Django自带的用户认证
我们在开发一个网站的时候,无可避免的需要设计实现网站的用户系统,此时我们需要实现包括用户注册,用户登录,用户认证,注销,修改密码等功能,这真是一个麻烦的事情。
django作为一个完美主义者的终极框架,当然也会想到用户的这些疼点,因此它内置了强大的用户认证系统--auth,它默认使用auth_user表来存储用户数据。
auth模块
auth本质就是一个django的app,里面也有views,models等。
from django.contrib import auth
auth中提供了很多实用方法:
authenticate()
提供了用户认证功能,即验证用户名以及密码是否正确,一般需要username,password两个关键字参数。
如果认证成功(用户名和密码正确有效),便会返回一个User对象。
authenticate()会在该user对象上设置一个属性来标识后端已经认证了该用户,且该信息在后续的登录过程中是需要的。
用法:
from django.contrib import auth user_obj = auth.authenticate(request, username='china', password='bigcountry') 注:默认是校验auth_user表,而其中的字段名是username,password,如果是自定义的字段,就无需一定用username,password了。
login(HttpRequest, user_obj)
该函数接受一个httpRequest对象,以及一个经过认证的user对象。
该函数实现一个用户登录的功能,它本质上会在后端为该用户生成相关session数据。
from django.contrib.auth import authenticate, login def my_view(request): username = request.POST.get('username') password = request.POST.get('password') user = authenticate(request, username=username, password=passwrod) if user is not None: login(request, user) # 跳转到登录成功后的页面 else: # 返回一个登录失败的信息
logout(request)
该函数接受一个httprequest对象,无返回值
当调用该函数时,当前请求的session信息会全部清除。该用户即使没有登录,使用该函数也不会报错。
用法:
from django.contrib.auth import logout def logout_view(request): logout(request) # 跳转到注销后预设置的页面,如登录页面或首页
is_authenticated()
用来判断当前请求是否通过了认证。
用法:
def my_view(request): if not request.user.is_authenticated(): return redirect("{}?next={}".format(settings.LOGIN_URL, request.path))
login_requierd()
auth给我们提供的一个装饰器工具,用来快捷的给某个视图添加登录校验。
用法:
from django.contrib.auth.decorators import login_required @login_required def home(request): pass
若用户没有登录,则会跳转到django默认的登录URL “/accounts/login/” 并传递当前访问url的绝对路劲(登陆成功后,会重定向到该路径)。
如果需要自定义登录的url,则需要在settings.py文件中通过LOFIN_URL进行修改。!!!
示例:
LOGIN_URL= ‘/login/’ # 这里配置成你项目登录页面的路由
create_user()
auth提供的一个创建新用户的方法,需要提供必要参数(username,password)等。
用法:
from django.contrib.auth.models import User user = User.objects.create_user(username='用户名‘, password='密码', email=‘邮件',...)
create_superuser()
auth提供的一个创建新的超级用户的方法(管理员),需要提供必要参数(username,password, email)等。
from django.contrib.auth.models import User user = User.objects.create_superuser(username='用户名‘, password='密码', email=‘邮件',...)
# 必须提供邮箱,默认是以邮箱当登录名的
check_password(password)
auth提供的一个检查密码是否正确的方法,需要提供当前请求用户的密码。
密码正确返回True,否则返回False。
用法:
flag = user_obj.check_password('密码')
set_password(password)
auth 提供的一个修改密码的方法,接收要设置的新密码作为参数。
注意:设置完一定要调用用户对象的save方法!!!
用法:
user.set_password(password='new_password') user.save()
一个修改密码功能的简单示例
from django.contrib.auth.decorators import login_required @login_required def set_password(request): user = request.user err_msg= '' content = {“err_msg”: err_msg} if request.method == 'POST': old_password = request.POST.get('old_password', '') new_password = request.POST.get('new_password','') repeat_password = request.POST.get('repeat_password') # 检查旧密码是否正确 if user.check_password(old_password): if not new_password: err_msg = '新密码不能为空' elif new_password != repeat_password: err_msg = '修改的密码两次不一致' else: user.set_password(new_password) user.save() return redirect('/login/') else: err_msg = '原密码输入错误' return render(request, 'set_password.html', content)
User对象的属性
User对象属性:username, password
is_staff : 用户是否拥有网站的管理权限
is_active: 是否允许用户登录,设置为False, 可以在不删除用户的前提下禁止用户登录
扩展默认的auth_user表!!!
