Django用户认证系统使用总结

Django用户认证系统使用总结

 

测试环境

Win7

Django 1.11

 

 

 

 

使用Django认证系统

本文按默认配置讲解Django认证系统的用法。如果默认的认证无法满足项目，Django提供了对认证系统的扩展与定制。

Django身份验证同时提供身份验证和授权，通常称为身份验证系统，因为这些特性有些耦合。

 

用户对象

默认user对象主要属性：

• username
• password
• email
• first_name
• last_name

 

创建用户对象

>>>fromdjango.contrib.auth.modelsimportUser

>>>user=User.objects.create_user('john', 'lennon@thebeatles.com', 'johnpassword')

 

#如上，此时用户对象已经被保存到数据库了，可以对它的属性进行修改

>>>user.last_name='Lennon'

>>>user.save()

如果已经安装了Django admin应用，可以直接创建用户

创建超级用户

使用createsuperuser 命令:

$ python manage.py createsuperuser --username=joe --email=joe@example.com

回车后，会提示输入密码，输入密码后回车，立即创建用户。如果命令行省略了--username 或--email 选项，则回车后还会提示输入这些选项的值。

 

修改密码

Django采用hash算法存储用户密码（参考documentation of how passwords are managed）

通过命令行修改用户密码:

manage.py changepassword user_name

如果不提供user_name，则默认修改当前系统用户的密码.

 

通过api修改用户密码

>>>fromdjango.contrib.auth.modelsimportUser

>>>u=User.objects.get(username='john')

>>>u.set_password('new password')

>>>u.save()

注：这里new password为明文

如果已经安装了Django admin应用，也可以在认证系统管理页面修改用户密码

修改密码，将注销对应用户的所有会话。

 

用户认证

authenticate(request=None, **credentials)

使用authenticate()来确认一系列认证。函数携带了credentials关键词参数，默认情况为username和password。如果认证通过，则返回对应的User对象，否则返回None:

fromdjango.contrib.authimportauthenticate

 

user=authenticate(username='john', password='secret')

ifuserisnotNone:

# A backend authenticated the credentials

else:

# No backend authenticated the credentials

 

 

除username，password参数之外，我们还可以添加其它条件:

例子，验证用户账号密码是否正确，同时要求被验证用户未被删除（is_delete=1），也就是说，验证用户账号密码前获取的用户数据时，自动已经被删除的用户

user=authenticate(username='john', password='secret',is_delete=1)

 

当然，除了是否删除，是否禁用等字段，其它字段一般不推荐这么做，可以在验证用户账号密码前进行其它前置条件的验证

 

注意：默认的,django会优先验证我们显示提供的参数，最后再验证is_active是否未1，如果为1，则返回None

 

权限和认证（Permissions and Authorization）

略

Web请求中的认证

Django为每个请求提供了 request.user属性，该属性代表当前用户。如果当前用户未登录，则该属性值将被设置为一个匿名用户AnonymousUser,否则将设置为User的一个实例。

ifrequest.user.is_authenticated:# 已登录

# Do something for authenticated users.

...

else:# 未登录

# Do something for anonymous users.

...

 

登录

login(request, user, backend=None)[source]

login函数会保存用户id到session.

注意：用户登录后，会话中依旧保留登录前的的任何匿名会话数据。

fromdjango.contrib.authimportauthenticate, login

defmy_view(request):

username=request.POST['username']

password=request.POST['password']

 

# 验证用户名和密码，返回用户对象

user=authenticate(request, username=username, password=password)

ifuserisnotNone:

login(request, user)

# do something 比如重定向到一个成功页面.

...

else:

# do something，比如返回一个登录错误消息

...

 

选择认证后端(backend)

略.

 

退出

logout(request)

 

例子：

fromdjango.contrib.authimportlogout

 

deflogout_view(request):

logout(request)

# do something 比如重定向到一个成功页面.

注意：如果用户未登录，执行logout函数并不会抛出任何异常。

调用logout函数，会清空当前请求的所有会话数据，移除所有已存在数据。

 

对登录用户的访问限制

原始方式

简单，原始的方式就是检查request.user.is_authenticated判断是否认证:

fromdjango.confimportsettings

fromdjango.shortcutsimportredirect

 

defmy_view(request):

ifnotrequest.user.is_authenticated:

returnredirect('%s?next=%s'% (settings.LOGIN_URL, request.path))

# ...

或者:

fromdjango.shortcutsimportrender

 

defmy_view(request):

ifnotrequest.user.is_authenticated:

returnrender(request, 'myapp/login_error.html')

# ...

 

login_required装饰器

login_required(redirect_field_name='next', login_url=None)

作为快捷方式，可以使用login_required():

fromdjango.contrib.auth.decoratorsimportlogin_required

 

@login_required

defmy_view(request):

...

login_required() 做以下事情：

• 如果用户未登录，重定向到settings.LOGIN_URL变量指定的url，并把当前请求的绝对URL赋值给查询字符串。例: /accounts/login/?next=/polls/3/.
• 如果用户已登录，正常执行视图。

默认的，查询字符串参数名称为“next”，如果想用其它名称，需要使用loging_required的可选参数redirect_field_name，举例如下

fromdjango.contrib.auth.decoratorsimportlogin_required

 

@login_required(redirect_field_name='my_redirect_field')

defmy_view(request):

...

对应的，html模板中也要使用对应参数名称。

 

login_required()还携带了可选参数 login_url。例:

fromdjango.contrib.auth.decoratorsimportlogin_required

 

@login_required(login_url='/accounts/login/')

defmy_view(request):

...

注意，如果不指定login_url参数，则需要配置settings.LOGIN_URL.

更多详情，参考官方文档。

 

一些常见的装饰器

@require_POST # 设置视图的http访问方法必须为POST

@require_GET  # 设置视图的http访问方法必须为GET

 

例子：设置视图的访问方法必须为POST

from django.views.decorators.http import require_POST,require_GET

 

@require_POST

def test_page(request):

return render(request, 'website/pages/mytest.html',{})

 

访问效果

 

 

 

The LoginRequired mixin

略

 

Limiting access to logged-in users that pass a test

略

 

The permission_required decorator

 

The PermissionRequiredMixin mixin

略

 

Redirecting unauthorized requests in class-based views

略

Session invalidation on password change

略

Authentication Views

略

Using the views

略

All authentication views

略

Helper functions

略

Built-in forms

略

 

模板中的认证数据

当使用RequestContext，并且开启了'django.contrib.auth.context_processors.auth'上下文处理器时（可在settings.py中配置），当前已登录用户和他们的权限都被存储为变量，存放在模板上下文中。

Users

例子：

{%ifuser.is_authenticated%}

<p>Welcome, {{user.username}}. Thanks for logging in.</p>{%else%}

<p>Welcome, new user. Please log in.</p>{%endif%}

如果未使用RequestContext，则模板变量不可获取，比如上述的 {{ user }}

 

Permissions

略

Managing users in the admin

略

 

 

参考链接

https://docs.djangoproject.com/en/2.1/topics/auth/