Django学习 auth模块

6.9

昨日回顾

• django请求生命周期流程图

• django中间件

  django中间件类似django的保安
  1. 请求来的时候需要先经过中间件才能到达urls.py
  2. 响应走的时候也需要经过中间件才能离开django后端
  
  django只要是涉及到项目全局的功能，都在中间件
    1. 全局身份校验
    2. 全局访问频率校验
    3. 全局权限校验
  django默认有7个中间件，每个中间件类似于一块独立的功能
  除了7个中间件，还支持自定义的，有5个方法
  

• 自定义中间件

  1.在应用或者项目下创建一个任意名称的文件夹
  2.在该文件夹内创建任意名称的py文件
  3.在py文件内书写类，类要继承所有中间件都继承到达MiddlewareMixin
  4.在配置文件中书写类的完整路径
  

• 5个自定义方法

  # 需要掌握的方法
  process_request(self,request)
  1. 请求来的手按照配置文件中注册的中间件从上往下依次经过每一个中间件里面的该方法，没有则跳过当前中间件
  2. 该方法也可以自己返回HttpResponse对象，一旦返回请求不再继续执行，直接原路返回（借用这个功能实现校验功能）
  
  process_response(self,request,response)
  1. 响应走的时候按照配置文件中的中间件从下往上依次经过每一个中间件里面的方法，没有则跳过该中间件
  2. 形参response就是返回给前端浏览器的内容，也就意味着该方法要么将response返回要么自己返回一个HttpResponse
  
  flask中，只要返回响应就必须把所有类似于process_response功能方法全部走一遍
  

  # 了解方法
  1. process_view(self,view,*args,**kwargs)
  路由匹配成功后执行视图函数之前
  2. process_exception(self,request,exception)
  当后端视图函数出现报错的时候
  3. process_template_response(self,request,response)
  

• CSRF跨站请求伪造

  解决方法：在用户返回的具有可以提交post请求的页面上添加一个唯一标记

  之后该页面发送post请求到后端，会先校验唯一标记

  form表单

  在form表单中书写：
  {% csrf token %}
  在表单中显示的是：
  <input type='hidden' name='csrfmiddlewaretoken' value='唯一的随机字符串'/>
  

  Ajax

  三种方式
  1. 利用标签查找获取值
  data:{'csrfmiddlewaretoken':'$("[name=csrfmiddlewaretoken]").val()'}
  2. 利用模板语法
  data:{'csrfmiddlewaretoken':'{{ csrf_token }}'}
  3. 通用的js文件
  拷贝固定的js代码导入到html页面上
  

• CSRF相关装饰器

  from django views.decorators.csrf import csrf_protect,csrf_exempt
  ...
  

• 参考django中间件功能设计扩展知识

今日内容

• 权限管理（RBAC）

• auth模块

• BBS（仿博客园的小作业）

  项目开发流程

  表设计

Auth模块

"""
其实我们在创建好一个django项目之后直接执行数据库迁移命令会自动生成很多表
	django_session
	auth_user
django在启动之后就可以直接访问admin路由，需要输入用户名和密码，数据参考的就是auth_user表,并且还必须是管理员用户才能进入

创建超级用户(管理员)
	python3 manage.py createsuperuser
	
依赖于auth_user表完成用户相关的所有功能
"""

方法总结

# 1.比对用户名和密码是否正确
user_obj = auth.authenticate(request,username=username,password=password)
# 括号内必须同时传入用户名和密码
print(user_obj)  # 用户对象  jason   数据不符合则返回None
print(user_obj.username)  # jason
print(user_obj.password)  # 密文

# 2.保存用户状态
auth.login(request,user_obj)  # 类似于request.session[key] = user_obj
# 主要执行了该方法 你就可以在任何地方通过request.user获取到当前登陆的用户对象

# 3.判断当前用户是否登陆
request.user.is_authenticated()

# 4.获取当前登陆用户
request.user

# 5.校验用户是否登陆装饰器
from django.contrib.auth.decorators import login_required
# 局部配置
@login_required(login_url='/login/') 
# 全局配置
LOGIN_URL = '/login/'
	1.如果局部和全局都有 该听谁的?
    局部 > 全局
	2.局部和全局哪个好呢?
    全局的好处在于无需重复写代码 但是跳转的页面却很单一
    局部的好处在于不同的视图函数在用户没有登陆的情况下可以跳转到不同的页面

# 6.比对原密码
request.user.check_password(old_password)

# 7.修改密码
request.user.set_password(new_password)  # 仅仅是在修改对象的属性
request.user.save()  # 这一步才是真正的操作数据库

# 8.注销
auth.logout(request) 

# 9.注册
# 操作auth_user表写入数据
User.objects.create(username=username,password=password)  # 写入数据  不能用create 密码没有加密处理
# 创建普通用户
User.objects.create_user(username=username,password=password)
# 创建超级用户(了解):使用代码创建超级用户 邮箱是必填的 而用命令创建则可以不填
User.objects.create_superuser(username=username,email='123@qq.com',password=password)

auth模块表扩展

from django.db import models
from django.contrib.auth.models import User,AbstractUser
# Create your models here.

# 第一种:一对一关系  不推荐
# class UserDetail(models.Model):
#     phone = models.BigIntegerField()
#     user = models.OneToOneField(to='User')


# 第二种:面向对象的继承
class UserInfo(AbstractUser):
    """
    如果继承了AbstractUser
    那么在执行数据库迁移命令的时候auth_user表就不会再创建出来了
    而UserInfo表中会出现auth_user所有的字段外加自己扩展的字段
    这么做的好处在于你能够直接点击你自己的表更加快速的完成操作及扩展
    
    前提:
        1.在继承之前没有执行过数据库迁移命令
            auth_user没有被创建，如果当前库已经创建了那么你就重新换一个库
        2.继承的类里面不要覆盖AbstractUser里面的字段名
            表里面有的字段都不要动，只扩展额外字段即可
        3.需要在配置文件中告诉django你要用UserInfo替代auth_user(******)
            AUTH_USER_MODEL = 'app01.UserInfo'
                                '应用名.表名'
    """
    phone = models.BigIntegerField()
    
    
"""
你如果自己写表替代了auth_user那么
auth模块的功能还是照常使用，参考的表页由原来的auth_user变成了UserInfo


我们bbs作业用户表就是用的上述方式
"""

项目开发流程

• 需求分析

  架构师+产品经理+开发组长

• 项目设计

• 分组开发

• 测试

• 交付上线

表设计

一个项目中最重要的不是业务逻辑的书写，而是前期的表设计

1. 用户表
	继承AbstractUser
	扩展
		phone
		avatar
		create_time
	外键
		一对一个人站点表
2. 个人站点表
	site_name 站点名称
	site_title 站点标题
	site_theme 站点样式
3. 文章标签表
	name 文章标签名
	外键：一对多个人站点
4. 文章分类表
	name 文章标题
	一对多个人站点
5. 文章表
	title 文章标题
	desc 文章描述
	content 文章内容
	create_time 发布时间
虽然下面三个字段可以从其他表里面计算得出，但是频繁查询影响效率
	up_num 点赞数
	down_num 点踩数
	comm_num 评论数
	外键
		一对多个人站点
		多对多文章标签
		一对多文章分类
6. 点赞点踩表
	于文章表中的点赞点踩同步更新
	纪录哪个用户给哪篇文章点了
	user 用户 外键用户表
	article 文章 外键文章表
	is_up   布尔值字段
	
7. 文章评论表
	user 用户  外键用户
	article 内容  外键
	time 时间  DateField()
	parent ForeignKey(to="self",null=True)
	
	根评论子评论