2. 程式人生 > >自定義Django認證系統的技術方案

自定義Django認證系統的技術方案

阿新 發佈:2020-12-13
Django已經提供了開箱即用的認證系統,但是可能並不滿足我們的個性化需求。自定義認證系統需要知道哪些地方可以擴充套件,哪些地方可以替換。本文就來介紹自定義Django認證系統的相關技術細節。 # 自定義認證後端 ## AUTHENTICATION_BACKENDS Django預設認證後端為: ```python ['django.contrib.auth.backends.ModelBackend'] ``` 可以在`settings.py`中配置AUTHENTICATION_BACKENDS為自定義的認證後端,其本質是Python class,在呼叫`django.contrib.auth.authenticate()`時會進行遍歷: ```python def authenticate(request=None, **credentials): """ If the given credentials are valid, return a User object. """ for backend, backend_path in _get_backends(return_tuples=True): backend_signature = inspect.signature(backend.authenticate) try: backend_signature.bind(request, **credentials) except TypeError: # This backend doesn't accept these credentials as arguments. Try the next one. continue try: user = backend.authenticate(request, **credentials) except PermissionDenied: # This backend says to stop in our tracks - this user should not be allowed in at all. break if user is None: continue # Annotate the user object with the path of the backend. user.backend = backend_path return user # The credentials supplied are invalid to all backends, fire signal user_login_failed.send(sender=__name__, credentials=_clean_credentials(credentials), request=request) ``` 列表中的認證後端是有先後順序的,Django會依次進行認證,只要有後端認證成功,就會結束認證,如果有後端丟擲PermissionDenied異常,也會停止認證。 > 如果修改了認證後端,想要使用者重新認證,那麼需要呼叫`Session.objects.all().delete()`清除session資料,因為session中會快取已認證過的認證後端。 ## 編寫認證後端 先看看預設認證後端的原始碼片段: ```python class ModelBackend(BaseBackend): """ Authenticates against settings.AUTH_USER_MODEL. """ def authenticate(self, request, username=None, password=None, **kwargs): if username is None: username = kwargs.get(UserModel.USERNAME_FIELD) if username is None or password is None: return try: user = UserModel._default_manager.get_by_natural_key(username) except UserModel.DoesNotExist: # Run the default password hasher once to reduce the timing # difference between an existing and a nonexistent user (#20760). UserModel().set_password(password) else: if user.check_password(password) and self.user_can_authenticate(user): return user ... def get_user(self, user_id): try: user = UserModel._default_manager.get(pk=user_id) except UserModel.DoesNotExist: return None return user if self.user_can_authenticate(user) else None ``` 總結一下: 1. 繼承BaseBackend。 2. 實現了`authenticate()`。(backend也有個authenticate方法,跟`django.contrib.auth.authenticate()`不一樣哦)`authenticate(request=None, **credentials)`方法的第一個入參是`request`,可為空,第二個入參是credentials(使用者憑證如使用者名稱、密碼),示例: ```python from django.contrib.auth.backends import BaseBackend class MyBackend(BaseBackend): def authenticate(self, request, username=None, password=None): # Check the username/password and return a user. ... ``` 使用者憑證也可以是token: ```python from django.contrib.auth.backends import BaseBackend class MyBackend(BaseBackend): def authenticate(self, request, token=None): # Check the token and return a user. ... ``` 如果認證成功就返回User物件,如果認證失敗就返回None。 3. 實現了`get_user()`。`get_user(user_id)`方法入參是user_id,可以是username/資料庫ID等,必須是User的主鍵,返回值為User物件或者None。 我們試著來編寫一個認證後端,為了演示效果,我們不用客戶端伺服器模式,而是在`settings.py`檔案中增加2個配置,然後用我們自定義的認證後端進行認證,程式碼如下: ```python from django.conf import settings from django.contrib.auth.backends import BaseBackend from django.contrib.auth.hashers import check_password from django.contrib.auth.models import User class SettingsBackend(BaseBackend): """ 認證settings中ADMIN_LOGIN和ADMIN_PASSWORD變數,比如: ADMIN_LOGIN = 'admin' ADMIN_PASSWORD = 'pbkdf2_sha256$30000$Vo0VlMnkR4Bk$qEvtdyZRWTcOsCnI/oQ7fVOu1XAURIZYoOZ3iq8Dr4M=' """ def authenticate(self, request, username=None, password=None): login_valid = (settings.ADMIN_LOGIN == username) pwd_valid = check_password(password, settings.ADMIN_PASSWORD) if login_valid and pwd_valid: try: user = User.objects.get(username=username) except User.DoesNotExist: # 建立一個新使用者 user = User(username=username) user.is_staff = True user.is_superuser = True user.save() return user return None def get_user(self, user_id): try: return User.objects.get(pk=user_id) except User.DoesNotExist: return None ``` ## 自定義認證後端授權 認證後端可以重寫方法`get_user_permissions()`, `get_group_permissions()`, `get_all_permissions()`, `has_perm()`, `has_module_perms()`, `with_perm()`來實現授權。