一、Auth模块是什么
Auth模块是Django自带的用户认证模块:
我们在开发一个网站的时候,无可避免的需要设计实现网站的用户系统。此时我们需要实现包括用户注册、用户登录、用户认证、注销、修改密码等功能,这还真是个麻烦的事情呢。
Django作为一个完美主义者的终极框架,当然也会想到用户的这些痛点。它内置了强大的用户认证系统--auth,它默认使用 auth_user 表来存储用户数据。
二、auth模块常用方法
# 使用前先导入 from django.contrib import auth
authenticate()
提供了用户认证功能,即验证用户名以及密码是否正确,一般需要username 、password两个关键字参数。
如果认证成功(用户名和密码正确有效),便会返回一个 User 对象。
authenticate()会在该 User 对象上设置一个属性来标识后端已经认证了该用户,且该信息在后续的登录过程中是需要的。
用法:
user = authenticate(username='usernamer',password='password')
login(HttpRequest, user)
该函数接受一个HttpRequest对象,以及一个经过认证的User对象。
该函数实现一个用户登录的功能。它本质上会在后端为该用户生成相关session数据。
用法:
from django.contrib import auth def login(request): if request.method == 'GET': return render(request, 'login.html') else: username = request.POST.get('username') password = request.POST.get('password') # 验证当前用户是否存在 user = auth.authenticate(request, username=username, password=password) if user: print(request.user) print('将用户登录状态保存在session中') auth.login(request, user) return redirect('/index.html') else: return render(request, 'login.html')
logout(request)
该函数接受一个HttpRequest对象,无返回值。
当调用该函数时,当前请求的session信息会全部清除(服务器和浏览器两端都会清除, 相当于使用了flush方法清除session)。该用户即使没有登录,使用该函数也不会报错。
用法:
from django.contrib import auth def logout(request): auth.logout(request) return redirect('/login/')
is_authenticated()
用来判断当前请求对象的user是否通过了认证。返回值是一个布尔值类型 实际上就是判断当前用户的session状态 是基于session存在的
例子:可以通过此方法来构造一个中间件验证用户是否已登录
用法:
from django.utils.deprecation import MiddlewareMixin class CheckLoginMiddleWare(MiddlewareMixin): def process_request(self,request): # 当请求地址不是登录页面时 判断当前用户是够验证通过,不通过则重定向到登录页面 if request.META.get('PATH_INFO') != '/login/': if not request.user.is_authenticated(): return redirect('/login/') # 如果请求路径是登录页面,判断用户是够已经验证,验证通过则重定向到主页面 else: if request.user.is_authenticated(): return redirect('/index.html')
login_requierd()
auth 给我们提供的一个装饰器工具,用来快捷的给某个视图函数添加登录校验。
用法:
from django.contrib.auth.decorators import login_required @login_required(login_url='/login/') def my_view(request): ... # login_url可以指定可以不指定,指定的时候,会按照指定的登录路由跳转页面进行登录 # 不指定的时候到默认的路由
create_user()
auth 提供的一个创建新用户的方法,需要提供必要参数(username、password)等。
用法:
from django.contrib.auth.models import User user = User.objects.create_user(username='用户名',password='密码',email='邮箱',...)
create_superuser()
auth 提供的一个创建新的超级用户的方法,需要提供必要参数(username、password)等。
超级用户和普通用户的区别:
超级用户的is_superuser属性值为True, 拥有管理网站的超级权限, 一般一个网站只设置一个超级用户
只有超级用户才可以登录网站后台管理页面, 即admin页面
用法:
from django.contrib.auth.models import User user = User.objects.create_superuser(username='用户名',password='密码',email='邮箱',...)
check_password(password)
auth 提供的一个检查密码是否正确的方法,需要提供当前请求用户的密码。
密码正确返回True,否则返回False。
用法:
request.user.check_password('密码')
set_password(password)
auth 提供的一个修改密码的方法,接收 要设置的新密码 作为参数。
注意:设置完一定要调用用户对象的save方法!!!
用法:
request.user.set_password(password='') request.user.save()
修改密码代码:
from django.shortcuts import render, HttpResponse, redirect def modify_password(request): if request.method == 'GET': return render(request, 'modify_password.html') else: old_pwd = request.POST.get('old_password') if request.user.check_password(old_pwd): new_pwd = request.POST.get('new_password') new_pwd_again = request.POST.get('new_password_again') if new_pwd == new_pwd_again: request.user.set_password(new_pwd) request.user.save() return HttpResponse('密码修改成功') return render(request, 'modify_password.html',{'error':'两次密码不一致'}) else: return render(request, 'modify_password.html',{'error':'原密码错误'})
User对象的属性
User对象属性:username, password
is_staff : 用户是否拥有网站的管理权限.
is_active : 是否允许用户登录, 设置为 False,可以在不删除用户的前提下禁止用户登录。
三、 扩展默认的auth_user表
我们可以通过继承内置的 AbstractUser 类,来定义一个自己的Model类。
这样既能根据项目需求灵活的设计用户表,又能使用Django强大的认证系统了。
from django.contrib.auth.models import AbstractUser class UserInfo(AbstractUser): """ 用户信息表 """ nid = models.AutoField(primary_key=True) phone = models.CharField(max_length=11, null=True, unique=True) def __str__(self): return self.username
注意:
按上面的方式扩展了内置的auth_user表之后,一定要在settings.py中告诉Django,我现在使用我新定义的UserInfo表来做用户认证, 不然拓展的就没有意义了.
写法如下:
# 引用Django自带的User表,继承使用时需要设置 AUTH_USER_MODEL = "app名.UserInfo"
再次注意:
一旦我们指定了新的认证系统所使用的表,我们就需要重新在数据库中创建该表(makemigrations) ,而不能继续使用原来默认的auth_user表了。