06 django的用户认证组件
1、用户认证组件
用户认证组件:
功能:用session记录登录验证状态
前提:用户表:django自带的auth_user
创建超级用户: python3 manage.py createsuperuser
创建超级用户
C:\PycharmProjects\authdemo>python manage.py createsuperuser Username (leave blank to use 'venicid'): alex Email address: # 空 Password: 1234 Password (again): This password is too short. It must contain at least 8 characters. This password is entirely numeric. Password: 12345678 Password (again): This password is too common. This password is entirely numeric. Password: qwerasdf Password (again): Superuser created successfully.
不能像一般取数据库中的数据,密码是密文的
2、auth模块详细代码
from django.contrib import auth #django.contrib.auth中提供了许多方法,这里主要介绍其中的三个:
创建超级用户
C:\PycharmProjects\authdemo>python manage.py createsuperuser Username (leave blank to use 'venicid'): alex Email address: # 空 Password: 1234 Password (again): This password is too short. It must contain at least 8 characters. This password is entirely numeric. Password: 12345678 Password (again): This password is too common. This password is entirely numeric. Password: qwerasdf Password (again): Superuser created successfully.
主url
from django.contrib import admin from django.urls import path, re_path, include urlpatterns = [ path('admin/', admin.site.urls), re_path(r'^', include(("app01.urls", "app01"))) ]
url
from django.urls import path, re_path, include from app01 import views urlpatterns = [ re_path(r'^login/$', views.login, name="login"), re_path(r'^index/$', views.index, name="index"), re_path(r'^logout/$', views.logout, name="logout"), ]
view
from django.shortcuts import render, redirect, HttpResponse from django.contrib import auth # 导入auth模块 # from django.contrib.auth.models import User # 导入User表 # Create your views here. def login(request): if request.method == "POST": user = request.POST.get("user") pwd = request.POST.get("pwd") # if 验证成功返回user对象,否则返回None user = auth.authenticate(username=user, password=pwd) if user: auth.login(request, user) # request.user = user # request.user:当前登录对象 return redirect("/index/") # # 一般做法 # User.objects.filter(username=user, password=pwd).first() # 密码是密文的(摘要算法),获取不到 return render(request, "login.html") def index(request): print("request user:", request.user) print("request user id:", request.user.id) print("request user is_anonymous:", request.user.is_anonymous) """ 匿名用户 class models.AnonymousUser django.contrib.auth.models.AnonymousUser 类实现了django.contrib.auth.models.User 接口,但具有下面几个不同点: id 永远为None。 username 永远为空字符串。 get_username() 永远返回空字符串。 is_staff 和 is_superuser 永远为False。 is_active 永远为 False。 groups 和 user_permissions 永远为空。 is_anonymous() 返回True 而不是False。 is_authenticated() 返回False 而不是True。 set_password()、check_password()、save() 和delete() 引发 NotImplementedError。 New in Django 1.8: 新增 AnonymousUser.get_username() 以更好地模拟 django.contrib.auth.models.User。 """ if request.user.is_anonymous: return redirect("/login/") """ # username传递到模板层 username = request.user.username return render(request, "index.html", {"username": username}) """ # request是全局变量,可以不用传递 return render(request, "index.html") def logout(request): # flush 删除session auth.logout(request) return redirect("/login/")
login.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <form action="" method="post"> {% csrf_token %} username <input type="text" name="user"> password <input type="text" name="pwd"> <input type="submit" value="submit"> </form> </body> </html>
index.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <h3>hi {{ username }}</h3> <h3>hi {{ request.user.username }}</h3> <h3>hi {{ request.user.id }}</h3> <h3>hi {{ request.user.password }}</h3> <a href="/logout/">注销</a> </body> </html>
2.1、登录验证 authenticate()
提供了用户认证,即验证用户名以及密码是否正确,一般需要username password两个关键字参数
如果认证信息有效,会返回一个 User 对象。authenticate()会在User 对象上设置一个属性标识那种认证后端认证了该用户,且该信息在后面的登录过程中是需要的。
当我们试图登陆一个从数据库中直接取出来不经过authenticate()的User对象会报错的!!
2.2、session信息存储: login(HttpRequest, user)
该函数接受一个HttpRequest对象,以及一个认证了的User对象
此函数使用django的session框架给某个已认证的用户附加上session id等信息。
login方法源码剖析
用户认证注册功能:auth模块 与中间件,配合使用的
匿名用户对象:如果没有登录直接访问index的话
匿名用户 class models.AnonymousUser django.contrib.auth.models.AnonymousUser 类实现了django.contrib.auth.models.User 接口,但具有下面几个不同点: ''' id 永远为None。 username 永远为空字符串。 get_username() 永远返回空字符串。 is_staff 和 is_superuser 永远为False。 is_active 永远为 False。 groups 和 user_permissions 永远为空。 is_anonymous() 返回True 而不是False。 is_authenticated() 返回False 而不是True。 set_password()、check_password()、save() 和delete() 引发 NotImplementedError。 New in Django 1.8: 新增 AnonymousUser.get_username() 以更好地模拟 django.contrib.auth.models.User。 '''
登录 用户变了,session就变了
添加一个新的超级用户
C:\PycharmProjects\authdemo>python manage.py createsuperuser Username (leave blank to use 'venicid'): # redhat Email address: Password: # 1234qwer Password (again): Superuser created successfully.
