溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
前言
Django自帶一個用戶認證系統,用于處理用戶賬戶、群組、許可和基于cookie的用戶會話。
Django的認證系統包含了身份驗證和權限管理兩部分。簡單地說,身份驗證用于核實某個用戶是否合法,權限管理則是決定一個合法用戶具有哪些權限。往后,‘認證'這個詞同時代指上面兩部分的含義。
Django的認證系統主要包括下面幾個部分:
類似下面的問題,不是Django認證系統的業務范圍,請使用第三方工具:
默認情況下,使用django-admin startproject命令后,認證相關的模塊已經自動添加到settings文件內了,如果沒有的話,請手動添加。
在INSTALLED_APPS配置項中添加:
在MIDDLEWARE配置項中添加:
當配置正確后,運行manage.py migrate命令,創建用戶認證系統相關的數據庫表以及分配預定義的權限。
一、用戶對象
用戶對象是Django認證系統的核心!在Django的認證框架中只有一個用戶模型也就是User模型,它位于django.contrib.auth.models。
本節內容敘述的所有功能,都是基于這個User模型的,和這個User模型沒有任何關系的自定義用戶模型是無法使用Django認證系統的功能的!
用戶模型主要有下面幾個字段:
1. 創建用戶
要創建一個新用戶,最直接的辦法是使用create_user()方法:
>>> from django.contrib.auth.models import User
>>> user = User.objects.create_user('john', 'lennon@thebeatles.com', 'johnpassword')
# 這時,user是一個User類的實例,已經保存在了數據庫內,你可以隨時修改它的屬性,例如:
>>> user.last_name = 'Lennon'
>>> user.save()
如果你已經啟用了Django的admin站點,你也可以在后臺創建用戶。
2. 創建超級用戶
使用createsuperuser命令,創建超級用戶:
$ python manage.py createsuperuser
或者
$ python manage.py createsuperuser --username=joe --email=joe@example.com
根據提示輸入名字、密碼和郵箱地址。密碼要有一定強度
3. 修改密碼
Django默認會對密碼進行加密,因此,不要企圖對密碼進行直接操作。
要修改密碼,有兩個辦法:
from django.contrib.auth.models import User
u = User.objects.get(username='john')
u.set_password('new password')
u.save()
同樣可以在admin中修改密碼。Django提供了views和forms,方便用戶自己修改密碼。 修改密碼后,用戶的所有當前會話將被注銷。
4. 用戶驗證
利用authenticate()方法,對用戶進行驗證。該方法通常接收username與password作為參數。要注意的是,認證的后端可能有好幾個,有一項認證通過則返回一個User類對象,一項都沒通過或者拋出了PermissionDenied異常,則返回一個None。例如:
from django.contrib.auth import authenticate user = authenticate(username='john', password='secret') if user is not None: # A backend authenticated the credentials else: # No backend authenticated the credentials
二、 權限與授權
Django提供了一個簡單的權限系統,并且已經用于它的admin站點,當然你也可以在你的代碼中使用。
User模型的對象有兩個多對多的字段:groups和user_permissions,可以像下面這樣訪問他們:
myuser.groups.set([group_list]) myuser.groups.add(group, group, ...) myuser.groups.remove(group, group, ...) myuser.groups.clear() myuser.user_permissions.set([permission_list]) myuser.user_permissions.add(permission, permission, ...) myuser.user_permissions.remove(permission, permission, ...) myuser.user_permissions.clear()
1. 默認權限
默認情況下,使用manage.py migrate命令時,Django會給每個已經存在的model添加默認的權限。 假設你現在有個app叫做foo,有個model叫做bar,使用下面的方式可以測試默認權限:
add: user.has_perm('foo.add_bar')
change: user.has_perm('foo.change_bar')
delete: user.has_perm('foo.delete_bar')
2. 用戶組
Django提供了一個django.contrib.auth.models.Group模型,該model可用于給用戶分組,實現批量管理。用戶和組屬于多對多的關系。用戶自動具有所屬組的所有權限。
3. 在代碼中創建權限
例如,為myapp中的BlogPost模型添加一個can_publish權限。
from myapp.models import BlogPost from django.contrib.auth.models import Permission from django.contrib.contenttypes.models import ContentType content_type = ContentType.objects.get_for_model(BlogPost) permission = Permission.objects.create( codename='can_publish', name='Can Publish Posts', content_type=content_type, )
然后,你可以通過User模型的user_permissions屬性或者Group模型的permissions屬性為用戶添加該權限。
4. 權限緩存
權限檢查后,會被緩存在用戶對象中。參考下面的例子:
from django.contrib.auth.models import Permission, User
from django.shortcuts import get_object_or_404
def user_gains_perms(request, user_id):
user = get_object_or_404(User, pk=user_id)
# any permission check will cache the current set of permissions
user.has_perm('myapp.change_bar')
permission = Permission.objects.get(codename='change_bar')
user.user_permissions.add(permission)
# Checking the cached permission set
user.has_perm('myapp.change_bar') # False
# Request new instance of User
# Be aware that user.refresh_from_db() won't clear the cache.
user = get_object_or_404(User, pk=user_id)
# Permission cache is repopulated from the database
user.has_perm('myapp.change_bar') # True
...
