Flask-Login深度详解

1. 他是什么

Flask-Login 是 Flask 框架下的一个扩展，专门负责管理网站的“谁进来了”这件事。
可以把它想象成办公楼大厅的前台：不关心你是哪个公司、工号是多少，也不负责核对你的身份证真伪，只负责在你刷卡进门后给你一张临时访客贴纸，并在你走动时认出你。

2. 他能做什么

• 标记登录状态：用户登录后，后续的每一次请求都能被识别出“这个请求来自张三”。

• 限制未登录用户：可以轻松指定某些页面只有贴了访客贴纸的人才能进，没贴的直接拦到登录页。

• 延长登录时效：允许用户勾选“保持登录”，即使关掉浏览器再打开，那张访客贴纸依然有效。

• 清理状态：用户点“退出”时，贴纸当场撕掉，后续请求恢复成陌生人状态。

3. 怎么使用

安装扩展后，核心流程只需要五步：

第一步：初始化前台

python

from flask_login import LoginManager login_manager = LoginManager() login_manager.init_app(app)

第二步：告诉前台如何根据ID找到人

python

@login_manager.user_loader def load_user(user_id): return User.query.get(int(user_id)) # 从数据库取回用户对象

第三步：让用户类具备被识别能力
最简单的方式是继承UserMixin，它把is_authenticated、get_id()等必要方法都备好了。

python

from flask_login import UserMixin class User(db.Model, UserMixin): id = db.Column(db.Integer, primary_key=True)

第四步：用户登录时发贴纸
验证账号密码通过后，调用login_user(user, remember=True)，贴纸就贴上了。
remember=True对应“保持登录”选项。

第五步：给需要权限的页面装门禁

python

from flask_login import login_required @app.route('/dashboard') @login_required def dashboard(): return '欢迎回来'

登出时调用logout_user()，贴纸撕掉。

4. 最佳实践

• 密码安全与Flask-Login解耦
  Flask-Login 不碰密码。密码哈希用 Werkzeug 的generate_password_hash和check_password_hash单独处理，登录时比对哈希值。

• 未登录用户往哪送
  设置login_manager.login_view = 'login'，未登录用户访问被保护页面时会自动跳转到登录路由。
  如果需要更细致的提示，可以用login_manager.unauthorized_handler自定义。

• 会话防劫持
  给app.secret_key设置一个高强度随机值。
  生产环境可以开启SESSION_PROTECTION = "strong"，当 IP 地址等环境信息突变时会自动注销旧会话。

• 用户对象只存标识
  user_loader返回的用户对象应该只包含 id、用户名等固定信息。头像地址、权限列表等易变或敏感数据，每次使用时从数据库实时取，避免会话过期后用户数据仍是旧版本。

• 显式处理匿名用户
  模板或视图中可以用current_user.is_authenticated判断当前是否有人登录。
  current_user在没有登录时是一个匿名用户对象，它的is_authenticated返回False。

5. 和同类技术对比

如何选：

• 如果做的是一个传统 Web 网站，页面由 Flask 渲染，用户登录状态靠 Cookie 维持，Flask-Login 是最直接、最轻量的选择。

• 如果项目刚启动且希望尽快拥有注册、密码找回等全套功能，可以考虑Flask-Security，它用 Flask-Login 处理登录状态，上层帮你搭好了脚手架。

• 如果写的是纯 API 服务，不涉及服务端渲染页面，Flask-JWT-Extended更合适，无状态、跨语言、适合移动端。