录,只需检测cookies即可,这是BaseHandler的核心逻辑,它重写了父类的get_current_user方法。
注意MainHandler的逻辑:
如果用户没有登录,那么跳转到登录页面。
如果用户登录,那么打印出欢迎的语句。
采用装饰器
这里的检查登录的代码,我们可以使用闭包写一个装饰器,这样可以减少代码的冗余:
login_url = "login.html" def require_login(): def temp(func): def wrapped(self, *args, **kargs): if not self.current_user: self.redirect(login_url) return return wrapped return temp
这样我们在MainHandler中只需要采用装饰器修饰即可:
class MainHandler(BaseHandler): @require_login() def get(self): name = tornado.escape.xhtml_escape(self.current_user) self.write("Hello, " + name)
采用框架提供的装饰器
MainHandler需要检测用户是否登录,我们可以采用装饰器@tornado.web.authenticated来帮助我们完成这一目标,而不需要手工写出检测的代码。
import tornado.ioloop import tornado.web class BaseHandler(tornado.web.RequestHandler): def get_current_user(self): return self.get_secure_cookie("user") class MainHandler(BaseHandler): @tornado.web.authenticated def get(self): name = tornado.escape.xhtml_escape(self.current_user) self.write("Hello, " + name) class LoginHandler(tornado.web.RequestHandler): def get(self): self.render("login.html") def post(self): self.set_secure_cookie("user", self.get_argument("name")) self.redirect("/") settings = { "cookie_secret": "61oETzKXQAGaYdkL5gEmGeJJFuYh7EQnp2XdTP1o", "login_url": "/login", } application = tornado.web.Application([ (r"/", MainHandler), (r"/login", LoginHandler) ], **settings) if __name__ == '__main__': application.listen(8888) tornado.ioloop.IOLoop.instance().start()
很显然,@tornado.web.authenticated这个装饰器的功能与我们编写的require_login功能相似。
另外,在自己编写的装饰器中,我们将login_url单独做成了变量,保证可配置性,所以这里我们也需要配置login_url选项。