三、 在視圖中認證用戶
Django使用session和中間件關聯請求對象中和認證系統。
每一次請求中都包含一個request.user屬性,表示當前用戶。如果該用戶未登陸,該屬性的值是一個AnonymousUser實例(匿名用戶),如果已經登錄,該屬性就是一個User模型的實例。
可以使用is_authenticated方法進行判斷,如下:
if request.user.is_authenticated: # Do something for authenticated users. ... else: # Do something for anonymous users. ...
1. 如何登錄用戶
在視圖中,使用認證系統的login()方法登錄用戶。它接收一個HttpRequest參數和一個User對象參數。該方法會把用戶的ID保存在Django的session中。下面是一個認證和登陸的例子:
from django.contrib.auth import authenticate, login
def my_view(request):
username = request.POST['username']
password = request.POST['password']
user = authenticate(username=username, password=password)
if user is not None:
login(request, user)
# 跳轉到成功頁面
...
else:
# 返回一個非法登錄的錯誤頁面
...
2. 如何注銷用戶
logout(request)[source]:
from django.contrib.auth import logout def logout_view(request): logout(request) # Redirect to a success page.
注意,被logout的用戶如何沒登錄,不會拋出錯誤。 一旦logout,當前請求中的session數據都會被清空。
3. 限制用戶的訪問權限
很多時候,我們要區分已登錄用戶和未登錄用戶,只對登錄的用戶開放一些頁面或功能,限制未登錄用戶的行為。辦法有很多,下面是主要幾種:
1.原始的辦法:
如果用戶未登錄,重定向到登錄頁面,如下所示:
from django.conf import settings
from django.shortcuts import redirect
def my_view(request):
if not request.user.is_authenticated:
return redirect('%s?next=%s' % (settings.LOGIN_URL, request.path))
# ...
或者顯示一個錯誤信息:
from django.shortcuts import render
def my_view(request):
if not request.user.is_authenticated:
return render(request, 'myapp/login_error.html')
# ...
2. 使用裝飾器
原型:login_required(redirect_field_name='next', login_url=None)[source]
被該裝飾器裝飾的視圖,強制要求用戶必須登錄后才可以訪問。
from django.contrib.auth.decorators import login_required @login_required def my_view(request): ...
該裝飾器工作機制:
此時,默認的url中使用的參數是“next”,如果你想使用自定義的參數,請修改login_required()的redirect_field_name參數,如下所示:
from django.contrib.auth.decorators import login_required @login_required(redirect_field_name='my_redirect_field') def my_view(request): ...
如果你這么做了,你還需要重新定制登錄模板,因為它引用了redirect_field_name變量。
login_required()裝飾器還有一個可選的longin_url參數。例如:
from django.contrib.auth.decorators import login_required @login_required(login_url='/accounts/login/') def my_view(request): ...
注意:如果不指定login_url參數,請確保你的settings.LOGIN_URL和登陸視圖保持正確的關聯。例如:
from django.contrib.auth import views as auth_views url(r'^accounts/login/$', auth_views.login),
3. 使用LoginRequired mixin
通過繼承LoginRequiredMixin類的方式限制用戶。在多繼承時,該類必須是最左邊的父類。
from django.contrib.auth.mixins import LoginRequiredMixin class MyView(LoginRequiredMixin, View): login_url = '/login/' redirect_field_name = 'redirect_to'
4. 進行測試,根據結果決定動作
也可以直接在視圖中進行過濾:
from django.shortcuts import redirect
def my_view(request):
if not request.user.email.endswith('@example.com'):
return redirect('/login/?next=%s' % request.path)
# ...
上面根據用戶的郵箱地址,判斷用戶的權限。
5. 使用權限需求裝飾器
Django內置了一個permission_required()裝飾器,用戶根據用戶權限,決定視圖的訪問權限,如下所示:
from django.contrib.auth.decorators import permission_required
@permission_required('polls.can_vote')
def my_view(request):
...
權限的格式是<app label>.<permission codename>。
該裝飾器還有一個可選的longin_url參數:
from django.contrib.auth.decorators import permission_required
@permission_required('polls.can_vote', login_url='/loginpage/')
def my_view(request):
...
4. 認證視圖
Django為我們提供了一系列認證相關的視圖,可以直接拿來用,這樣你就不需要自己寫登錄、注銷、注冊等視圖。但是,但是,Django沒有為認證視圖提供默認的模板,你需要自己寫......。
所以,除非懶癌發作,還是老老實實自己寫認證相關的視圖、路由和模板吧。個人認為類似跟實際生產環境結合非常緊密的視圖,根本不需要這種雞肋的內置視圖,到最后,你發現還是要自己寫才能滿足需求。
所以,后面的部分就不贅述了!
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持億速云。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
