Flask 项目可以使用 Flask-Login 插件来实现登录功能，这是一个被广泛使用的优质第三方库。

登录功能设计用户表，我们要使用 Flask-Login 就需要让 User 映射类继承 UserMixin 类。修改 models.py 如下：

继承 UserMixin 是干嘛呢？我们看下源码，这个类定义在 flask_login.mixins 模块中： 如上图所示的内容就是 UserMixin 的核心代码。使用 property 装饰器定义了几个属性： property的作用主要是把方法的调用变成给属性直接赋值（s.set_score(9999)啊,直接写s.score = 9999）

所以继承了 UserMixin 类后的 User 映射类就多了这几个属性和方法。

在 flask_login.utils 模块中定义了 login_user 函数： 它提供了一些参数：

第 169 行代码，current_app 就是应用对象，它的 login_manager 属性在前面的步骤中已经分析过，就是登录管理对象，LoginManager 类的实例。这个实例的 id_attribute 属性值是变量 ID_ATTRIBUTE ，这个变量来自配置文件 flask_login.config 模块： 如上图所示，此变量的值就是字符串 'get_id' ，回到第 169 行代码，内置方法 getattr 获取的就是登录管理对象的 get_id 方法，后面又加了一组括号，也就是调用这个方法。我们在前面的步骤中已经分析了 get_id 方法的返回值，它是 user 对象的 id 属性值的字符串，如果用户的 id 是 306 ，那么 get_id 方法的返回值就是 ‘306’ 。最后将这个字符串赋值给变量 user_id 。

紧接着，第 170 行将这个字符串又赋值给 session 的 _user_id 属性。

这里要提到 session 了。在课程的第一阶段最后一个实验「Flask 框架的栈与上下文对象」中，我们提到过 session 是一个请求上下文代理对象，它其实是 LocalProxy 类的实例。我们完全可以把它看作是请求上下文对象的 session 属性值，也就是定义在 flask.sessions 模块中的 SecureCookieSession 类的实例。

首先我们看下定义请求上下文对象的 session 属性的代码，它们在 flask.ctx 模块中 RequestContext 类的 push 方法中： 如上图所示，self 就是请求上下文对象，当某个浏览器第一次向服务器发送请求，初始化请求上下文时，self.session 通常是 None。进到第 389 行，self.app 是应用对象，其 session_interface 属性值就是定义在 flask.sessions 模块中的 SecureCookieSessionInterface 类的实例。390 行调用其 open_session 方法，参数是应用对象和请求对象： 如上图所示 340 行的 s 是一个令牌生成器，用于根据字典对象生成令牌和根据令牌获取对应的字典对象。

第 343 行的 request.cookies 属性是字典对象，app.session_cookie_name 是固定值 'session' ，所以 val 的值就是字典中 key 为 'session' 对应的 value ，也就是令牌。令牌也叫做加密签名，它是一个不定长的字符串。