Sesiones en Flask con blueprints y cookies

Cursos Empresas Blog Live Conf Precios

Contenido del curso

Introducción a Flask

Rutas y Plantillas con Jinja

Manejo de Formularios y Datos

Organización del Proyecto y Mejoras

Seguridad y Testing

Tomar examen

Sesiones en Flask con blueprints y cookies

Resumen

Aprender a proteger rutas en Flask es clave cuando varias personas usan la misma aplicación. Aquí verás cómo implementar autenticación básica con sesiones en Flask, usando blueprints, cookies encriptadas y flash messages para validar usuarios y resguardar sus notas.

¿Por qué necesitas autenticación en una app Flask?

Si publicas tu aplicación sin protección, cualquier persona que entre al mismo enlace verá las notas de todos. La autenticación resuelve ese problema pidiendo un usuario antes de mostrar contenido privado.

En esta implementación no se pide contraseña porque el foco está en entender cómo funcionan las sesiones, no en construir un sistema robusto de credenciales [01:08].

¿Qué es una sesión en Flask? Es un mecanismo que guarda información del usuario logueado dentro de una cookie encriptada, para que el backend reconozca quién hace cada request sin pedir login en cada vista.

¿Cómo proteger las cookies con secret key?

Las sesiones viajan en cookies, y si alguien las roba podría suplantar al usuario en otro navegador. Para evitarlo, Flask usa el secret_key, que encripta la información de la sesión para que solo tu aplicación pueda leerla [01:32].

Antes de crear cualquier ruta de login, valida en tu archivo de configuración que el secret_key esté definido. Sin esa llave, las sesiones no se pueden firmar ni descifrar de forma segura.

¿Cómo se crea el blueprint de autenticación?

Un blueprint organiza rutas relacionadas en un mismo módulo. Para autenticación, crea una carpeta auth con un archivo routes.py adentro y declara el blueprint así:

python from flask import Blueprint

auth_bp = Blueprint('auth', name)

Luego, dentro de ese archivo defines dos rutas: login y logout. La ruta de login acepta los métodos GET y POST, porque necesitas mostrar el formulario y también recibir los datos enviados.

¿Cómo registrar el blueprint en app.py?

Un error común es crear el blueprint y olvidar registrarlo. Si abres /login y no carga, casi siempre es por eso. En app.py debes importar auth_bp y registrarlo igual que hiciste con el de notas:

python app.register_blueprint(auth_bp)

Después de guardar, el servidor de desarrollo se recarga y la ruta de login aparece disponible.

¿Cómo validar el usuario y redirigir al home?

Dentro de la vista login, primero verificas el método del request. Si es POST, capturas el valor del campo con request.form['username']. Si el usuario coincide con admin, rediriges al listado de notas usando redirect y url_for para apuntar al endpoint correcto [04:46].

python from flask import request, redirect, url_for, render_template, flash, session

@auth_bp.route('/login', methods=['GET', 'POST']) def login(): if request.method == 'POST': username = request.form['username'] if username == 'admin': session['user'] = username return redirect(url_for('notes.home')) flash('Usuario no permitido', 'error') return render_template('login.html')

Si el usuario no es válido, muestras un flash message con la categoría error para que aparezca en la interfaz como alerta.

¿Para qué sirve url_for en Flask? Genera la URL de un endpoint a partir de su nombre, así no tienes que escribir rutas a mano y tu código no se rompe si cambias el path de una vista.

¿Cómo guardar al usuario en la sesión?

La línea session['user'] = username es la clave. Una vez que el login es exitoso, el usuario queda almacenado dentro de la sesión y puedes consultarlo desde cualquier otra vista sin volver a pedir credenciales.

Si inspeccionas las cookies del navegador después de loguearte, verás un valor encriptado. Solo el backend, con el secret_key, puede descifrarlo.

¿Qué información conviene guardar en la sesión?

La sesión es útil pero limitada. La buena práctica es guardar solo identificadores, como un nombre de usuario o un ID, y consultar el resto de la información en tu base de datos cuando la necesites [07:35].

Guarda identificadores cortos, no objetos completos.
Evita meter datos sensibles aunque estén encriptados.
Usa la sesión para saber quién hace cada request.

Después de esa lista vale la pena recordar algo: una sesión liviana hace que tu app sea más rápida y más fácil de depurar.

¿Cómo implementar el logout como reto?

El reto es construir una vista de logout que elimine al usuario de la sesión y lo redirija al login con un mensaje de confirmación [07:55]. La idea es usar session.pop('user', None) para borrar la clave y un flash para avisar que el cierre de sesión fue exitoso.

