在开发web应用时,后端服务经常需要通过设置cookie来管理用户会话或存储其他客户端信息。flask提供了response对象上的set_cookie方法来实现这一功能。然而,一个常见的误区是,在修改了响应对象(例如,添加了cookie)之后,却返回了另一个未包含这些修改的响应。
考虑一个典型的场景:前端使用Axios等库发送带凭证(withCredentials: true)的请求,后端Flask应用需要验证用户身份并设置一个包含认证令牌的Cookie。
# main.py
from flask import Flask, make_response, jsonify
from flask_cors import CORS, cross_origin
import jwt # 假设已经安装并配置了jwt
import os # 用于SECRET_KEY
app = Flask(__name__)
# 确保CORS配置支持凭证,以便前端能接收到Cookie
CORS(app, supports_credentials=True)
# 假设 SECRET_KEY 和 db 配置已存在
SECRET_KEY = os.environ.get('SECRET_KEY', 'your_super_secret_key')
# 模拟一个简单的数据库查询
class MockDB:
def __init__(self):
self.users = [{"email": "test@example.com", "_id": "12345"}]
def find(self, query):
# 简单模拟查询,实际应从MongoDB等数据库获取
return [u for u in self.users if u["email"] == query["email"]]
db = {'users': MockDB()}
@app.route('/')
def principal():
return 'Welcome to the CharTwo API.'
@app.route('/api/account/login', methods=['POST'])
@cross_origin(supports_credentials=True)
def login_account_route():
# 实际应用中应从request.json获取email和password
# 这里为了演示,假设直接调用loginAccount
email = "test@example.com" # 模拟从请求中获取
return loginAccount(email) # 将email作为参数传入
def loginAccount(email):
# 模拟用户ID获取
user_data = list(db['users'].find({"email": email}))
if not user_data:
# 处理用户不存在的情况
return jsonify({"error": "User not found"}), 404
userId = str(user_data[0]['_id'])
# 生成JWT令牌
# 注意:这里为了简化,直接使用email,实际应使用更安全的载荷
tokenId = jwt.encode({'userId': userId}, SECRET_KEY, algorithm='HS256')
# 准备响应消息
mensagem = {'message': f'Welcome to the CharTwo {email}!', 'tokenId': tokenId}
# 创建一个Flask响应对象
response = make_response(jsonify(mensagem))
# 在响应对象上设置Cookie
# 注意:这里设置的Cookie名称为'accessToken'
response.set_cookie('accessToken', tokenId, httponly=True, secure=True, samesite='Lax')
# 返回这个包含了Cookie的响应对象
return jsonify(mensagem) # 错误的返回方式
if __name__ == '__main__':
app.run(debug=True)在上述loginAccount函数中,我们首先使用make_response(jsonify(mensagem))创建了一个响应对象并将其赋值给response变量。接着,我们调用了response.set_cookie('accessToken', tokenId)来为这个响应对象添加一个Cookie。然而,最终函数返回的却是jsonify(mensagem),这会创建一个全新的响应对象,而这个新对象并未包含之前设置的Cookie信息。因此,前端在接收到响应时,并不会找到预期的accessToken Cookie。
要确保Flask成功设置Cookie,关键在于返回那个已经被修改(添加了Cookie)的Response对象。
以下是loginAccount函数的正确实现:
# user.py (或直接在main.py中)
# 假设 SECRET_KEY 和 db 配置已存在
# from flask import make_response, jsonify
# import jwt
# import os
# SECRET_KEY = os.environ.get('SECRET_KEY', 'your_super_secret_key')
# class MockDB:
# def __init__(self):
# self.users = [{"email": "test@example.com", "_id": "12345"}]
# def find(self, query):
# return [u for u in self.users if u["email"] == query["email"]]
# db = {'users': MockDB()}
def loginAccount(email):
user_data = list(db['users'].find({"email": email}))
if not user_data:
return jsonify({"error": "User not found"}), 404
userId = str(user_data[0]['_id'])
tokenId = jwt.encode({'userId': userId}, SECRET_KEY, algorithm='HS256')
mensagem = {'message': f'Welcome to the CharTwo {email}!', 'tokenId': tokenId}
# 关键步骤:创建响应对象并将其存储在变量中
response = make_response(jsonify(mensagem))
# 在这个响应对象上设置Cookie
# 建议添加httponly, secure, samesite等属性以增强安全性
response.set_cookie(
'accessToken',
tokenId,
max_age=3600, # Cookie有效期,例如1小时
httponly=True, # 阻止客户端脚本访问Cookie
secure=True, # 仅在HTTPS连接下发送Cookie
samesite='Lax' # 跨站请求策略
)
# 返回这个已经设置了Cookie的响应对象
return response # 正确的返回方式通过将return response替换return jsonify(mensagem),我们确保了Flask发送给客户端的HTTP响应头中包含了Set-Cookie指令。前端Axios配置了withCredentials: true后,浏览器会正确地接收并存储这个Cookie。
在Flask应用中设置Cookie时,理解make_response和jsonify的工作原理至关重要。核心原则是,任何对响应对象的修改(包括set_cookie)都必须在最终返回的Response对象上进行。通过遵循正确的实践,并结合适当的Cookie安全属性和CORS配置,你可以确保Flask应用能够安全、可靠地管理用户会话和认证信息。
以上就是Flask set_cookie 不生效:深入解析与正确实践的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告
收藏
收藏
收藏
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
293
