Django的用户认证组件
一、使用用户认证组件的前提
功能:用session记录登录验证状态。
用户表:使用Django自带的auth_user表,即用户认证组件表。
创建超级用户:python3 manage.py createsuperuser
创建普通用户:python3 manage.py createuser
1、重点API
from django.contrib import auth:
1、if 验证成功返回user对象,否则返回None
user = auth.authenticate(username=user, password = pwd)
2、auth.login(request, user) # request.user当前登录对象
3、auth.logout(request)
from django.contrib。auth.models import User # User == auth_user
4、request.user.is_authenticated()
5、user = User.objects.create_user(username='', password='',email='')
2、匿名用户对象
"""
匿名用户
class models.AnonymousUser
django.contrib.auth.models.AnonymousUser 类实现了django.contrib.auth.models.User 接口,但具有下面几个不同点:
id 永远为None。
username 永远为空字符串。
get_username() 永远返回空字符串。
is_staff 和 is_superuser 永远为False。
is_active 永远为 False。
groups 和 user_permissions 永远为空。
is_anonymous() 返回True 而不是False。
is_authenticated() 返回False 而不是True。
set_password()、check_password()、save() 和delete() 引发 NotImplementedError。
New in Django 1.8:
新增 AnonymousUser.get_username() 以更好地模拟 django.contrib.auth.models.User。
"""
二、auth模块
# 在视图中引入auth模块 from django.contrib import auth
1、authenticate()
authenticate()方法提供了用户认证,即验证用户名以及密码是否正确,一般需要username password两个关键字参数。
如果认证信息有效,会返回一个 User 对象;如果认证失败,则返回None。authenticate()会在User 对象上设置一个属性标识那种认证后端认证了该用户,且该信息在后面的登录过程中是需要的。当我们试图登陆一个从数据库中直接取出来不经过authenticate()的User对象会报错的!!
from django.shortcuts import render
# Create your views here.
from django.contrib import auth
def login(request):
if request.method == "POST":
user = request.POST.get("user")
pwd = request.POST.get("pwd")
# 如果验证成功返回user对象,否则返回None
user = auth.authenticate(username=user,password=pwd)
return render(request, "login.html")
2、login(HttpRequest, user)
login函数的参数:该函数接受一个HttpRequest对象,以及一个认证了的User对象
此函数使用django的session框架给某个已认证的用户附加上session id等信息。
from django.shortcuts import render, HttpResponse, redirect
# Create your views here.
from django.contrib import auth
def login(request):
if request.method == "POST":
user = request.POST.get("user")
pwd = request.POST.get("pwd")
# 如果验证成功返回user对象,否则返回None
user = auth.authenticate(username=user, password=pwd)
if user:
auth.login(request, user) # request.user:当前登录对象
return redirect("/index/")
return render(request, "login.html")
request.user是全局变量,在任何视图和模板中可以直接使用(这也是这套用户认证最大的优点)。
在没有通过登录验证的情况下为匿名用户。因此可以根据匿名用户特点判断是否登录验证通过,同时也可以直接通过{{request.user.username}}在模板中显示用户名。
但在经过auth.login(request, user) 后为登录对象。
def index(request):
print("request.user", request.user) # AnonymousUser 匿名用户
# 没有登录验证过即匿名用户
print("request.user", request.user.username) # 返回空字符串
print("request.user", request.user.id) # 返回None
print("request.user", request.user.is_anonymous) # 返回 True
# request.user是全局变量
if request.user.is_anonymous:
return redirect("/login/")
# 给模板中传入username
# username = request.user.username
# return render(request, "index.html", {"username": username}) # 模板中通过{{ username }}取到用户名
# 改写为:
return render(request, "index.html") # 模板中通过{{ request.user.username }}就可以取到用户名
3、logout(request)注销用户
def logout(request):
auth.logout(request) # 主要就是做了一个request.session.flush()
return redirect("/login/")
该函数接受一个HttpRequest对象,无返回值。当调用该函数时,当前请求的session信息会全部清除。该用户即使没有登录,使用该函数也不会报错。
三、User对象
User 对象属性:username, password(必填项)password用哈希算法保存到数据库 。
1、user对象的 is_authenticated()
user.is_authenticated:如果是真正的 User 对象,返回值恒为 True 。 用于检查用户是否已经通过了认证。
通过认证并不意味着用户拥有任何权限,甚至也不检查该用户是否处于激活状态,这只是表明用户成功的通过了认证。 这个方法很重要, 在后台用request.user.is_authenticated判断用户是否已经登录,如果true则可以向前台展示request.user.name。
要求:
1 用户登陆后才能访问某些页面,
2 如果用户没有登录就访问该页面的话直接跳到登录页面
3 用户在跳转的登陆界面中完成登陆后,自动访问跳转到之前访问的地址
方法1:
def index(request):
# if request.user.is_anonymous:
# 改写为:
if not request.user.is_authenticated:
