auth组件
1 auth组件介绍
在一个web框架中,我们通常需要实现包括用户注册、用户登录、用户认证、注销、修改密码等功能,在django内置了一个强大的用户认证系统——auth,是一个app。
2 内置属性方法
数据迁移以后使用
from django.contrib import auth
authenticate用户认证
from django.contrib import auth
def login(request):
if request.method=='GET':
return render(request,'login.html')
else:
name=request.POST.get('name')
password=request.POST.get('password') # 明文
## 方案行不通,密码是密文的,永远匹配不成功
# user=User.objects.filter(username=name,password=password)
## 使用此方案
## 第一个参数必须是request对象
##username和password
user=auth.authenticate(request,username=name,password=password)
print(request.user) # AnonymousUser
if user:
auth.login(request,user)
print(request.user) # 用户名,所以request.user产生在auth.login后
return HttpResponse('登录成功')
else:
return HttpResponse('用户名或密码错误')
login
# 表示用户登录了
# 1 存了session:将用户名、密码以密文的方式放在session表中的session_data字段下
# 2 以后所有的视图函数,都可以使用request.user,它就是当前登录用户
auth.login(request,user)
logout
def logout(request):
# 后续再访问视图函数,就没有当前登录用户了request.user(匿名用户AnonymousUser)
auth.logout(request)
return redirect('/index/')
is_authenticated
# is_authenticated 返回True或者False,判断用户是否登录
# 用在视图中
if request.user.is_authenticated:
print('用户登录了')
else:
print('用户没有登录,匿名用户')
# 用在模板中
{% if request.user.is_authenticated %}
{{ request.user.username }} 登录了
{% else %}
<a href="/login/">滚去登录</a>
{% endif %}
login_requierd
# 导入模块
from django.contrib.auth.decorators import login_required
1 装饰器,装饰再视图函数上,只要没有登录,就进不来
# 必须登录后才能访问
@login_required(login_url='/login/') # 返回登录界面
create_user
auth 提供的一个创建新用户的方法,需要提供必要参数(username、password)等。
如果有user表中的新添字段,那么注册时必须也要提供该字段的参数
# 使用内置的create_user或者create_superuser方法
user=User.objects.create_user(username=name,password=password)
# user=User.objects.create_superuser(username=name,password=password)
# 注册时,得到校验成功后的Post中的用户名与密码或其他必要参数,用此方法以密文的方式保存密码
# 不然登录校验不成功
check_password(password)
## 有了用户,校验密码是否正确
# 先获取到用户对象
password = 123
user = User.objects.filter(username=name).first()
# 判断密码是否正确
flag=user.check_password(password)
# 不正确渲染到前端页面为密码错误,做到用户名与密码分开校验
# 但极容易被爬虫,泄露了用户名的真实性
set_password(password)
auth 提供的一个修改密码的方法,接收 要设置的新密码 作为参数。
注意:设置完一定要调用用户对象的save方法!!!
用法:
def change_password(request):
if request.method == 'GET':
return render(request, 'change_pwd.html')
else:
old_pwd = request.POST.get('old_pwd')
new_pwd = request.POST.get('new_pwd')
re_new_pwd = request.POST.get('re_new_pwd')
if request.user.check_password(old_pwd):
# 密码正确再修改
request.user.set_password(new_pwd)
# 记住保存(****)
request.user.save()
return redirect('/login/')
else:
return HttpResponse('原来密码错误')
3 user对象的属性
-
User对象属性:username, password
-
is_staff : 用户是否拥有网站的管理权限,是否可以登录到后台管理
-
is_superuser:是否是超级管理员(如果is_staff=1,可以任意增删查改任何表数据)
-
is_active : 是否允许用户登录, 设置为 False,可以在不删除用户的前提下禁止用户登录(三次密码输入错误禁用用户)
-
用户无论输入正确与否
-
user = auth.authenticate(request, username=name, password=pwd) # user都为None
-
4 扩展默认的auth_user表
这内置的认证系统这么好用,但是auth_user表字段都是固定的那几个,我在项目中没法拿来直接使用啊!
比如,我想要加一个存储用户手机号的字段,怎么办?
聪明的你可能会想到新建另外一张表然后通过一对一和内置的auth_user表关联,这样虽然能满足要求但是有没有更好的实现方式呢?
答案是当然有了。
我们可以通过继承内置的 AbstractUser 类,来定义一个自己的Model类。
这样既能根据项目需求灵活的设计用户表,又能使用Django强大的认证系统了。
1 内置的auth_user表,要加字段,加不了,扩展该表
-方式一:一对一
-方式二,通过继承
# 方式二:通过继承,一定要记住再setting中配置
## 重点:使用这种方式,一开始就要用
from django.contrib.auth.models import AbstractUser
class User(AbstractUser):
# id=models.AutoField(primary_key=True)
# username = models.CharField(max_length=128)
phone = models.CharField(max_length=32)
addr = models.CharField(max_length=32)
## setting.py中
AUTH_USER_MODEL = "app01.User"
如果项目一开始没有扩展auth_user表,后期想扩展的操作步骤
1 备份--删库---》重新创建出数据库
2 所有app的数据迁移记录删除migrations下除了__init__.py都删除
3 (重要)去源码中删除auth和admin 这俩app的migrations下除了__init__.py都删除
4 数据迁移,同步到数据库
5 备份的数据,恢复回去
