Django使用者認證系統
Django作為一個完美主義者的終極框架,當然也會想到使用者的這些痛點。它內建了強大的使用者認證系統--auth,它預設使用 auth_user 表來儲存使用者資料。
建立超級使用者
1 python manage.py createsuperuser 2 # 設定賬戶和密碼View Code
進入admin視窗,輸入賬戶和密碼
fromdjango.contrib import auth
authenticate()認證 校驗和密碼驗證
提供了使用者認證功能,即驗證使用者名稱以及密碼是否正確,一般需要username 、password兩個關鍵字引數。
如果認證成功(使用者名稱和密碼正確有效),便會返回一個 User 物件。
authenticate()會在該 User 物件上設定一個屬性來標識後端已經認證了該使用者,且該資訊在後續的登入過程中是需要的。
用法:
1 user = auth.authenticate(request,username='theuser',password='thepassword')
該函式接受一個HttpRequest物件,以及一個經過認證的User物件。
該函式實現一個使用者登入的功能。它本質上會在後端為該使用者生成相關session資料。
用法:
def login(request): # form_obj = RegForm() if request.method == 'POST': username = request.POST.get('username') password = request.POST.get('password') obj = auth.authenticate(request, username=username, password=password) # print(obj) # print(obj, type(obj)) # 如果校驗成功,就登入成功 if obj: # 記錄登入狀態 auth.login(request, obj) return redirect('/index/') return render(request, 'login.html')
auth 給我們提供的一個裝飾器工具,用來快捷的給某個檢視新增登入校驗。
用法:
# 跳轉頁面 @login_required() # 加裝飾器,讓頁面只能登入之後跳轉 def index(request): return render(request, 'index.html')
若使用者沒有登入,則會跳轉到django預設的 登入URL '/accounts/login/ ' 並傳遞當前訪問url的絕對路徑 (登陸成功後,會重定向到該路徑)。
如果需要自定義登入的URL,則需要在settings.py檔案中通過LOGIN_URL進行修改。
示例:
LOGIN_URL = '/login/' # 這裡配置成你專案登入頁面的路由
該函式接受一個HttpRequest物件,無返回值。
當呼叫該函式時,當前請求的session資訊會全部清除。該使用者即使沒有登入,使用該函式也不會報錯。
用法:
# 登出頁面 def logout(request): auth.logout(request) # 登出的方法,就是刪除session資料 return redirect('/login/') # 登出之後跳轉到登入頁面
用來判斷當前請求是否通過了認證。
用法:
# 跳轉頁面 # @login_required() # 加裝飾器,讓頁面只能登入之後跳轉 def index(request): # 登入之後的狀態放在user中 print(request.user.is_authenticated()) # 判斷登入狀態,匿名物件沒有認證返回False return render(request, 'index.html')
auth 提供的一個建立新使用者的方法,需要提供必要引數(username、password)等。
用法:
# 註冊使用者 def register(request): form_obj = RegForm() if request.method == 'POST': form_obj = RegForm(request.POST) if form_obj.is_valid(): form_obj.cleaned_data.pop('re_password') # 刪除第二次校驗的密碼 User.objects.create_user(**form_obj.cleaned_data) # 將資料存入資料 return redirect('/login/')
# 註冊使用者 def register(request): form_obj = RegForm() if request.method == 'POST': form_obj = RegForm(request.POST) if form_obj.is_valid(): form_obj.cleaned_data.pop('re_password') # 刪除第二次校驗的密碼 # 建立超級使用者,必須要有email User.objects.create_superuser(email='', **form_obj.cleaned_data) return redirect('/login/')
auth 提供的一個檢查密碼是否正確的方法,需要提供當前請求使用者的密碼。
密碼正確返回True,否則返回False。
用法:
print(request.user.check_password('11111111')) # 判斷密碼是否正確 # 返回True或者False
auth 提供的一個修改密碼的方法,接收 要設定的新密碼 作為引數。
注意:設定完一定要呼叫使用者物件的save方法!!!
用法:
print(request.user.check_password('11111111')) # 判斷密碼是否正確 if request.user.check_password('11111111'): request.user.set_password('22222222') # 修改之後的新密碼 request.user.save() # 更新到資料庫
User對像屬性: username, password
is_staff: 使用者是否擁有網站的管理許可權
is_active: 是否允許使用者登入,設定為False,可以在不刪除使用者的前提下禁止使用者登入
email: 使用者郵箱,超級使用者必須設定預設值必須有郵箱
擴充套件預設的auth_user表
這內建的認證系統這麼好用,但是auth_user表字段都是固定的那幾個,我在專案中沒法拿來直接使用啊!
比如,我想要加一個儲存使用者手機號的欄位,怎麼辦?
聰明的你可能會想到新建另外一張表然後通過一對一和內建的auth_user表關聯,這樣雖然能滿足要求但是有沒有更好的實現方式呢?
答案是當然有了。
我們可以通過繼承內建的 AbstractUser 類,來定義一個自己的Model類。
這樣既能根據專案需求靈活的設計使用者表,又能使用Django強大的認證系統了。
from django.db import models from django.contrib.auth.models import AbstractUser # 繼承AbstractUser class UserInfo(AbstractUser): phone = models.CharField(max_length=11,)
按上面的方式擴充套件了內建的auth_user表之後,一定要在settings.py中告訴Django,我現在使用我新定義的UserInfo表來做使用者認證。寫法如下:
# 引用Django自帶的User表,繼承使用時需要設定 AUTH_USER_MODEL = "app01.UserInfo"
一旦我們指定了新的認證系統所使用的表,我們就需要重新在資料庫中建立該表,而不能繼續使用原來預設的auth_user表了。