return redirect("/login/")
return render(request, "index.html") # 模板中通过{{ request.user.username }}就可以取到用户名
方法2:
django设计的一个专门用于这种情况的装饰器:login_required()
from django.contrib.auth.decorators import login_required
@login_required
def index(request):
return render(request, "index.html")
@login_required
def order(request):
return render(request, "order.html")
若用户没有登录,则会跳转到django默认的登录URL '/accounts/login/ ' (这个值可以在settings文件中通过LOGIN_URL进行修改)。
STATIC_URL = '/static/' LOGIN_URL = "/login/" # 不配这个访问index会跳转到,http://127.0.0.1:8000/accounts/login/?next=/index/
修改后,用户访问.../order/和.../index/页面时,会跳转到login页面,同时会传递当前访问url的绝对路径(登录成功后,会重定向到该路径)。
代码示例整体如下:
from django.shortcuts import render, HttpResponse, redirect
# Create your views here.
from django.contrib import auth
from django.contrib.auth.models import User
from django.contrib.auth.decorators import login_required
def login(request):
if request.method == "POST":
user = request.POST.get("user")
pwd = request.POST.get("pwd")
# 如果验证成功返回user对象,否则返回None
user = auth.authenticate(username=user, password=pwd)
if user:
auth.login(request, user) # request.user:当前登录对象
next_url = request.GET.get("next", "/index/") # 登录成功跳转的url,如果取不到跳转首页
return redirect(next_url)
return render(request, "login.html")
@login_required
def index(request):
return render(request, "index.html") # 模板中通过{{ request.user.username }}就可以取到用户名
def logout(request):
auth.logout(request) # 主要就是做了一个request.session.flush()
return redirect("/login/")
def reg(request):
if request.method == "POST":
user = request.POST.get("user")
pwd = request.POST.get("pwd")
# 使用create_user辅助函数创建用户
user = User.objects.create_user(username=user, password=pwd)
# 注册成功跳转到登录页面
return redirect("/login/")
return render(request, "reg.html")
@login_required
def order(request):
return render(request, "order.html")
2、创建用户
使用 create_user 辅助函数创建用户:
from django.contrib.auth.models import User
def reg(request):
if request.method == "POST":
user = request.POST.get("user")
pwd = request.POST.get("pwd")
# 不能用下面这个方法插入:
# User.objects.create(username=user, password=pwd)
# 使用create_user辅助函数创建用户
user = User.objects.create_user(username=user, password=pwd)
# 注册成功跳转到登录页面
return redirect("/login")
return render(request, "reg.html")
3、check_password(passwd)
用户需要修改密码的时候 首先要让他输入原来的密码 ,如果给定的字符串通过了密码检查,返回 True.
4、修改密码
使用 set_password() 来修改密码:
user = User.objects.get(username='') user.set_password(password='') user.save
5、简单示例
(1)注册:
def sign_up(request):
state = None
if request.method == 'POST':
password = request.POST.get('password', '')
repeat_password = request.POST.get('repeat_password', '')
email=request.POST.get('email', '')
username = request.POST.get('username', '')
if User.objects.filter(username=username):
state = 'user_exist'
else:
new_user = User.objects.create_user(username=username, password=password,email=email)
new_user.save()
return redirect('/book/')
content = {
'state': state,
'user': None,
}
return render(request, 'sign_up.html', content)
(2)修改密码:
@login_required
def set_password(request):
user = request.user
state = None
if request.method == 'POST':
old_password = request.POST.get('old_password', '')
new_password = request.POST.get('new_password', '')
repeat_password = request.POST.get('repeat_password', '')
if user.check_password(old_password):
if not new_password:
state = 'empty'
elif new_password != repeat_password:
state = 'repeat_error'
else:
user.set_password(new_password)
user.save()
return redirect("/log_in/")
else:
state = 'password_error'
content = {
'user': user,
'state': state,
}
return render(request, 'set_password.html', content)