示例: ```python from django.contrib.auth.backends import BaseBackend class MagicAdminBackend(BaseBackend): def has_perm(self, user_obj, perm, obj=None): # 如果是超管,就會獲得所有許可權,因為不管perm是什麼,都返回True return user_obj.username == settings.ADMIN_LOGIN ``` 可以根據業務編寫具體的判斷邏輯,給不同使用者/組授予不同許可權。 > user_obj可以是django.contrib.auth.models.AnonymousUser,用來給匿名使用者授予某些許可權。 > User有個is_active欄位,ModelBackend和RemoteUserBackend不能給is_active=False的使用者授權,如果想授權,可以使用AllowAllUsersModelBackend或AllowAllUsersRemoteUserBackend。 # 自定義新許可權 除了增刪改查許可權,有時我們需要更多的許可權,例如,為myapp中的BlogPost建立一個can_publish許可權: **方法1 meta中配置** ```python class BlogPost(models.Model):     ...     class Meta:         permissions = (             ("can_publish", "Can Publish Posts"),         ) ``` **方法2 使用`create()`函式** ```python from myapp.models import BlogPost from django.contrib.auth.models import Permission from django.contrib.contenttypes.models import ContentType content_type = ContentType.objects.get_for_model(BlogPost) permission = Permission.objects.create( codename='can_publish', name='Can Publish Posts', content_type=content_type, ) ``` 在使用`python manage.py migrate`命令後,就會建立這個新許可權,接著就可以在view中編寫程式碼判斷使用者是否有這個許可權來決定能否發表文章。 # 擴充套件User模型 ## 代理模型 如果不需要修改表結構,只擴充套件行為,那麼可以使用代理模型。示例: ```python from django.contrib.auth.models import User class MyUser(User): class Meta: proxy = True def do_something(self): # ... pass ``` ## OneToOneField 如果需要擴充套件欄位,那麼可以使用OneToOneField。示例: ```python from django.contrib.auth.models import User class Employee(models.Model): user = models.OneToOneField(User, on_delete=models.CASCADE) department = models.CharField(max_length=100) ``` 這樣會新增一張表: ```mysql CREATE TABLE `user_employee` ( `id` int(11) NOT NULL AUTO_INCREMENT, `department` varchar(100) COLLATE utf8mb4_unicode_ci NOT NULL, `user_id` int(11) NOT NULL, PRIMARY KEY (`id`), UNIQUE KEY `user_id` (`user_id`), CONSTRAINT `user_employee_user_id_9b2edd10_fk_auth_user_id` FOREIGN KEY (`user_id`) REFERENCES `auth_user` (`id`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci; ``` 在程式碼中使用User也能訪問到Employee的屬性: ``` >>> u = User.objects.get(username='fsmith') >>> freds_department = u.employee.department ``` > 雖然這種方式能實現擴充套件,但是OneToOneField會增加資料庫查詢的複雜度,加重資料庫處理負擔,並不建議採用。 # 替換User模型 新版Django的推薦做法是,如果不想用預設User模型,那麼就把它替換掉。Django除了User模型,還有2個抽象模型AbstractUser和AbstractBaseUser,從原始碼中可以看到它們的繼承關係: ```python class User(AbstractUser): class AbstractUser(AbstractBaseUser, PermissionsMixin): class AbstractBaseUser(models.Model): ``` 為什麼不用User模型,還要做2個抽象模型呢?這是因為一般繼承有2個用途,一是繼承父類的屬性和方法,並做出自己的改變或擴充套件,實現程式碼重用。但是這種方式會導致子類也包含了父類的實現程式碼,程式碼強耦合,所以實踐中不會這麼做。而是採用第二種方式,把共性的內容抽象出來,只定義屬性和方法,不提供具體實現(如java中的介面類),並且只能被繼承,不能被例項化。AbstractUser和AbstractBaseUser就是對User的不同程度的抽象,AbstractUser是User的完整實現,可用於擴充套件User,AbstractBaseUser是高度抽象,可用於完全自定義User。 ## 繼承AbstractUser 除了代理模型和OneToOneField,擴充套件User的新方式是定義新的MyUser並繼承AbstractUser,把User替換掉,再新增額外資訊。具體操作步驟我們通過示例來了解: > 替換User最好是建立專案後,首次`python manage.py migrate`前,就進行替換,否則資料庫的表已經生成,再中途替換,會有各種各樣的依賴問題,只能手動解決。 第一步,myapp.models中新建MyUser,繼承AbstractUser: ```python from django.contrib.auth.models import AbstractUser class MyUser(AbstractUser): pass ``` 第二步,`settings.py`中配置AUTH_USER_MODEL,指定新的使用者模型: ``` AUTH_USER_MODEL = 'myapp.MyUser' ``` 第三步,`settings.py`中配置INSTALLED_APPS: ```python INSTALLED_APPS = [ 'django.contrib.admin', 'django.contrib.auth', 'django.contrib.contenttypes', 'django.contrib.sessions', 'django.contrib.messages', 'django.contrib.staticfiles', 'myapp.apps.MyappConfig' # 新增 ] ``` 第四步(可選),如果需要使用Django自帶管理後臺,那麼要在`admin.py`中註冊: ```python from django.contrib import admin from django.contrib.auth.admin import UserAdmin from .models import MyUser admin.site.register(MyUser, UserAdmin) ``` 我們看下資料庫中的效果,提交資料遷移: ```python python manage.py makemigrations ``` 執行資料遷移: ```python python manage.py migrate ``` 從表能看出來,預設User已經替換為MyUser了:
替換之後,就可以進行擴充套件了。比如自定義表名: ```python from django.contrib.auth.models import AbstractUser class MyUser(AbstractUser): class Meta: db_table = "user" pass ``` > 替換User後,就不能直接引用`django.contrib.auth.models.User`了,可以使用`get_user_model()`函式或者`settings.AUTH_USER_MODEL`。 > ## 繼承AbstractBaseUser 繼承AbstractUser只能做擴充套件,如果我們想完全自定義使用者模型,那麼就需要繼承AbstractBaseUser,再重寫屬性和方法。 **USERNAME_FIELD** USERNAME_FIELD是使用者模型的唯一識別符號,不一定是username,也可以是email、phone等。 >