虽然内置的认证系统很好用,但auth_user表字段都是固定的那几个,我们在项目中没法拿来直接使用,如果想加一个存储用户手机号的字段,how to do?
也许你可能会想到新建另外一张表然后通过一对一和内置的auth_user表关联,这样虽然能满足要求,但还是有点麻烦。
因此django为我们提供了自定义user表的方式,只需继承内置的AbstractUser类,来定义一个自己的Model类。
这样既能根据项目需求灵活的设计用户表,又能使用Django强大的认证系统了。
------app的models.py文件中 from django.contrib.auth.models import AbstractUser class UserInfo(AbstractUser): """ 用户信息表 """ nid = models.AutoField(primary_key=True) phone = models.CharField(max_length=11, null=True, unique=True) def __str__(self): return self.username
注意:
按上面的方式扩展了内置的auth_user表之后,一定要在settings.py中告知django,我们现在使用的是我们新定义的UserInfo表来做用户认证,写法如下:
# 引用Django自带的User表,继承使用时需要设置 AUTH_USER_MODEL = 'app名.UserInfo'
Ps: 一旦我们指定了新的认证系统所使用的表,我们就需要重新在数据库中创建该表,而不能继续使用原来默认的auth_user表了。
1 auth组件 2 3 创建用户,验证登录 4 5 from django.contrib import auth 6 7 auth_user 表: 8 is_staff 是否是职员的状态,指定用户是否可以登录管理后台 9 is_active 10 is_superuser 11 12 创建超级管理员 13 python manage.py createsuperuser 14 15 认证用户 16 user_obj = auth.authenticate(request, username=username, password= password) 17 18 认证通过,就返回一个user对象,错误就返回none 19 20 记录登录状态 21 实际创建session, 故auth中间件,依赖session中间件,故session中间件注册顺序需在前, 22 auth.login(request,user_obj) 23 24 注销,删除session 25 auth.logout(request) 26 27 查看用户登录状态 28 request.user.is_authenticaed() 返回false 或true 29 30 django登录认证装饰器 31 from django.contrib.auth.decorators import login_required 32 33 @login_required 34 def index(request):pass 直接加载视图上,就可以运行前先认证 35 36 django默认当用户访问某一页面时,没有登录,则会跳转到登录url并且保存之前的url,等登录后跳转 37 请求头:Location: /accounts/login/?next=/index/ 38 39 上面是默认要跳转到 /accounts/login/ 故如果想用默认的必须url改成/accounts/login/ 40 这样的url设计不方便,故可以在setting中自己设置 41 42 LOGIN_URL = '/login/' # 这里配置成你项目登录页面的路由 43 44 45 46 'django.contrib.auth.middleware.AuthenticationMiddleware', 47 没有登录就没有session,该中间件就返回一个匿名对象,为了解决调用方法不报错 48 49 request.user 主要是用于上面的中间件,进入到该中间件, 50 主要定义了一个process_request()的方法,主要是在视图之前做的事 51 52 !!!!request.user 最后时返回一个user对象或匿名对象
一个注册的示例
from django.contrib import auth #创建普通用户:(注册示例) def signup(request): re_form_obj = RegisterForm() if request.method == 'POST': re_form_obj = RegisterForm(request.POST) if re_form_obj.is_valid(): # 验证form对象, 而验证user表即auth表指定的字段,如账户秘密可以用 auth.authenticate(username=,password=,) 之所以要username,password是因为用的是默认的auth表,其中用户名和密码字段名分别为username,password # name = form_obj.cleaned_data.get('username') # 验证通过后才能获取到字段 # paw = form_obj.cleaned_data.get('password') # User.objects.create(username=name,password=pwd) 这种建立的是明文的密码,这种是无法登录的,因为django验证是按密文验证的,故需要用django提供的加密的方式创建用户,如下 # User.objects.create_user(username=name,password=pwd) # 或 User.objects.create_user(**form_obj.cleaned_data) # 所有键值对字典打散,写入数据库 扩展:注册完成之后,可以通过后台的方式,实现自动登录,如下代码 user_obj = auth.authenticate(**form_obj.cleaned_data) auth.login(request,user_obj) # 创建session return redirect('/index/') # 或则后台发json数据给前台,前台通过ajax接收,渲染到页面,实现自动登录和几秒中跳转