• Django学习之九: auth 认证组件


    Django auth 认证组件

    Django提供的auth认证组件,提供了: 用户表的构建方式(用于满足符合auth组件);提供了认证接口;提供了会话登录和会话注销的接口 ;提供了中间件将会话登录用户保存到request对对象中,这样可以很轻易的拿到登录用户,不用我们再从会话中获取用户id,再通过model获取到用户对象;对于认证接口要提供用户名和密码传入auth.authenticate(username,password),认证成功,就可以得到认证用户对象。我们只需要根据认证结果是否有对象,来判定认证结果,来进行后面的操作。同时返回的用户对象传入auth.login(request, user)接口,调用接口,可以将用户登录信息记录到session中,并且如果添加了auth的一个中间件AuthenticationMiddleware,那么每次请求会在request.user中保存该登录的用户对象。如果没登陆request.user会保存一个anonymouseuser用户,这样就可以通过request.user的API来判定本次请求是否是某个用户登录状态。这点是auth组件关键点,这也是涉及到隐含session记录创建和auth中间件对request对象的操作。

    配置使用auth组件及其中间件

    1. 将auth app注册到installed_apps列表中。即将‘django.contrib.auth’添加到列表中。
    2. 将contenttypes app注册到installed_apps列表中。即将‘django.contrib.contenttypes’添加到列表中。这是django的 content type system, 有关权限的。
    3. 确保两个中间件添加到配置文件MIDDLEWARE列表中:
      1. 'django.contrib.sessions.middleware.SessionMiddleware'
      2. 'django.contrib.auth.middleware.AuthenticationMiddleware'
    4. 设置auth组件使用的认证用户表即Model。默认会使用auth模块的 auth.User这个model.这个设置参数是AUTH_USER_MODEL='appname.UserModel' 这个值是app名字和模块名,中间使用点连接,不用指定模块名。这点要注意。
    5. 注意自定义的认证model类,这个model类必须继承django.contrib.auth.models.AbstractUser类。该类提供了用户名和密码还有邮箱等字段。只需要自定义一些自己的字段就可以了。主要提供了:
      1. username
      2. password
      3. email
      4. first_name
      5. last_name
    6. 定义自己的认证model类,实例:
    from django.contrib.auth.models import AbstractUser
    from django.db import models
    
    
    class Users(AbstractUser):
        age = models.IntegerField(verbose_name='年龄', blank=True, null=True)
        telephone = models.CharField(verbose_name='手机号', max_length=32)
        address = models.CharField(verbose_name='住址', max_length=255)
        
        def __str__(self):
            return self.username  # username属性继承自AbstractUser
    
    1. settings文件中对应的AUTH_USER_MODEL = 'appname.Users' ,appname就是model所在的app名称了。
    2. 最后一个和是否已认证登录校验相关的配置:LOGIN_URL 该设置定义了登录url。用于auth组件提供的@login_required 装饰器,装饰器用于装饰view视图函数,当视图函数需要校验用户登录才能访问时,

    request.user 可以直接在template模版中使用

    方便在模版系统中渲染登录用户的信息。前提是使用auth组件进行会话登录及其中间件。

    auth组件常用api

    1. auth.authenticate(username= login_name, password = pwd) 认证成功返回User对象,失败返回None.
    2. auth.login(request, user) # 注意request是必须的,是请求对象,user是通过authenticate认证后得到的。作用会话登录,将登录信息保存到会话中。如果当前会话已经产生会flush。
    3. request.user # 这个就是一个django.utils.functional.SimpleLazyObject对象,如果authenticate认证成功,返回的对象是model-user对象,也就是auth_user表对象;将该对象进过auth.login后,那么request.user就是相应的该用户;不然就是一个anonymous用户。通过request.user可以判定是否有用户登录。重要:request.user是一个全局变量,可以在视图和模版中使用。
    4. auth.logout(request) 登出当前session中登录的用户,如果没有用户登录,也不会报错。登出后request.user就是annoymouse用户了。会清空会话。
    5. reques.user.username可以判定是否有用户登录。不能使用request.user判定是否有用户登录,因为没有用户登录,这个也会返回一个annoymouse用户,只有访问其属性才会返回一些False值。所以通过request.user.* 的属性才能判定是否有用户登录的状态。
    6. request.user.is_authenticated 判定是否登录返回True或False.
    7. django.contrib.auth.get_user_model() 可以获取到当前auth组件使用的认证model类。