唯一識別符號是Django認證後端的要求,如果你實現了自定義認證後端,那麼也可以用非唯一識別符號作為USERNAME_FIELD。 我們可以參考AbstractUser的實現: ```python username = models.CharField( _('username'), max_length=150, unique=True, help_text=_('Required. 150 characters or fewer. Letters, digits and @/./+/-/_ only.'), validators=[username_validator], error_messages={ 'unique': _("A user with that username already exists."), }, ) USERNAME_FIELD = 'username' ``` 修改為自定義: ```python class MyUser(AbstractBaseUser): identifier = models.CharField(max_length=40, unique=True) ... USERNAME_FIELD = 'identifier' ``` **EMAIL_FIELD** 參考AbstractUser的實現: ```python email = models.EmailField(_('email address'), blank=True) EMAIL_FIELD = 'email' ``` **REQUIRED_FIELDS** REQUIRED_FIELDS是指必填欄位。參考AbstractUser的實現: ```python REQUIRED_FIELDS = ['email'] ``` 這表示email是必填的,在使用`createsuperuser`命令時,會提示必須輸入。 修改為自定義: ```python class MyUser(AbstractBaseUser): ... date_of_birth = models.DateField() height = models.FloatField() ... REQUIRED_FIELDS = ['date_of_birth', 'height'] ``` >
不需要再填USERNAME_FIELD和password,因為Django已經預設包含了,只需要填其他欄位即可。 > **is_active** 可以用來做軟刪(不刪除資料而是把is_active置為False)。參考AbstractUser的實現: ```python is_active = models.BooleanField( _('active'), default=True, help_text=_( 'Designates whether this user should be treated as active. ' 'Unselect this instead of deleting accounts.' ), ) ``` **get_full_name()** 參考AbstractUser的實現: ```python def get_full_name(self): """ Return the first_name plus the last_name, with a space in between. """ full_name = '%s %s' % (self.first_name, self.last_name) return full_name.strip() ``` **get_short_name()** 參考AbstractUser的實現: ```python def get_short_name(self): """Return the short name for the user.""" return self.first_name ``` 更多屬性和方法請看原始碼。 > 檢視原始碼的方法:在`from django.contrib.auth.models import AbstractBaseUser`程式碼上,按住`CTRL`點選`AbstractBaseUser`即可。 ## 重寫manager 如果自定義使用者模型改變了username, email, is_staff, is_active, is_superuser, last_login, and date_joined欄位,那麼可能需要繼承BaseUserManager,並重寫以下2個方法: `create_user(username_field, password=None, **other_fields)` `create_user(username_field, password=None, **other_fields)` 示例: ```python from django.contrib.auth.models import BaseUserManager class CustomUserManager(BaseUserManager): def create_user(self, email, date_of_birth, password=None): # create user here ... def create_superuser(self, email, date_of_birth, password=None): # create superuser here ... ``` ## 重寫許可權 從AbstractUser的定義可以看到是繼承了PermissionsMixin類的: ```python class AbstractUser(AbstractBaseUser, PermissionsMixin): ``` 所以重寫許可權就是重寫PermissionsMixin的屬性和方法,如get_user_permissions()、has_perm()等。 ## 一個完整示例 我們把email作為USERNAME_FIELD,並且讓date_of_birth必填。 **models.py** ```python from django.db import models from django.contrib.auth.models import ( BaseUserManager, AbstractBaseUser ) class MyUserManager(BaseUserManager): def create_user(self, email, date_of_birth, password=None): """ Creates and saves a User with the given email, date of birth and password. """ if not email: raise ValueError('Users must have an email address') user = self.model( email=self.normalize_email(email), date_of_birth=date_of_birth, ) user.set_password(password) user.save(using=self._db) return user def create_superuser(self, email, date_of_birth, password=None): """ Creates and saves a superuser with the given email, date of birth and password. """ user = self.create_user( email, password=password, date_of_birth=date_of_birth, ) user.is_admin = True user.save(using=self._db) return user class MyUser(AbstractBaseUser): email = models.EmailField( verbose_name='email address', max_length=255, unique=True, ) date_of_birth = models.DateField() is_active = models.BooleanField(default=True) is_admin = models.BooleanField(default=False) objects = MyUserManager() USERNAME_FIELD = 'email' REQUIRED_FIELDS = ['date_of_birth'] def __str__(self): return self.email def has_perm(self, perm, obj=None): "Does the user have a specific permission?" # Simplest possible answer: Yes, always return True def has_module_perms(self, app_label): "Does the user have permissions to view the app `app_label`?" # Simplest possible answer: Yes, always return True @property def is_staff(self): "Is the user a member of staff?" # Simplest possible answer: All admins are staff return self.is_admin ``` 不要忘了在settings.py中修改AUTH_USER_MODEL哦: ```python AUTH_USER_MODEL = 'customauth.MyUser' ``` # 東方說 純技術文太單調,不如來點小吐槽。寫了這2篇關於Django認證系統的文章,明白了以前似懂非懂的技術細節。如果平時有需求想自己做個小網站,完全可以用Django來快速實現後端,開箱即用還是有點香。Template和Form不屬於前後端分離的技術,在學習時可以選擇性跳過。公眾號後臺回覆“加群”,“Python互助討論群”歡迎你。 > 參考資料: > > https://docs.djangoproject.com/en/3.1/topics/auth/custo

