Flask-login Question

1 未登录访问鉴权页面如何处理？

如果未登录访问了一个作了 login_required 限制的 view，那么 Flask-Login 会默认 flash一条消息，并且将重定向到login_view，如果你没有指定login_view，那么 Flask-Login 将会抛出一个 401 错误，比如

app.secret_key = 's3cr3t'
login_manager = LoginManager()
login_manager.session_protection = 'strong'
login_manager.login_view = 'xlogin'
login_manager.init_app(app)

2 如何自定义 flash 消息

设置login_message即可，比如

login_manager.login_message = u"请登录！"

另外还可以设置消息级别一般设置成 info 或者 error，

login_manager.login_message_category = "info"

3 自定义未登录处理函数

如果你不想使用默认的规则，就是未授权成功会跳转到你指定的login_view，如果没定义login_view则返回401错误，那么你也可以自定义未登录情况的处理函数，只需要使用 login_manager 的 unauthorized_handler 装饰器即可

@login_manager.unauthorized_handler
    def unauthorized():
        # do stuff
        return render_template("some template")

4 如何控制 Flask-Login 的 session 过期时间

在 Flask-Login 中，如果你不特殊处理的话，session 是在你关闭浏览器之后就失效的。也就是说每次重新打开页面都是需要重新登录的。如果你需要自己控制 session 的过期时间的话，需要先设置 login_manager 的 session类型为永久的，再设置 session 的过期时间

session.permanent = True
app.permanent_session_lifetime = timedelta(minutes=5)

同时，还需要注意的是 cookie 的默认有效期其实是 一年 的，所以，我们最好也设置一下：

1	login_manager.remember_cookie_duration=timedelta(days=1)

5 登录remember咱实现

只要把 remember=True 传递给 login_user。一个 cookie 将会存储在用户计算机中，如果用户会话中没有用户 ID 的话，Flask-Login 会自动地从 cookie 中恢复用户 ID。cookie 是防纂改的，因此如果用户纂改过它(比如，使用其它的一些东西来代替用户的 ID)，它就会被拒绝，就像不存在。该层功能是被自动实现的。但你能（且应该，如果你的应用处理任何敏感的数据）提供 额外基础工作来增强你记住的 cookie 的安全性。

使用用户 ID 作为记住的令牌值不一定是安全的。更安全的方法是使用用户名和密码联合的 hash 值，或类似的东西。要添加一个额外的令牌，向你的用户对象添加一个方法：

get_auth_token()

返回用户的认证令牌（返回为 unicode ）。这个认证令牌应能唯一识别用户，且不易通过用户的公开信息，如 UID 和名称来猜测出——同样也不应暴露这些信息。

相应地，你应该在 LoginManager 上设置一个 token_loader 函数， 它接受令牌（存储在 cookie 中）作为参数并返回合适的 User 对象。

make_secure_token 函数用于便利创建认证令牌。它会连接所有的参数，然后用应用的密钥来 HMAC 它确保最大的密码学安全。（如果你永久地在数据库中存储用户令牌，那么你会希望向令牌中添加随机数据来阻碍猜测。）

如果你的应用使用密码来验证用户，在认证令牌中包含密码（或你应使用的加盐值的密码 hash ）能确保若用户更改密码，他们的旧认证令牌会失效。

6 login_user的fresh意义

flask.ext.login.login_user(user, remember=False, force=False, fresh=True)

当用户登入，他们的会话被标记成“新鲜的”，就是说在这个会话只中用户实际上登录过。当会话销毁用户使用“记住我”的 cookie 重新登入，会话被标记成“非新鲜的”

login_required 并不在意它们之间的不同，这适用于大部分页面。然而，更改某人 的个人信息这样的敏感操作应需要一个“新鲜的”的登入。（像修改密码这样的操作总是需要 密码，无论是否重登入)

fresh_login_required，除了验证用户登录，也将确保他们的登录是“新鲜的”。如果不是“新鲜的”，它会把用户送到可以重输入验证条件的页面。你可以定制fresh_login_required 就像定制 login_required 那样，通过设置LoginManager.refresh_view，needs_refresh_message，和needs_refresh_message_category

login_manager.refresh_view = "accounts.reauthenticate"
login_manager.needs_refresh_message = (
    u"To protect your account, please reauthenticate to access this page."
)
login_manager.needs_refresh_message_category = "info"

调用 confirm_login 函数可以重新标记会话为”新鲜“

7 本地化

默认情况下，当用户需要登录，LoginManager 使用 flash 来显示信息。这些信息都是英文的。如果你需要本地化，设置 LoginManager 的 localize_callback 属性为一个函数，该函数在消息被发送到 flash 的时候被调用，比如，gettext