    注意区别两个API判定 ‘是否认证’ 与 ‘是否认证成功的区别’

    即 auth.authenticate() 与 request.user.is_authenticated 的使用场景和功能区别:

    • 两者看上去都是认证有关系,但两种使用场景和目的是不同的。
    • 前者 是 认证 ,其返回的结果是User_obj 或者 None,目的是判定认证是否成功,仅仅使用在登录认证view视图函数中。
    • 后者 是 是否有用户登录, 其返回结果是True 或者False。目的是校验用户是否登录了,用于除了登录认证view与不校验用户登录的view。即需要校验用户登录状况才有后续操作的情景中。这个的前提是auth.authenticate和auth.login 两个登录过程操作。只有两者操作了,才有登录的判定。

    获取认证model类

    1. 通过django.contrib.auth.get_user_model()
    2. 如果要在其它model类关联使用的认证model类,最好通过django.conf.settings.AUTH_USER_MODEL获取。这是最佳实践,关联认证model类。因为如果直接引用,万一改变了model认证类的化,还要来改变这里的代码。
    3. 以上两种方式是可以互换的。

    认证检测装饰器@login_required

    导入语句: from django.contrib.auth.decorators import login_required
    用法:用于装饰需要视图函数;使用了该装饰器的函数,会判定是否已登录用户,如果没有将重定向到settings.LOGIN_URL指定的url并带上一个next参数,next参数传入当前视图访问的绝对路径,已用于在登录后跳转的路径。这样,login视图在登录成功后的跳转,就可以从next提交的值获取,并设置一个获取不到的默认值为'index'首页就可以了。很方便的装饰器和其修改的next参数,其中next可用于模版中。
    用法:

    @login_required
    def list_customer(request):
        """
        查看用户列表
        :param request:
        :return:
        """
        pass
        return HttpResponse('用户列表')
    

    auth模块大大前提是,使用django的user model作为用户存储

    如果要自定义,可以继承AbstractUser这个抽象model。这就涉及到了model的继承。抽象继承属于model继承的table_per_class模式。

    user model提供了创建user object 的接口create_user();修改密码的接口user.set_password()。这个操作普通model直接操作create,update数据不同,必须通过接口,因为密码是加密存储的。

    利用auth组件的登录视图函数:

    # 登录验证页面
    def login(request):
        if request.method == 'POST':
            response = {
                'user': None,
                'msg': None,
            }
            login_name = request.POST.get('username')  # 因为使用的是ajax提交表单数据,对于表单数据的校验就放到前端吧.
            pwd = request.POST.get('password')
            valid_code = request.POST.get('valid_code')
            if valid_code.upper() == request.session['valid_code'].upper():  # 只做验证码校验和用户认证校验。
                user = auth.authenticate(username=login_name, password=pwd)
                if user:
                    auth.login(request, user)  # 这样request.user 就会有当前登录对象
                    response['user'] = user.username
                    return JsonResponse(response)
                else:
                    response['msg'] = '用户名或密码错误!'
                    return JsonResponse(response)
            else:
                response['msg'] = '验证码错误!'
                return JsonResponse(response)
        return render(request, 'myblog/login.html')
    

    小结

    1. 感觉使用auth组件后,auth组件的耦合度太高了,不好扩展了。虽然提供的一些认证,登录会话等比较好用,但是想自己扩展就比较难。所以还是少用auth组件,使用自己的认证吧,可以利用auth提供的一些工具API, 到我们自己的认证代码中。如:密码的hash。
  • 相关阅读:
    flask总结02
    flask总结01
    恩智浦Freescale Cortex-A9 迅为IMX6开发板平台初体验
    [分享] IMX6嵌入式开发板linux QT挂载U盘及TF卡
    迅为4412嵌入式安卓开发板兼容3G网络|4G网络
    迅为嵌入式4412平台兼容3G/4G模块的安卓开发板
    飞思卡尔开发板-迅为IMX6开兼容单核 双核 四核Plus开发板
    物联网初学者智能家居必备迅为iTOP-4412开发板
    【分享】4412开发板POP烧写ubuntu出错,如何挂载emmc分区解决方法
    [安卓开发板]迅为IMX6 四核Android开发板
  • 原文地址:https://www.cnblogs.com/ZJiQi/p/9968334.html
Copyright © 2020-2023  润新知