request.user是一个全局变量,可以不用传值到模板层
2.3、注销功能 logout(request)
该函数接受一个HttpRequest对象,无返回值。当调用该函数时,当前请求的session信息会全部清除。该用户即使没有登录,使用该函数也不会报错。
logout源码
3、User对象
User 对象属性:username, password(必填项)password用哈希算法保存到数据库
完整代码
主url
from django.contrib import admin from django.urls import path, re_path, include urlpatterns = [ path('admin/', admin.site.urls), re_path(r'^', include(("app01.urls", "app01"))) ]
url
from django.urls import path, re_path, include from app01 import views urlpatterns = [ re_path(r'^login/$', views.login, name="login"), re_path(r'^index/$', views.index, name="index"), re_path(r'^logout/$', views.logout, name="logout"), re_path(r'^reg/$', views.reg, name="reg"), re_path(r'^order/$', views.order, name="order"), ]
vies
from django.shortcuts import render, redirect, HttpResponse from django.contrib import auth # 导入auth模块 from django.contrib.auth.models import User # 导入User对象 User == auth_user def login(request): if request.method == "POST": user = request.POST.get("user") pwd = request.POST.get("pwd") user = auth.authenticate(username=user, password=pwd) if user: auth.login(request, user) # request.user:当前登录对象 # return redirect("/index/") next_url = request.GET.get("next", "/index/") return redirect(next_url) return render(request, "login.html") def logout(request): # flush 删除session auth.logout(request) return redirect("/login/") def reg(request): if request.method == "POST": user = request.POST.get("user") pwd = request.POST.get("pwd") # User.objects.create(username=user, password=pwd) # create,密码要经过摘要算法加密,才能存到数据库表 user = User.objects.create_user(username=user, password=pwd) # create_user return redirect("/login/") return render(request, "reg.html") # 认证登录 # 方式1: def index1(request): if not request.user.is_authenticated: # 没有被认证 return redirect("/login/") return render(request, "index.html") # 方式2: from django.contrib.auth.decorators import login_required # 登录装饰器 @login_required def index(request): return render(request, "index.html") @login_required def order(request): return render(request, "order.html")
模板层: 同上
3.1 用户认证:is_authenticated(),装饰器@login_requierd
如果是真正的 User 对象,返回值恒为 True 。 用于检查用户是否已经通过了认证。
通过认证并不意味着用户拥有任何权限,甚至也不检查该用户是否处于激活状态,这只是表明用户成功的通过了认证。
这个方法很重要, 在后台用request.user.is_authenticated()判断用户是否已经登录,如果true则可以向前台展示request.user.name
要求:
1 用户登陆后才能访问某些页面,
2 如果用户没有登录就访问该页面的话直接跳到登录页面
3 用户在跳转的登陆界面中完成登陆后,自动访问跳转到之前访问的地址
方式1:request.user.is_authenticated()
方式2:装饰器:login_requierd()
django已经为我们设计好了一个用于此种情况的装饰器:login_requierd()
跳转到django默认的登录
若用户没有登录,则会跳转到django默认的登录URL '/accounts/login/ ' (这个值可以在settings文件中通过LOGIN_URL进行修改)。并传递 当前访问url的绝对路径 (登陆成功后,会重定向到该路径)。
添加order页面,添加装饰器
from django.contrib.auth.decorators import login_required # 登录装饰器 @login_required def order(request): return render(request, "order.html")
3.2 、创建用户
使用 create_user 辅助函数创建用户:
from django.contrib.auth.models import User user = User.objects.create_user(username='',password='',email='')
3.3 、check_password(passwd)
用户需要修改密码的时候 首先要让他输入原来的密码 ,如果给定的字符串通过了密码检查,返回 True
3.4 、修改密码
使用 set_password() 来修改密码
user = User.objects.get(username='') user.set_password(password='') user.save
4、总结
用户认证组件: 功能:用session记录登录验证状态 前提:用户表:django自带的auth_user 创建超级用户: python3 manage.py createsuperuser API: from django.contrib import auth # 导入auth模块 1 # if 验证成功返回user对象,否则返回None user = auth.authenticate(username=user, password=pwd) 2 auth.login(request, user) # request.user:当前登录对象 if request.user.is_anonymous: # 是匿名用户 3 auth.logout(request) # flush 删除session from django.contrib.auth.models import User # 导入User对象 # User == auth_user 4 if not request.user.is_authenticated: # 没有被认证 5 user = User.objects.create_user(username=user, password=pwd) # create_user 补充 匿名用户对象 匿名用户 class models.AnonymousUser django.contrib.auth.models.AnonymousUser 类实现了django.contrib.auth.models.User 接口,但具有下面几个不同点: id 永远为None。 username 永远为空字符串。 get_username() 永远返回空字符串。 is_staff 和 is_superuser 永远为False。 is_active 永远为 False。 groups 和 user_permissions 永远为空。 is_anonymous() 返回True 而不是False。 is_authenticated() 返回False 而不是True。 set_password()、check_password()、save() 和delete() 引发 NotImplementedError。 New in Django 1.8: 新增 AnonymousUser.get_username() 以更好地模拟 django.contrib.auth.models.User。 """ 总结: if not: auth.login(request, user) # request.user == AnonymousUser() else: request.user == 登录对象 request.user是一个全局变量 在任何视图和模板直接使用
5
