Django框架—auth认证模块

一、DJango内auth模块

1.为什么使用auth模块

我们在开发一个网站的时候，无可避免的需要设计实现网站的用户系统。此时我们需要实现包括用户注册、用户登录、用户认证、注销、修改密码等功能，如果这些过程都需要我们手动实现，过程着实麻烦。

而Django是一个完美主义的终极框架，在这个问题上，内置了一个强大的用户认证系统--auth，使用默认创建的auth_user来存储用户数据，如果我们使用auth模块来进行用户认证，那么也需要使用django默认创建好的auth_user表来存储用户的信息数据。

在视图函数中引用django的auth功能，先导入

from django.contrib import auth

注意：auth_user并不是我们在models.py文件中定义的模型，而是django里面自带的应用中的models.py文件生成的。所以我们用的时候需要先同步一下数据库。

makemigrations
migrate

创建一个用户

往auth_user中添加数据的命令，在项目路径下执行如下命令。

python manage.py createsuperuser  # 要通过这个指令来创建用户，因为这个指令会将你的密码加密

或者在django的命令行下，也就是同步数据的那个命令行执行

createsuperuser  # 创建一个超级用户

创建成功后，在auth_user表中就有数据了，目前我们只需要关注username和password。

Django中的后台管理

其实auth_user本质是django内置的后台管理数据表而使用的帐号管理表。

我们启动项目，然后访问http://127.0.0.1:8000/admin/就可以通过刚才的帐号登录这个管理系统。

登录后，进入的页面是管理django项目的数据表的可视化页面，类似navicat，只不过这个是django提供的网页版。

User表中字段

内置auth引用创建的User模型中有以下字段：

• username： 用户名。150个字符以内。可以包含数字和英文字符，以及_、@、+、.和-字符。不能为空，且必须唯一！

• first_name：歪果仁的first_name，在30个字符以内。可以为空。

• last_name：歪果仁的last_name，在150个字符以内。可以为空。

• email：邮箱。可以为空。

• password：密码。经过哈希过后的密码。

• groups：分组。一个用户可以属于多个分组，一个分组可以拥有多个用户。groups这个字段是跟Group的一个多对多的关系。

• user_permissions：权限。一个用户可以拥有多个权限，一个权限可以被多个用户所有用。和Permission属于一种多对多的关系。

• is_staff：是否可以进入到admin的站点。代表是否是员工。这个字段如果不使用admin的话，可以自行忽略，不影响使用

• is_active：是否是可用的。对于一些想要删除账号的数据，我们设置这个值为False就可以了，而不是真正的从数据库中删除。

• is_superuser：是否是超级管理员。如果是超级管理员，那么拥有整个网站的所有权限。

• last_login：上次登录的时间。

• date_joined：账号创建的时间。

2.auth模块的方法

authenticate()

提供了用户认证功能，即验证用户名以及密码是否正确，一般需要username 、password两个关键字参数，而user表中用户名和密码的字段名称就是username和password。

语法：

user = auth.authenticate(username='user',password='password')

authenticate方法如果认证成功（用户名和密码正确有效，就是去auth_user表中查询一下是否存在这条记录），便会返回一个 User 对象，查询认证失败返回None。

login(HttpRequest,user)

该函数接受一个HttpRequest对象，以及一个经过认证的User对象。

auth.login方法执行会做的两件事：

• 完成session的事情，将用户数据存入数据库，生成随机sessionid存在cookie中发送给客户端。

• request.user=user_obj，将验证后的用户对象存在request请求对象中的user中

只要使用login(request, user_obj)之后，request.user就能拿到当前登录的用户对象。否则request.user得到的是一个匿名用户对象（AnonymousUser Object，是request.user的默认值）

查看用户状态

login使用之前，查看user信息

request.user  # 没有经过login方法来封装用户的信息，那么这个显示的是一个匿名用户
request.user.id  # None
request.user.username  # 空字符串
request.user.is_active  # False

login使用之后，查看user信息

request.user  # request.user对象是全局的，是当前登陆的user对象，并且可以在模板语言里面直接使用{{ request.user.username }}，万能的句点号
request.user.id  # 1 用户账号在表中的id值。
request.user.username  # ryxiong
request.user.is_active  # True

logout(request)

该函数接受一个HttpRequest对象，无返回值。

当调用该函数时，当前请求的session信息会全部清除。即使没有登录，使用该函数也不会报错。

用法：

from django.contrib.auth import logout
   
def logout(request):
  logout(request) # 其实内部就是执行了request.session.flush()
  Redirect to a success page.