Este ejercicio refuerza el ciclo completo: entrar con un usuario, mantener el estado mientras navegas y cerrar sesión cuando termines. Cuéntame en los comentarios cómo resolviste tu logout y qué validaciones extra le agregarías.

Bryan Castano

Estudiante

•

Hola, SI . es que Yo ya habia hehco esta logica de '/login/ en un nuevo routes para '/users' hacia dos clases cunado el profesro dejo esto como reto , tambien habia hehco el '/users/register' endpoint y el '/user_profile' endpoint . Yo he aplciado la logica de session en mi ./routers/users.py , este fue asi :

from flask import app, render_template, flash, request, redirect, url_for ,Blueprint, jsonify , session
from models.models import User, db

users_bp = Blueprint('users', __name__)

@users_bp.route('/profile/&lt;string:username&gt;')
def profile(username):
    user = User.query.filter_by(username=username).first()
    if user is None:
        return jsonify(message="User not found"), 404
    return render_template('profile.html', user=user)

@users_bp.route('/register', methods=['GET', 'POST'])

def register():
    if request.method == 'POST':
        username = request.form.get('username', 'Guest')
        email = request.form.get('email', 'Guest@example.com')
        phone_number = request.form.get('phone_number', None)
        password_hash = request.form.get('password', 'default_hash')
        is_admin = False
        new_user = User(
            username=username,
            email=email,
            phone_number=phone_number,
            password_hash=password_hash,
            is_admin=is_admin
        )
        
        db.session.add(new_user)
        db.session.commit()
        db.session.refresh(new_user)    
        #return jsonify(message="User registered successfully", user_id=new_user.user_id), 201
        return redirect(url_for('users.user_login', role='user', name=username))
    
    return render_template('register.html')

@users_bp.route('/login', methods=['GET', 'POST']) 
def user_login():
    
    if request.method == 'POST':
        username = request.form.get('username', 'Guest')
        password = request.form.get('password', 'default_hash')
        
        invalid_attempts = session.get('invalid_attempts', 0)
        
        user = User.query.filter_by(username=username).first()
        
        if user and user.password_hash == password:
            #return jsonify(message="Login successful", user_id=user.user_id), 200
            flash('Login successful!', 'success')
            
            if ( user.is_admin ):
                session['is_admin'] = True
                session['username'] = username
                session['password'] = password
                return redirect( url_for('home', username=username) )
            
            else:
                                  
                return redirect(url_for('users.profile', username=username))    
        else:
            
            # Failure: increment counter
            invalid_attempts += 1
            session['invalid_attempts'] = invalid_attempts  # Store in session
            
            fail_message = f"Invalid credentials, Please Try Again (Attempt {invalid_attempts})"
            flash(fail_message, 'error')
            
            return redirect(url_for('users.user_login'))
        
    
    return render_template('login.html')

\nLuego para Log_out method for endpoint Yo lo he agreago al final con esto:

@users_bp.route('/logout')
def logout():
    session.clear()
    flash('You have been logged out.', 'info')
    return redirect(url_for('home'))

\nEL 'home' endpoint por efectos practicos l odeclare en el main -> app.py .

Pero ahora estoy confundido proque he dañado el endpoint del main home.

Para la session desde users.oy

Me pueden ayudar para organizar mejor la logica de auth para mis usaurios.

Yo tengo varios usuarios mock_users que he creado en mi base de datos sqlite3 en backend.

Luis Martinez

Profesor

Buen ejercicio para aprender y practicar, se ve muy robusto.

La idea ahora es reemplazar esos endpoints con una libreria que ya esté implementada.

Recuerda no reinventar la rueda.

Introducción a Flask

Por qué Flask es el microframework ideal en Python

Crea tu primera app con Flask

Rutas y Plantillas con Jinja

Manejo de Decoradores y Métodos HTTP en Flask

Variables y ciclos Jinja en Flask

Manejo de Formularios y Datos

Formularios en Flask con request.form

Conectar Flask a SQLite con SQLAlchemy

Guardar notas en base de datos con Flask

Edición de Contenidos en Bases de Datos con Formularios

Eliminar notas con Flask y SQLAlchemy

Organización del Proyecto y Mejoras

Refactorización y Organización de Proyectos en Flask

Refactorización de Rutas y Blueprints en Flask

Flash messages en Flask con sesiones

Plantillas Jinja en Flask: Reutilización de Código HTML

Seguridad y Testing

Sesiones en Flask con blueprints y cookies

Implementación de Login y Logout con Validación de Sesiones

Validación de formularios en Flask con mensajes de error

Pruebas Unitarias en Flask: Creación y Configuración

Desarrollo de Microservicios con Flask

Resumen