Update app.py

app.py

@@ -1,6 +1,6 @@
 import os
 import json
-from flask import Flask, request, g, Response, render_template, redirect, url_for, flash # Thêm render_template, redirect, url_for, flash
+from flask import Flask, request, g, Response, render_template, redirect, url_for, flash, session # Thêm 'session'
 import psycopg2
 from dotenv import load_dotenv
 from werkzeug.security import generate_password_hash, check_password_hash
@@ -21,8 +21,8 @@ DB_PORT = os.getenv('DB_PORT')
 # Biến môi trường cho mật khẩu trang
 PAGE_PASSWORD = os.getenv('PAGE_PASSWORD')
 
-# Cấu hình secret key cho Flask (cần thiết cho flash messages và session)
-# Trong môi trường production, hãy tạo một chuỗi ngẫu nhiên mạnh và lưu vào biến môi trường
+# Cấu hình secret key cho Flask (CẦN THIẾT cho flash messages và session)
+# Trong môi trường production, hãy tạo một chuỗi ngẫu nhiên mạnh và lưu vào biến môi trường FLASK_SECRET_KEY
 app.config['SECRET_KEY'] = os.getenv('FLASK_SECRET_KEY', 'mot_chuoi_bi_mat_rat_ngau_nhien_va_dai')
 
 if not PAGE_PASSWORD:
@@ -52,7 +52,7 @@ def close_db_connection(exception):
         db.close()
         print("Đã đóng kết nối Supabase PostgreSQL.")
 
-# --- Hàm tiện ích để trả về JSON với tiếng Việt (vẫn giữ cho các API nếu cần) ---
+# --- Hàm tiện ích để trả về JSON với tiếng Việt (giữ cho các API nếu cần) ---
 def custom_jsonify(data, status_code=200):
     response = Response(
         response=json.dumps(data, ensure_ascii=False),
@@ -65,25 +65,58 @@ def custom_jsonify(data, status_code=200):
 def require_page_password(f):
     @wraps(f)
     def decorated_function(*args, **kwargs):
-        # Kiểm tra mật khẩu trang từ form (POST) hoặc query string (GET)
-        provided_password = request.form.get('page_password') or request.args.get('page_password')
+        # Kiểm tra session trước
+        if session.get('page_logged_in'):
+            return f(*args, **kwargs)
 
-        # Nếu là POST request, và không có mật khẩu trong form, có thể kiểm tra header nếu muốn hỗ trợ API
+        # Nếu chưa đăng nhập qua session, kiểm tra mật khẩu từ form/query/header
+        provided_password = request.form.get('page_password') or request.args.get('page_password')
         if request.method == 'POST' and not provided_password:
              provided_password = request.headers.get('X-Page-Password')
 
         if not PAGE_PASSWORD:
             flash("Lỗi cấu hình server: Mật khẩu trang chưa được thiết lập.", "error")
-            return redirect(url_for('home')) # Chuyển hướng về trang chủ hoặc trang lỗi
+            return redirect(url_for('home'))
 
         if provided_password == PAGE_PASSWORD:
-            return f(*args, **kwargs)
+            session['page_logged_in'] = True # Đặt session là đã đăng nhập
+            # Để tránh lỗi chuyển hướng lại chính trang đó với POST,
+            # hãy chuyển hướng đến chính URL hiện tại nhưng là GET request
+            return redirect(request.url)
         else:
             flash("Truy cập bị từ chối: Mật khẩu trang không hợp lệ.", "error")
-            # Nếu request.referrer có, chuyển hướng về trang trước, không thì về home
-            return redirect(request.referrer or url_for('home'))
+            return render_template('page_password_form.html', next_url=request.url) # Hiển thị form mật khẩu riêng
     return decorated_function
 
+# --- Tuyến đường mới để hiển thị form mật khẩu trang và xử lý đăng nhập ---
+@app.route('/page_password', methods=['GET', 'POST'])
+def page_password_form():
+    next_url = request.args.get('next') or url_for('home') # Lấy URL gốc muốn truy cập sau khi nhập mật khẩu
+
+    if request.method == 'POST':
+        provided_password = request.form.get('page_password_input') # Lấy từ form riêng này
+
+        if not PAGE_PASSWORD:
+            flash("Lỗi cấu hình server: Mật khẩu trang chưa được thiết lập.", "error")
+            return redirect(url_for('home'))
+
+        if provided_password == PAGE_PASSWORD:
+            session['page_logged_in'] = True
+            flash("Mật khẩu trang đã được xác thực thành công!", "success")
+            return redirect(next_url)
+        else:
+            flash("Mật khẩu trang không hợp lệ. Vui lòng thử lại.", "error")
+            return render_template('page_password_form.html', next_url=next_url)
+
+    # Nếu là GET request, hiển thị form mật khẩu
+    return render_template('page_password_form.html', next_url=next_url)
+
+@app.route('/page_logout')
+def page_logout():
+    session.pop('page_logged_in', None)
+    flash("Bạn đã đăng xuất khỏi phiên mật khẩu trang.", "info")
+    return redirect(url_for('home'))
+
 # --- Các tuyến đường (Routes) của ứng dụng ---
 
