Django 用户认证系统使用总结
Django用户认证系统使用总结
测试环境
Win7
Django 1.11
使用Django认证系统
本文按默认配置讲解Django认证系统的用法。如果默认的认证无法满足项目,Django提供了对认证系统的扩展与定制。
Django身份验证同时提供身份验证和授权,通常称为身份验证系统,因为这些特性有些耦合。
用户对象
默认user对象主要属性:
- username
- password
- first_name
- last_name
创建用户对象
>>>fromdjango.contrib.auth.modelsimportUser>>>user=User.objects.create_user('john', 'lennon@thebeatles.com', 'johnpassword')#如上,此时用户对象已经被保存到数据库了,可以对它的属性进行修改>>>user.last_name='Lennon'>>>user.save()如果已经安装了Django admin应用,可以直接创建用户
创建超级用户
使用createsuperuser 命令:
$ python manage.py createsuperuser --username=joe --email=joe@example.com
回车后,会提示输入密码,输入密码后回车,立即创建用户。如果命令行省略了--username 或--email 选项,则回车后还会提示输入这些选项的值。
修改密码
Django采用hash算法存储用户密码(参考documentation of how passwords are managed)
通过命令行修改用户密码:
manage.py changepassword user_name
如果不提供user_name,则默认修改当前系统用户的密码.
通过api修改用户密码
>>>fromdjango.contrib.auth.modelsimportUser>>>u=User.objects.get(username='john')>>>u.set_password('new password')
>>>u.save()注:这里new password为明文
如果已经安装了Django admin应用,也可以在认证系统管理页面修改用户密码
修改密码,将注销对应用户的所有会话。
用户认证
authenticate(request=None, **credentials)
使用authenticate()来确认一系列认证。函数携带了credentials关键词参数,默认情况为username和password。如果认证通过,则返回对应的User对象,否则返回None:
fromdjango.contrib.authimportauthenticate
user=authenticate(username='john', password='secret')
ifuserisnotNone:
# A backend authenticated the credentials
else:# No backend authenticated the credentials除username,password参数之外,我们还可以添加其它条件:
例子,验证用户账号密码是否正确,同时要求被验证用户未被删除(is_delete=1),也就是说,验证用户账号密码前获取的用户数据时,自动已经被删除的用户
user=authenticate(username='john', password='secret',is_delete=1)
当然,除了是否删除,是否禁用等字段,其它字段一般不推荐这么做,可以在验证用户账号密码前进行其它前置条件的验证
注意:默认的,django会优先验证我们显示提供的参数,最后再验证is_active是否未1,如果为1,则返回None
权限和认证(Permissions and Authorization)
略
Web请求中的认证
Django为每个请求提供了 request.user属性,该属性代表当前用户。如果当前用户未登录,则该属性值将被设置为一个匿名用户AnonymousUser,否则将设置为User的一个实例。
ifrequest.user.is_authenticated:# 已登录# Do something for authenticated users....else:# 未登录# Do something for anonymous users....登录
login(request, user, backend=None)[source]
login函数会保存用户id到session.
注意:用户登录后,会话中依旧保留登录前的的任何匿名会话数据。
fromdjango.contrib.authimportauthenticate, logindefmy_view(request):username=request.POST['username']password=request.POST['password']# 验证用户名和密码,返回用户对象user=authenticate(request, username=username, password=password)ifuserisnotNone:login(request, user)# do something 比如重定向到一个成功页面....else:# do something,比如返回一个登录错误消息...选择认证后端(backend)
略.
退出
logout(request)
例子:
fromdjango.contrib.authimportlogoutdeflogout_view(request):logout(request)# do something 比如重定向到一个成功页面.注意:如果用户未登录,执行logout函数并不会抛出任何异常。
调用logout函数,会清空当前请求的所有会话数据,移除所有已存在数据。
对登录用户的访问限制
原始方式
简单,原始的方式就是检查request.user.is_authenticated判断是否认证:
fromdjango.confimportsettingsfromdjango.shortcutsimportredirectdefmy_view(request):ifnotrequest.user.is_authenticated:returnredirect('%s?next=%s'% (settings.LOGIN_URL, request.path))# ...或者:
fromdjango.shortcutsimportrenderdefmy_view(request):ifnotrequest.user.is_authenticated:returnrender(request, 'myapp/login_error.html')# ...login_required装饰器
login_required(redirect_field_name='next', login_url=None)
作为快捷方式,可以使用login_required():
fromdjango.contrib.auth.decoratorsimportlogin_required@login_requireddefmy_view(request):...login_required() 做以下事情:
- 如果用户未登录,重定向到settings.LOGIN_URL变量指定的url,并把当前请求的绝对URL赋值给查询字符串。例: /accounts/login/?next=/polls/3/.
- 如果用户已登录,正常执行视图。
默认的,查询字符串参数名称为“next”,如果想用其它名称,需要使用loging_required的可选参数redirect_field_name,举例如下
fromdjango.contrib.auth.decoratorsimportlogin_required@login_required(redirect_field_name='my_redirect_field')defmy_view(request):...对应的,html模板中也要使用对应参数名称。
login_required()还携带了可选参数 login_url。例:
fromdjango.contrib.auth.decoratorsimportlogin_required@login_required(login_url='/accounts/login/')defmy_view(request):...注意,如果不指定login_url参数,则需要配置settings.LOGIN_URL.
更多详情,参考官方文档。
一些常见的装饰器
@require_POST # 设置视图的http访问方法必须为POST
@require_GET # 设置视图的http访问方法必须为GET
例子:设置视图的访问方法必须为POST
from django.views.decorators.http import require_POST,require_GET
@require_POST def test_page(request): return render(request, 'website/pages/mytest.html',{})
访问效果
The LoginRequired mixin
略
Limiting access to logged-in users that pass a test
略
The permission_required decorator
The PermissionRequiredMixin mixin
略
Redirecting unauthorized requests in class-based views
略
Session invalidation on password change
略
Authentication Views
略
Using the views
略
All authentication views
略
Helper functions
略
Built-in forms
略
模板中的认证数据
当使用RequestContext,并且开启了'django.contrib.auth.context_processors.auth'上下文处理器时(可在settings.py中配置),当前已登录用户和他们的权限都被存储为变量,存放在模板上下文中。
Users
例子:
{%ifuser.is_authenticated%}<p>Welcome, {{user.username}}. Thanks for logging in.</p>{%else%}<p>Welcome, new user. Please log in.</p>{%endif%}如果未使用RequestContext,则模板变量不可获取,比如上述的 {{ user }}
Permissions
略
Managing users in the admin
略
参考链接