zoukankan      html  css  js  c++  java
  • Django:认证系统

    一,cookie和session

    cookie不属于http协议范围,由于http协议无法保持状态,但实际情况,我们却又需要“保持状态”,因此cookie就是在这样一个场景下诞生。

    cookie的工作原理是:由服务器产生内容,浏览器收到请求后保存在本地;当浏览器再次访问时,浏览器会自动带上cookie,这样服务器就能通过cookie的内容来判断这个是“谁”了。

    cookie虽然在一定程度上解决了“保持状态”的需求,但是由于cookie本身最大支持4096字节,以及cookie本身保存在客户端,可能被拦截或窃取,因此就需要有一种新的东西,它能支持更多的字节,并且他保存在服务器,有较高的安全性。这就是session。

    问题来了,基于http协议的无状态特征,服务器根本就不知道访问者是“谁”。那么上述的cookie就起到桥接的作用。

    我们可以给每个客户端的cookie分配一个唯一的id,这样用户在访问时,通过cookie,服务器就知道来的人是“谁”。然后我们再根据不同的cookie的id,在服务器上保存一段时间的私密资料,如“账号密码”等等。

    总结而言:cookie弥补了http无状态的不足,让服务器知道来的人是“谁”;但是cookie以文本的形式保存在本地,自身安全性较差;所以我们就通过cookie识别不同的用户,对应的在session里保存私密的信息以及超过4096字节的文本。

    另外,上述所说的cookie和session其实是共通性的东西,不限于语言和框架

    二,Django实现的cookie

    1,获取cookie

    request.COOKIES['key']
    request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None)
        #参数:
            default: 默认值
               salt: 加密盐
            max_age: 后台控制过期时间

    2,设置cookie

    rep = HttpResponse(...) 或 rep = render(request, ...) 或 rep = redirect()
     
    rep.set_cookie(key,value,...)
    rep.set_signed_cookie(key,value,salt='加密盐',...) 
       '''
    
    def set_cookie(self, key,                 键
                 value='',            值
                 max_age=None,        超长时间
                 expires=None,        超长时间
                 path='/',           Cookie生效的路径,
                                             浏览器只会把cookie回传给带有该路径的页面,这样可以避免将
                                             cookie传给站点中的其他的应用。
                                             / 表示根路径,特殊的:根路径的cookie可以被任何url的页面访问
                 
                         domain=None,         Cookie生效的域名
                                            
                                              你可用这个参数来构造一个跨站cookie。
                                              如, domain=".example.com"
                                              所构造的cookie对下面这些站点都是可读的:
                                              www.example.com 、 www2.example.com 
                             和an.other.sub.domain.example.com 。
                                              如果该参数设置为 None ,cookie只能由设置它的站点读取。
    
                 secure=False,        如果设置为 True ,浏览器将通过HTTPS来回传cookie。
                 httponly=False       只能http协议传输,无法被JavaScript获取
                                             (不是绝对,底层抓包可以获取到也可以被覆盖)
              ): pass
    
    '''
    参数
    <script src='/static/js/jquery.cookie.js'>
     
    </script> $.cookie("key", value,{ path: '/' });

    三,Django实现的session

    1,基本操作

    1、设置Sessions值
              request.session['session_name'] ="admin"
    2、获取Sessions值
              session_name = request.session["session_name"]
    3、删除Sessions值
              del request.session["session_name"]
    4、检测是否操作session值
              if "session_name" is request.session :

    四,用户认证

    1,auth模块

    from django.contrib import auth

    (1)authenticate()

    提供了用户认证,即验证用户名以及密码是否正确,一般需要username  password两个关键字参数

    user = authenticate(username='someone',password='somepassword')

    (2)login(HttpRequest,user)

    该函数接受一个HttpRequest对象,以及一个认证了的User对象

    此函数使用django的session框架给某个已认证的用户附加上session id等信息。

    from django.contrib.auth import authenticate, login
       
    def my_view(request):
      username = request.POST['username']
      password = request.POST['password']
      user = authenticate(username=username, password=password)
      if user is not None:
        login(request, user)
        # Redirect to a success page.
        ...
      else:
        # Return an 'invalid login' error message.
        ...

    (3)logout(request)注销用户

    from django.contrib.auth import logout
       
    def logout_view(request):
      logout(request)
      # Redirect to a success page.

    (4)user对象的is_authenticated()

    要求:

    1  用户登陆后才能访问某些页面,

    2  如果用户没有登录就访问该页面的话直接跳到登录页面

    3  用户在跳转的登陆界面中完成登陆后,自动访问跳转到之前访问的地址

    方法1:

    def my_view(request):
      if not request.user.is_authenticated():
        return redirect('%s?next=%s' % (settings.LOGIN_URL, request.path))

    方法2:

    django已经为我们设计好了一个用于此种情况的装饰器:login_requierd()

    from django.contrib.auth.decorators import login_required
          
    @login_required
    def my_view(request):
      ...

    二,user对象

    (1)is_authenticated()

    如果是真正的 User 对象,返回值恒为 True 。 用于检查用户是否已经通过了认证。
    通过认证并不意味着用户拥有任何权限,甚至也不检查该用户是否处于激活状态,这只是表明用户成功的通过了认证。 这个方法很重要, 在后台用request.user.is_authenticated()判断用户是否已经登录,如果true则可以向前台展示request.user.name

    (2)创建用户

    使用 create_user 辅助函数创建用户:

    from django.contrib.auth.models import User
    user = User.objects.create_user(username='',password='',email=''

    (3)check_password(passwd)

    用户需要修改密码的时候 首先要让他输入原来的密码 ,如果给定的字符串通过了密码检查,返回 True

    (4)修改密码

    #使用 set_password() 来修改密码
    user = User.objects.get(username='')
    user.set_password(password='')
    user.save

    由于cookie保存在客户端的电脑上,所以,JavaScript和jquery也可以操作cookie。

    1
    2
    3
    <script src='/static/js/jquery.cookie.js'>
     
    </script> $.cookie("key", value,{ path: '/' });
  • 相关阅读:
    HDU 5835 Danganronpa 贪心
    HDU 5842 Lweb and String 水题
    HDU 5832 A water problem 水题
    Codeforces Beta Round #14 (Div. 2) A. Letter 水题
    Western Subregional of NEERC, Minsk, Wednesday, November 4, 2015 Problem K. UTF-8 Decoder 模拟题
    Western Subregional of NEERC, Minsk, Wednesday, November 4, 2015 Problem I. Alien Rectangles 数学
    Western Subregional of NEERC, Minsk, Wednesday, November 4, 2015 Problem H. Parallel Worlds 计算几何
    Western Subregional of NEERC, Minsk, Wednesday, November 4, 2015 Problem F. Turning Grille 暴力
    Western Subregional of NEERC, Minsk, Wednesday, November 4, 2015 Problem C. Cargo Transportation 暴力
    Western Subregional of NEERC, Minsk, Wednesday, November 4, 2015 Problem G. k-palindrome dp
  • 原文地址:https://www.cnblogs.com/kakawith/p/8817907.html
Copyright © 2011-2022 走看看