Django学习之认证

一. auth模块

　　我们在开发一个网站的时候，无可避免的需要设计实现网站的用户系统。此时我们需要实现包括用户注册、用户登录、用户认证、注销、修改密码等功能，这还真是个麻烦的事情呢。

　　Django作为一个完美主义者的终极框架，当然也会想到用户的这些痛点。它内置了强大的用户认证系统--auth，它默认使用 auth_user 表来存储用户数据，使用auth模块来进行用户认证，那么需要使用人家django自带的auth_user表来存储用户的信息数据。

　　模块导入：

from django.contrib import auth

python manage.py createsuperuser  #要通过这个指令来创建用户，因为这个指令会将你的密码加密。

auth_user表的字段

内置的User模型拥有以下的字段：
username： 用户名。150个字符以内。可以包含数字和英文字符，以及_、@、+、.和-字符。不能为空，且必须唯一！
first_name：歪果仁的first_name，在30个字符以内。可以为空。
last_name：歪果仁的last_name，在150个字符以内。可以为空。
email：邮箱。可以为空。
password：密码。经过哈希过后的密码。
#groups：分组。一个用户可以属于多个分组，一个分组可以拥有多个用户。groups这个字段是跟Group的一个多对多的关系。
#user_permissions：权限。一个用户可以拥有多个权限，一个权限可以被多个用户所有用。和Permission属于一种多对多的关系。
is_staff：是否可以进入到admin的站点。代表是否是员工。这个字段如果不使用admin的话，可以自行忽略，不影响使用
is_active：是否是可用的。对于一些想要删除账号的数据，我们设置这个值为False就可以了，而不是真正的从数据库中删除。
is_superuser：是否是超级管理员。如果是超级管理员，那么拥有整个网站的所有权限。
last_login：上次登录的时间。
date_joined：账号创建的时间。

 

auth提供的方法：

authenticate()  

　　提供了用户认证功能，即验证用户名以及密码是否正确，一般需要username 、password两个关键字参数，因为你仔细看看auth_user表的话，你会发现用户名和密码的字段名称就是username和password。

　　如果认证成功（用户名和密码正确有效，就是去auth_user表中查询一下是否存在这条记录），便会返回一个 User 对象，查询认证失败返回None。

　　authenticate()会在该 User 对象上设置一个属性来标识后端已经认证了该用户，且该信息在后续的登录过程中是需要的。

　　用法：

user = auth.authenticate(username='theuser',password='thepassword')

 

login(HttpRequest, user)　　

　　该函数接受一个HttpRequest对象，以及一个经过认证的User对象。

　　该函数实现一个用户登录的功能。它本质上会在后端为该用户生成相关session数据，保持会话用。

　　用法：

from django.contrib.auth import authenticate, login
   
def my_view(request):
  username = request.POST['username']
  password = request.POST['password']
  user_obj = authenticate(username=username, password=password)
  if user_obj:
    login(request, user_obj) #可以简单理解为request.session['user_id']=user_id，并且将user_obj封装到了request里面，通过request.user=user_obj
    # Redirect to a success page.
    ...
  else:
    # Return an 'invalid login' error message.
    ...

注意：

　　只要使用login(request, user_obj)之后，request.user就能拿到当前登录的用户对象。否则request.user得到的是一个匿名用户对象（AnonymousUser Object，是request.user的默认值）

 

logout(request) 

　　该函数接受一个HttpRequest对象，无返回值。

　　当调用该函数时，当前请求的session信息会全部清除。该用户即使没有登录，使用该函数也不会报错。

　　用法：

from django.contrib.auth import logout
   
def logout_view(request):
  logout(request) #其实内部就是执行了request.session.flush()
  # Redirect to a success page.

 

二 . User对象

user对象的 is_authenticated()

　　如果是真正的 User 对象，返回值恒为 True 。 用于检查用户是否已经通过了认证。
　　通过认证并不意味着用户拥有任何权限，甚至也不检查该用户是否处于激活状态，这只是表明用户成功的通过了认证。 这个方法很重要, 在后台用request.user.is_authenticated()判断用户是否已经登录，如果true则可以向前台展示request.user.name

要求：

　　1  用户登陆后才能访问某些页面，

　　2  如果用户没有登录就访问该页面的话直接跳到登录页面

　　3  用户在跳转的登陆界面中完成登陆后，自动访问跳转到之前访问的地址

　　方法1:

def my_view(request):
  if not request.user.is_authenticated:  # property属性
    return redirect('%s?next=%s' % (settings.LOGIN_URL, request.path))

 

　　方法2:

　　django已经为我们设计好了一个用于此种情况的装饰器：login_requierd()

from django.contrib.auth.decorators import login_required
      
@login_required
def my_view(request):
  ...

　　若用户没有登录，则会跳转到django默认的 登录URL '/accounts/login/ ' (这个值可以在settings文件中通过LOGIN_URL进行修改)。并传递  当前访问url的绝对路径 (登陆成功后，会重定向到该路径)。

create_user()

　　　　auth 提供的一个创建新用户的方法，需要提供必要参数（username、password）等。

　　　　用法：

from django.contrib.auth.models import User
user = User.objects.create_user（username='用户名',password='密码',email='邮箱',...）

　　 

create_superuser()

　　auth 提供的一个创建新的超级用户的方法，需要提供必要参数（username、password）等。

　　用法：

from django.contrib.auth.models import User
user_obj = User.objects.create_superuser（username='用户名',password='密码',email='邮箱',...）

 

check_password和set_password：

看一个例子：

def set_password(request):
    if request.is_ajax():
        res = BaseResponse()
        if request.method == 'POST':
            old_password = request.POST.get('old_password')
            new_password = request.POST.get('new_password')
            confirm_password = request.POST.get('confirm_password')
            is_right = request.user.check_password(old_password)
            if is_right:
                if new_password == confirm_password:
                    request.user.set_password(new_password)
                    request.user.save()
                    res.data = '修改成功!'
                else:
                    res.code = 3003
                    res.error = '两次密码输入不一致！'
            else:
                res.code = 3004
                res.error = '原密码错误'
            return JsonResponse(res.dict)

 

 

三. 扩展默认的auth_user表

 

# 步骤一： 继承AbstractUser类
from django.contrib.auth.models import AbstractUser
class UserInfo(AbstractUser):
    """
    用户信息表
    """
    nid = models.AutoField(primary_key=True)
    phone = models.CharField(max_length=11, null=True, unique=True)
    
    def __str__(self):
        return self.username

# settings中配置：

AUTH_USER_MODEL = "app名.UserInfo"

　　自定义认证系统默认使用的数据表之后，我们就可以像使用默认的auth_user表那样使用我们的UserInfo表了。比如：

　　创建普通用户：

　　UserInfo.objects.create_user(username='用户名', password='密码')

  创建超级用户：

　　UserInfo.objects.create_superuser(username='用户名', password='密码')