相關推薦

定義Django認證系統技術方案

Django已經提供了開箱即用的認證系統,但是可能並不滿足我們的個性化需求。自定義認證系統需要知道哪些地方可以擴充套件,哪些地方可以替換。本文就來介紹自定義Django認證系統的相關技術細節。 # 自定義認證後端 ## AUTHENTICATION_BACKENDS Django預設認證後端為: ``

django認證系統實現定義許可權管理

本文記錄使用django自帶的認證系統實現自定義的許可權管理系統,包含組許可權、使用者許可權等實現。 0x01. django認證系統 django自帶的認證系統能夠很好的實現如登入、登出、建立使用者、建立超級使用者、修改密碼等複雜操作,並且實現了使用者

Django帶的認證系統

直接 接收 als 修改 避免 name app名 return 超級 目錄 Django自帶的用戶認證 auth模塊 authenticate() login(HttpRequest, user)  logout(request) is_authenticated()

Django 框架篇(十): django帶的認證系統

sage 以及 fff 管理權限 sheng model .post html 完美 Django自帶的用戶認證 我們在開發一個網站的時候,無可避免的需要設計實現網站的用戶系統。此時我們需要實現包括用戶註冊、用戶登錄、用戶認證、註銷、修改密碼等功能,這還真是個麻煩的事情呢

django定義使用者認證後進不了帶有@login_required的頁面

介紹下我的配置 setting中: AUTHENTICATION_BACKENDS = (xx.yy.zz) #這是自定義backend的路徑,其中zz是類名 view中: auth.login(request, user, backend='zzz') 按理說log