3.使用auth_user登录

使用auth_user表来验证用户登录

from django.shortcuts import render,HttpResponse,redirect
from app01 import models
from django.contrib import auth  # 导入django的auth模块
​
def login(request):
    if request.method=="GET":
        return render(request,"login.html")
    else:
        username = request.POST.get("username")
        password = request.POST.get("password")
        user_obj = auth.authenticate(username=username,password=password)  # 这里auth模块拿到用户名和密码后，会去auth_user表中查找数据，如果存在返回用户对象，不存在返回None
        if user_obj:
            auth.login(request,user_obj)
            # 1.auth.login做了session的事情，将用户数据存入数据库，生成sessionid存在cookie中
            # 2.request.user=user_obj，将用户对象存在请求中的user中。
            return HttpResponse("登录成功")
        else:
            return redirect("login")

登录页面login.html

<form action="{% url 'login' %}" method="post">
    用户名：<input type="text" name="password">
    密码：<input type="password" name="password">
    <input type="submit">
</form>

二、User对象使用

1.user对象的方法

is_authenticated()

如果是真正的 User 对象，返回值恒为 True 。 用于检查用户是否已经通过了认证。

通过认证并不意味着用户拥有任何权限，甚至也不检查该用户是否处于激活状态，这只是表明用户成功的通过了认证。

这个方法很重要, 在后台用request.user.is_authenticated()判断用户是否已经登录，如果true则可以向前台展示request.user.name。

request.user.is_authenticated()  # 验证合法返回True，否则返回False

login_required()

auth 给我们提供的一个装饰器工具，用来快捷的给某个视图添加登录校验。

用法：

from django.contrib.auth.decorators import login_required
      
@login_required
def home(request):
    return redirecter("login")

用户登录使用实例

1. 用户登陆后才能访问某些页面，

2. 如果用户没有登录就访问该页面的话直接跳到登录页面

3. 用户在跳转的登陆界面中完成登陆后，自动访问跳转到之前访问的地址

方法一：通过is_authenticated方法验证

from 项目名 import settings
def home(request):
    if request.user.is_authenticated():
        return render(request,'home.html')
    else：
        return redirect('%s?next=%s' % (settings.LOGIN_URL, request.path))

方法二：通过django自带装饰器验证

auth 给我们提供的一个装饰器工具，用来快捷的给某个视图添加登录校验。

from django.contrib.auth.decorators import login_required
@login_required
def home(request):
    return render(request,'home.html')

若用户没有登录，则会跳转到django默认的 登录URL '/accounts/login/ ' 并传递当前访问url的绝对路径 (登陆成功后，会重定向到该路径)。

如果需要重定向到自定义登录的URL，则需要在settings.py文件中通过LOGIN_URL进行修改。

LOGIN_URL = '/login/'

create_user()

auth 提供的一个创建新用户的方法，需要提供必要参数（username、password）等。

用法：

from django.contrib.auth.models import User
def register(request):
    user = User.objects.create_user（username='用户名',password='密码',email='邮箱',...）
    return HttpResponse("注册成功")

check_password(raw_password)（了解）

auth 提供的一个检查密码是否正确的方法，需要提供当前请求用户的密码。密码正确返回True，否则返回False。

用法：校验密码

ok = user_obj.check_password('密码')

直接针对当前请求的user对象校验原密码是否正确

ok = request.user.check_password(raw_password='原密码')

set_password(raw_password)

auth提供的一个修改密码的方法，接收要设置的新密码作为参数。

注意：设置完一定要调用用户对象的save方法！！！

user_obj.set_password('新密码')  #user_obj其实就是request.user
user_obj.save()                 #request.user.save()

使用实例

def set_password(request):
    request.user.set_password(666)  # 设置用户密码
    request.user.save()  # 保存到数据库
​
    return redirect('login')

2.user对象的属性

user_obj能够拿到认证所用用户表的数据属性，比如username， password等。

常用属性：

• is_staff ： 用户是否拥有网站的管理权限.

• is_active ： 是否允许用户登录, 设置为 False，可以在不删除用户的前提下禁止用户登录。

三、扩展默认的auth_user表

1.扩展auth_user表方法

当我们想使用内置系统，但是auth_user表中的字段都是固定的，我们在项目中没法拿来直接使用。这个时候我们可以扩展auth_user表来使用。

扩展auth_user表共有两种方法：

1. 新建一张表，通过一对一的方式与内置的auth_user表关联。

2. 继承内置的AbstractUser类，定义一个自己的Model类，django会给我们自动创建一张user表，这张表可以使用auth模块。

通过继承来扩展auth_user表

from django.contrib.auth.models import AbstractUser
class UserInfo(AbstractUser):
    """
    用户信息表
    """
    nid = models.AutoField(primary_key=True)
    phone = models.CharField(max_length=11, null=True, unique=True)
    
    def __str__(self):
        return self.username

注意：

• UserInfo表里不需要有auth_user里重复的字段，如username和password，但是可以直接使用这些字段，并且Django会自动将password加密。

• 按上述方法扩展内置的auth_user表后，一定要在settings.py中配置，让Django使用我们新定义的UserInfo表用户认证。

# 引用Django自带的User表，继承使用时需要设置,这样django就知道从我们的app名的应用下的models文件中去查找UserInfo这张表了
AUTH_USER_MODEL = "app名.UserInfo"

自定义认证系统默认使用的数据表之后，我们就可以像使用默认的auth_user表那样使用我们的UserInfo表进行django中的认证。

创建普通用户

models.UserInfo.objects.create_user(username='用户名', password='密码')

创建超级用户

models.UserInfo.objects.create_superuser(username='用户名', password='密码')