之前利用Flask写博客时(http://hbnnlove.sinaapp.com),我对注册模块的逻辑设计很简单,就是用户填写注册表单,然后提交,数据库会更新User表中的数据,字段主要有用户名,哈希后的密码,邮件。

但感觉这样设计有些简单,用户注册时有必要验证一下用户的注册邮件,看是否是他自己的邮箱。
本文主要介绍我在利用Django写博客时,采用的注册方法。首先说一下整体逻辑思路:
  • 处理用户注册数据,
  • 产生token,生成验证URL,
  • 发送验证邮件,
  • 用户登录网址,进行验证,
  • 验证处理。
具体步骤:
1、添加用户
        在Django中自带的User表中,有一个is_active字段,默认值是True,即用户填完表单提交之后,就可以进行登录。我们这里首先将is_acitve字段设为False,也就是说,必须经过后续的邮箱验证,才能够正常登录。
部分代码:
提交后,数据库中会增加一条记录,但is_acitve字段为False,此时还不是有效用户。
2、邮件验证
 邮件验证主要有两步,一是产证token,即加密,二是处理验证链接。
 1)产生token
之前我采用的是简单的base64加解密方法, 但终究是太简单了,后来看到关于Flask的验证用户的文章(http://python.jobbole.com/81410/),就采用了itsdangerous序列化方法,其实Flask的session就用了itsdangerous序列化。我使用它的重要原因是它自带有一个时间戳,而且序列化方法要比单纯的使用base64给力得多。
代码:
security_key就是settings.py中设置的SECRET_KEY,salt是经过base64加密的SECRET_KEY, generate_validate_token函数通过 在用户注册时生成一个令牌。用户名在令牌中被编了码。生成令牌之后,会将带有token的验证链接发送到注册邮箱。在confirm_validate_token函数中,只要令牌没过期,那它就会返回一个用户名,过期时间默认为3600秒。
发送邮件函数代码:

2)处理邮件验证
  就是对应验证链接的视图函数,该函数的主要目的是将User表中用户的is_active字段更新为True。
这里要说一下url的设置。经过itsdangerous产生的token是随机且规律的,说它规律是因为它是由三部分组成,并由点号隔开。类似这样:Imhibm4i.Cg-UAQ.n7ZI2N9kUZ1eOcfBtxlMOdOYYE0。说它随机是因为每一部分的内容可能不仅仅含有字母数字,可能还含有连接符-,_。因此url应该是:url(r’^account/activate/(?P<token>w+.[-_w]*w+.[-_w]*w+)/$’,’blog.views.active_user’,name=’active_user’)
经过上述操作后,用户就可以利用刚注册的用户名进行登录了。
2 1 收藏


直接登录
最新评论
  • 小编辑 编辑 2016/05/08

    建议楼主加入Python频道的专栏,详见这里 

  • 竞媒体   2016/09/21

    作者漏了这句代码

    from django.conf import settings.

    其中

    需要在settings.py设置并导入

     

  • 竞媒体   2016/09/21

    缺少下面这段代码:

    from django.conf import settings

    token_confirm = Token(settings.SECRET_KEY)

  • 杨念初L 研发 2016/09/29

    楼主有一处表述错误:base64 并不是加密算法,而是一个编码算法。使用base64算法当做加密用途的都是非常不安全的。

  • ferrarigogo 深圳 2016/09/29

    在邮件验证完成之前,如果用户拿着用户名和密码登录,是不是要写个自定义的页面来提示他先去邮箱验证 ? 这部你没做, 补上去吧。