Django Auth组件
Auth组件
Author组件是Django自带的认证系统,包括登录校验,用户信息数据库表,以及修改用户权限,用户注销。给用户增加sesion等一切认证功能
导入auth模块
from django.contrib import auth
用户信息
在django项目创建开时,运行python manage.py migrations 和 python manage.py mirate 两个命令后django会自动创建django本身需要的数据库表和你自定义创建的数据库表,而Auth组件中的auth_user表就是用来存放用户信息的表:
命令行创建用户方法:
- 在命令行中运行python manage.py createsuperuser(必须在项目目录下运行)
- 输入要创建的用户名
- 输入邮箱可以为空
- 输入两次密码以便确认
- 数据创建成功数据库中可以看多了一条数据,就是你创建的数据信息
Auth组件常用方法
1、auth.authenticate()
authenticate英文翻译是鉴定校验的意思,该方法是用来将前端传过来的用户账号和密码和数据库中的信息进行对比,校验通过返回一个通过校验的数据对象(通常叫做user)里面包含很多信息,否则返回None:
常见用法:user = auth.authenticate(username='', password='')
def login(request):
if request.method=='POST':
#获取前端登录请求的用户和密码
name = request.POST.get('name')
pwd = request.POST.get('pwd')
#使用auth自带的方法校验账号密码
user = auth.authenticate(username=name, password=pwd)
2、auth.login(Httprequest,user)
该函数接受一个HttpRequest对象,以及一个经过认证的User对象。
该函数实现一个用户登录的功能。它本质上会在后端为该用户生成相关session数据,这样这个用户在登录后就可以直接访问其要验证用户是否登录的页面, 结合上面校验用户账号密码得到的对象
,用法:
def login(request):
if request.method=='POST':
#获取登录请求的用户和密码
name = request.POST.get('name')
pwd = request.POST.get('pwd')
#使用auth自带的方法校验账号密码
user = auth.authenticate(username=name, password=pwd)
if user:
#使用auth.login方法加上sessioncookie
auth.login(request,user)
#这段代码看不懂先往下面看
# 如果校验通过则进去下一个页面,获取不到则默认跳转index的url
nexturl = request.GET.get('next',reverse('index'))
return redirect(nexturl)
3、logout(Httprequest)
该方法用来清除请求客户端报存的session,这样该客户端就失去了访问我需要验证才能访问页面的资格,通常我们常见的注销按钮就是这样实现的。
步骤:
- 在前端页面放置一个a标签点击跳转url触发django的视图函数。
- 在视图函数中运行logout方法,本质是将客户端的session给清除掉
- 清除session后通常我们重定向回登录页面
def loginout(request):
#使用logout方法注销清除sessioncookie
auth.logout(request)
#返回login页面
return redirect(reverse('login'))
4、is_authenticated()
该方法是判断request请求中user属性中是否被验证,前面我们是对校验通过(authenticate)的user加上session并将对应的key给request.user(login(request,user))。
用法:
def my_view(request):
#对访问请求的user进行session检查如果不通过则将当前访问的目录拼接到login地址,并重定向去login页面
if not request.user.is_authenticated():
return redirect('%s?next=%s' % (settings.LOGIN_URL, request.path))
这样我们可以在视图函数里面加上这样的代码,这样没登录就无法通过校验也就无法直接访问页面,必须是登录后的用户才能进行访问。这样还是很麻烦并且重复代码多,所以auth还提供了专门的装饰器方法给我们,原理就是和上面说的一样。
5、login_requierd
auth 给我们提供的一个装饰器工具,用来快捷的给某个视图添加登录校验。
用法:
from django.contrib.auth.decorators import login_required
@login_required
def my_view(request):
...
若用户没有登录,则会跳转到django默认的 登录URL '/accounts/login/ ' 并传递当前访问url的绝对路径 (登陆成功后,会重定向到该路径)。
如果需要自定义登录的URL,则需要在django中的settings.py文件中通过LOGIN_URL进行修改。
LOGIN_URL = '/login/' # 这里配置成你项目登录页面的路由
Auth组件针对user表的用法
现在大家都知道用户的信息是存在服务端的数据库里,也就是auth_user表,怎么操作这张表,auth组件也提供了相应的方法我们。
create_user()
auth 提供的一个创建新用户的方法,需要提供必要参数(username、password)等。
用法:
from django.contrib.auth.models import User
user = User.objects.create_user(username='用户名',password='密码',email='邮箱',...)
create_superuser()
auth 提供的一个创建新的超级用户的方法,需要提供必要参数(username、password)等。
用法:
from django.contrib.auth.models import User
user_obj = User.objects.create_superuser(username='用户名',password='密码',email='邮箱',...)
check_password(raw_password)
auth 提供的一个检查密码是否正确的方法,需要提供当前请求用户的密码。
密码正确返回True,否则返回False。
用法:
ok = user_obj.check_password('密码')
或者直接针对当前请求的user对象校验原密码是否正确:
ok = request.user.check_password(raw_password='原密码')
set_password(raw_password)
auth 提供的一个修改密码的方法,接收 要设置的新密码 作为参数。
注意:设置完一定要调用用户对象的save方法!!!
用法:
user_obj.set_password('新密码')
user_obj.save()
一个修改密码功能的简单示例
@login_required
def set_password(request):
user = request.user
err_msg = ''
if request.method == 'POST':
old_password = request.POST.get('old_password', '')
new_password = request.POST.get('new_password', '')
repeat_password = request.POST.get('repeat_password', '')
# 检查旧密码是否正确
if user.check_password(old_password):
if not new_password:
err_msg = '新密码不能为空'
elif new_password != repeat_password:
err_msg = '两次密码不一致'
else:
user.set_password(new_password)
user.save()
return redirect("/login/")
else:
err_msg = '原密码输入错误'
content = {
'err_msg': err_msg,
}
return render(request, 'set_password.html', content)
用户对象的属性
user_obj能够拿到认证所用用户表的数据属性,比如username, password等。
其他常用属性含义如下:
is_staff : 用户是否拥有网站的管理权限.
is_active : 是否允许用户登录, 设置为 False,可以在不删除用户的前提下禁止用户登录。