05 - Django帶的認證系統

Django自帶的使用者認證 我們在開發一個網站的時候,無可避免的需要設計實現網站的使用者系統。此時我們需要實現包括使用者註冊、使用者登入、使用者認證、登出、修改密碼等功能,這還真是個麻煩的事情呢。 Django作為一個完美主義者的終極框架,當然也會想到使用者的這些痛點。它內建了強大的使用者認證系統--a

django配合mysql定義後臺管理系統

建立django專案後,建立元件manage安裝pymysql,pip install pymysql並修改檔案__init__.pyimport pymysql pymysql.install_as_MySQLdb()找到setting.py,修改設定DATABASES =

ApiController實現定義身份認證

del api color span () log list() etc serialize 1 /// <summary> 2 /// 身份認證 3 /// </summary> 4 public class Au

Django認證系統

value alias 實現 改密碼 過期 gin 讀取 obj httponly 一、cookie和session 由於HTTP協議無法保存一次連接的狀態信息,而實際應用中我i們又需要知道連接另一端的客戶端的身份,於是就誕生了cookie,cookie的工作原

Django 認證系統

tro rec 是否 cnblogs span session nag ref 舉例 實現認證系統的兩種方法概述 1. 使用cookie和session的步驟 簡要 步驟: 1.設置session requset.session[‘自定義一個名字‘]=值 2.

Django:認證系統

ida 自身 authent rom page 屬於 message 擁有 redirect 一,cookie和session cookie不屬於http協議範圍,由於http協議無法保持狀態,但實際情況,我們卻又需要“保持狀態”,因此cookie就是在這樣一個場景下誕生。

Java類載入器( CLassLoader ) 死磕5: 定義一個檔案系統的classLoader

【正文】Java類載入器(  CLassLoader ) 死磕5:  自定義一個檔案系統classLoader 本小節目錄 5.1. 自定義類載入器的基本流程 5.2. 入門案例:自定義檔案系統類載入器 5.3. 案例的環境配置 5.4 FileClassLoader 案例實現步驟 5

定義 Django的User Model,擴充套件 AbstractUser類注意事項

本篇主要討論一下User Model的使用技巧. 注意, 由於Django 1.5之後user model帶來了很大的變化, 本篇內容只針對django 1.5之後的版本. 1. 確定 User Model 我們推薦一下方式來確定某一django專案使用的user mode

西遊之路——python全棧——定義使用者認證

  django自定義使用者認證(使用自定義的UserProfile,而不是django自帶的),就需要(django要求)將為UserProfile單獨建立一個app,這個app啥也不幹,就是為UserProfile而生的;   這裡我們建立一個app,名字叫做custom_auth,事實上,我們只需要對

【Python web 開發】定義使用者認證函式

自定義 使用者認證類,記得之前在mxonline 裡面做過, 主要思路是:  第一步:在seeting 裡面設定自定義的backends    第二步:在user views 裡面寫檢視函式 自定義使用者認證函式要繼承ModelBackend,並且要重寫

定義django儲存類

自定義檔案儲存系統 from django.core.files.storage import Storage from fdfs_client.client import Fdfs_client from django.conf import settings

FastDFS客戶端與定義檔案儲存系統

1. FastDFS的Python客戶端 安裝 安裝提供給大家的fdfs_client-py-master.zip到虛擬環境中 pip install fdfs_client-py-master.zip pip install mutagen pip install

定義記憶體檢測原理及方案

在專案開發中,或多或少都會遇到一些記憶體洩露的問題,今天就來總結下檢測記憶體洩露的原理及其方法 1 將使用的系統的動態申請/釋放記憶體的函式重新過載實現一遍,如new、delete、malloc、fre

定義Django過濾器標籤

django的過濾器很多,自帶的過濾器能滿足我們絕大部分的工作要求,但是當我們有特別的需求的時候就需要自定義了。 建立templatetags資料夾 注意,這個資料夾的名字是唯一的,不能更改成其他

使用使用Django認證系統之建立users

建立users: Django 從開始就帶有一個使用者認證系統,它處理使用者賬號,組,許可權以及基於cookie的永不會話 Python 2.7.3 (default, Mar 30 2017, 20:15:12) [GCC 4.4.7 20120313 (Red H