 @app.route('/')
@@ -91,43 +124,51 @@ def home():
     """Trang chủ của ứng dụng."""
     return render_template('index.html')
 
-@app.route('/test_db', methods=['GET', 'POST'])
-@require_page_password
+# Áp dụng decorator cho các trang cần bảo vệ
+@app.route('/test_db', methods=['GET']) # Đổi thành GET
+@require_page_password # Áp dụng bảo vệ
 def test_db():
     """Kiểm tra kết nối đến cơ sở dữ liệu và hiển thị kết quả."""
-    if request.method == 'POST':
-        conn = get_db_connection()
-        if conn is None:
-            flash("Không thể kết nối đến cơ sở dữ liệu.", "error")
-            return render_template('test_db.html', db_version="Lỗi kết nối", status="error")
-
+    conn = get_db_connection()
+    db_version_info = "Chưa kiểm tra"
+    status_info = "none"
+    if conn is None:
+        flash("Không thể kết nối đến cơ sở dữ liệu.", "error")
+        db_version_info = "Lỗi kết nối"
+        status_info = "error"
+    else:
         try:
             cur = conn.cursor()
             cur.execute("SELECT version();")
             db_version = cur.fetchone()[0]
             cur.close()
             flash("Kết nối cơ sở dữ liệu thành công!", "success")
-            return render_template('test_db.html', db_version=db_version, status="success")
+            db_version_info = db_version
+            status_info = "success"
         except Exception as e:
             flash(f"Lỗi truy vấn cơ sở dữ liệu: {e}", "error")
-            return render_template('test_db.html', db_version="Lỗi truy vấn", status="error")
-    return render_template('test_db.html', db_version="Chưa kiểm tra", status="none")
+            db_version_info = "Lỗi truy vấn"
+            status_info = "error"
+    return render_template('test_db.html', db_version=db_version_info, status=status_info)
+
 
-@app.route('/create_table', methods=['GET', 'POST'])
-@require_page_password
+@app.route('/create_table', methods=['GET']) # Đổi thành GET
+@require_page_password # Áp dụng bảo vệ
 def create_table():
     """Tạo bảng 'users' nếu chưa tồn tại và hiển thị kết quả."""
-    if request.method == 'POST':
-        conn = get_db_connection()
-        if conn is None:
-            flash("Không thể kết nối đến cơ sở dữ liệu.", "error")
-            return render_template('create_table.html', message="Lỗi kết nối", status="error")
-
+    conn = get_db_connection()
+    message_info = "Chưa tạo"
+    status_info = "none"
+    if conn is None:
+        flash("Không thể kết nối đến cơ sở dữ liệu.", "error")
+        message_info = "Lỗi kết nối"
+        status_info = "error"
+    else:
         try:
             cur = conn.cursor()
             cur.execute("""
                 CREATE TABLE IF NOT EXISTS users (
-                    id SERIAL PRIMARY KEY,
+                    id SERIAL PRIMARY음을 PRIMARY KEY,
                     name VARCHAR(100) NOT NULL,
                     email VARCHAR(100) UNIQUE NOT NULL,
                     password VARCHAR(255) NOT NULL
@@ -136,15 +177,18 @@ def create_table():
             conn.commit()
             cur.close()
             flash("Bảng 'users' đã được tạo (nếu chưa tồn tại) với cột mật khẩu.", "success")
-            return render_template('create_table.html', message="Tạo bảng thành công", status="success")
+            message_info = "Tạo bảng thành công"
+            status_info = "success"
         except Exception as e:
             conn.rollback()
             flash(f"Lỗi khi tạo bảng: {e}", "error")
-            return render_template('create_table.html', message="Lỗi tạo bảng", status="error")
-    return render_template('create_table.html', message="Nhấn để tạo bảng", status="none")
+            message_info = "Lỗi tạo bảng"
+            status_info = "error"
+    return render_template('create_table.html', message=message_info, status=status_info)
+
 
 @app.route('/add_user', methods=['GET', 'POST'])
-@require_page_password
+@require_page_password # Áp dụng bảo vệ
 def add_user():
     """Thêm người dùng mới vào cơ sở dữ liệu với mật khẩu đã băm."""
     if request.method == 'POST':
@@ -184,9 +228,9 @@ def add_user():
             return render_template('add_user.html')
     return render_template('add_user.html')
 
-@app.route('/users', methods=['GET', 'POST']) # Thêm POST để xử lý form mật khẩu
-@require_page_password
-def get_users():
+@app.route('/get_users', methods=['GET']) # Đổi thành GET
+@require_page_password # Áp dụng bảo vệ
+def get_users(): # Đổi tên hàm thành get_users cho rõ ràng
     """Lấy danh sách tất cả người dùng từ cơ sở dữ liệu."""
     conn = get_db_connection()
     users_list = []