用户认证——auth模块
在进行用户登录验证的时候,如果是自己写代码,就必须要先查询数据库,看用户输入的用户名是否存在于数据库中;如果用户存在于数据库中,然后在验证用户输入的密码,这样一来,自己就需要编写大量的代码。
事实上,Django已经提供了内置的用户认证功能,在使用“python manage.py makemigrations” 和 “python manage.py migrate” 迁移完成数据库之后,根据配置文件settings.py中的数据库段生成的数据表中已经包含了6张进行认证的数据表,分别是:
而要进行用户认证的数据表示auth_user。
要使用Django自带的认证功能,首先导入auth模块:
auth用户登录
# auth主认证模块 from django.contrib import auth # 对应数据库,可以创建添加记录 from django.contrib.auth.models import User
from django.contrib import auth from django.contrib.auth.models import User def auth_login(request): if request.method == 'POST': username = request.POST.get('username') password = request.POST.get('password') # models.User.objects.filter(username=username,password=password).first() user_obj = auth.authenticate(request,username=username,password=password) if user_obj: # 记录用户状态 # request.session['name'] = 'jason' auth.login(request,user_obj) # 一旦记录了,可以在任意的地方通过request.user获取到当前登录对象 return HttpResponse('ok') return render(request,'auth_login.html')
authenticate()
提供了用户认证,即验证用户名以及密码是否正确,一般需要username,password 两个关键字参数。
如果认证信息有效,会返回一个user对象。authenticate()会在User对象上设置一个属性标识那种认证后端认证了该用户,且该信息在后面的登录过程中是需要的。当我们试图登录一个从数据库中直接取出来不经过authenticate()的User对象会报错的!
login()
此函数使用django的session框架给某个已认证的用户附加上session id等信息。等同于request.session['name'] = 'zyl'
auth判断用户是否登录
def auth_index(request): print(request.user.is_authenticated()) # 判断当前用户是否已经登录 print(request.user,type(request.user)) # 获取当前登录用户对象 return HttpResponse('ok')
user对象的is_authenticated()
如果是真正的User对象,返回值为True,用于检查用户是否已经通过了认证。通过认证并不意味着用户认证拥有任何权限,甚至也不检查该用户是否处于激活状态,这只是表明用户成功的通过了认证。这个方法很重要,在后台用request.user.is_authenticated()判断用户是否已经登录,如果true则可以向前台展示request.user.name。
logout(request)注销用户
def auth_logout(request): auth.logout(request) # request.session.flush() return HttpResponse('ok')
该函数接受一个HttpRequest对象,无返回值。当调用该函数时,当前请求的session信息会全部清除。该用户即使没有登录,使用该函数也不会报错。
虽然使用的logout()函数,但是其本质上还是使用的是fulsh() 。
auth注册用户
def auth_register(request): if request.method == 'POST': username = request.POST.get('username') password = request.POST.get('password') user_obj = auth.authenticate(request,username=username) if user_obj: return HttpResponse('当前用户已存在') # models.User.objects.create(username=username,password=password) # User.objects.create(username=username,password=password) # 不能再用create创建 # User.objects.create_user(username=username,password=password) # 创建普通用户 User.objects.create_superuser(username=username,password=password,email='123@163.com') # 创建超级用户 return render(request,'auth_register.html')
User对象
User对象属性:username,password(必填项) password用哈希算法保存到数据库。
django Auth模块自带User模型所包含字段
username:用户名
email: 电子邮件
password:密码
first_name:名
last_name:姓
is_active: 是否为活跃用户。默认是True
is_staff: 是否为员工。默认是False
is_superuser: 是否为管理员。默认是False
date_joined: 加入日期。系统自动生成。
修改密码
def auth_password(request): print(request.user.password) is_res = request.user.check_password('zyl123456') # 校验密码是否一致 if is_res: request.user.set_password('666') # 设置新密码 request.user.save() # 修改密码必须save保存 不然无效 return HttpResponse('ok')
使用set_password() 来修改密码,接受要设置的新密码作为参数。
用户需要修改密码的时候,首先让他输入原来的密码,如果给定的字符串通过了密码检查,返回True
注意:设置完一定要调用用户对象的save方法
检查密码是否正确
使用check_password(passwd)来检查密码是否正确,密码正确的话返回True,否则返回False。
ok = user.check_password('密码')
Django自定义 auth_user
导入AbstractUser
from django.contrib.auth.models import AbstractUser
创建类Userinfo并继承 AbstractUser
class Userinfo(AbstractUser):
创建自己需要的Userinfo字段
class Userinfo(AbstractUser): phone = models.CharField(max_length=32) avatar = models.CharField(max_length=32)
在settings.py中重载 AUTH_USER_MODEL 方法
AUTH_USER_MODEL = 'app01.Userinfo'
注意:如果在migrate时候报错,删除数据库的表,重新迁移。
报错内容如下:
django.db.migrations.exceptions.InconsistentMigrationHistory: Migration admin.0001_initial is applied before its dependency users.0001_initial on database 'default'.
基于用户认证组件的认证装饰器功能
为什么要用认证装饰器呢?
在以后的代码中,我们肯定需要很多认证登录,如果验证成功,则进入登录页面,如果验证不成功,则返回到登录页面。那么为了避免代码的冗余,我们可以写一个装饰器的东西,不过Django已经为我们准备好了,我们只需要用就行。
验证装饰器:看那些页面需要登录才能访问,如果没有登录跳转设置的页面去。
1,如果用户还没有登录,默认会跳转到'/accounts/login/'。这个值可以在settings文件中通过LOGIN_URL参数来设定。(后面还会自动加上你请求的url作为登录后跳转的地址,如:/accounts/login/?next=/auth/index/ 登录完成之后,会去请求)
如果不添加该行,则在未登陆状态打开页面的时候验证是否登陆的装饰器跳转到/accounts/login/下面 # 第一张方法就是修改settings.py 中的 LOGIN_URL LOGIN_URL = "/login/"
# auth自动跳转 LOGIN_URL = '/auth_login/' # 告诉django不再使用默认的auth_user,而使用我们自己定义的表
from django.contrib.auth.decorators import login_required # @login_required(login_url='/auth_login/') # 局部配置 @login_required def auth_home(request): return HttpResponse('home必须登录才能访问') @login_required def auth_xxx(request): return HttpResponse('xxx必须登录才能访问')