您好,登錄后才能下訂單哦!
一 導(dǎo)言
設(shè)計一個好的用戶系統(tǒng)往往不是那么容易,Django提供的用戶系統(tǒng)可以快速實現(xiàn)基本的功能,并可以在此基礎(chǔ)上繼續(xù)擴展以滿足我們的需求。
先看看Django的用戶系統(tǒng)都提供哪些功能:
如配置了Django的用戶系統(tǒng),僅需調(diào)用Django提供的幾個函數(shù),便可實現(xiàn)用戶的登錄,注銷,權(quán)限驗證等功能。例如以下情景
1.登錄
# some_view.py from django.contrib.auth import authenticate, login def login(request): username = request.POST['username'] password = request.POST['password'] # Django提供的authenticate函數(shù),驗證用戶名和密碼是否在數(shù)據(jù)庫中匹配 user = authenticate(username=username, password=password) if user is not None: # Django提供的login函數(shù),將當(dāng)前登錄用戶信息保存到會話key中 login(request, user) # 進行登錄成功的操作,重定向到某處等 ... else: # 返回用戶名和密碼錯誤信息 ...
2.注銷
# some_view.py from django.contrib.auth import logout def logout(request): # logout函數(shù)會清除當(dāng)前用戶保存在會話中的信息 logout(request)
3.驗證是否登錄
# some_view.py def some_fuction(request): user = request.user if user.is_authenticated: # 已登錄用戶,可以往下進行操作 else: # 返回要求登錄信息
4.驗證是否有權(quán)限
# some_view.py def some_fuction(request): user = request.user if user.has_perm('myapp.change_bar'): # 有權(quán)限,可以往下進行操作 else: # 返回禁止訪問等信息
二 用戶模塊
Django的用戶模塊類定義在auth應(yīng)用中,如要直接使用Django的用戶類,在setting配置文件中的INSTALLAPP添加一行django.contrib.auth。
這樣就可以在代碼中直接用User類創(chuàng)建用戶:
from django.contrib.auth.models import User user = User.objects.create_user('john', 'lennon@thebeatles.com', 'johnpassword') user.last_name = 'Lennon' user.save()
看看Django的源碼User類定義了什么屬性:
class User(AbstractUser): """ Users within the Django authentication system are represented by this model. Username, password and email are required. Other fields are optional. """ class Meta(AbstractUser.Meta): swappable = 'AUTH_USER_MODEL'
…,啥都沒有?
注意到User類繼承AbstractUser類, 用戶名和密碼信息等定義在父類了。所以再看看AbstractUser類的定義, 限于篇幅僅列出其中一部分,源碼在https://github.com/django/django/blob/master/django/contrib/auth/models.py
class AbstractUser(AbstractBaseUser, PermissionsMixin): username = models.CharField( _('username'), max_length=150, unique=True, help_text=_('Required. 150 characters or fewer. Letters, digits and @/./+/-/_ only.'), validators=[username_validator], error_messages={ 'unique': _("A user with that username already exists."), }, ) first_name = models.CharField(_('first name'), max_length=30, blank=True) last_name = models.CharField(_('last name'), max_length=30, blank=True) email = models.EmailField(_('email address'), blank=True) date_joined = models.DateTimeField(_('date joined'), default=timezone.now) ....
可以看到AbstractUser類中定義了username這個字段了,另外還有email、first_name、last_name等。AbstractUser類還繼承AbstractBaseUser和PermissionsMixin類,AbstractBaseUser類提供password字段及將密碼加密保存的相關(guān)方法,PermissionsMixin類提供User類權(quán)限認(rèn)證功能。
總的來說,一個User類,定義了以下字段:
另外,生成一個User實例,可以使用以下屬性:
User類提供了許多方法方便我們執(zhí)行各種操作:
三 驗證與登錄用戶
驗證用戶名和密碼看起來很簡單,對比提交的用戶名和密碼與數(shù)據(jù)庫保存的一致即可。
如:
# some_view.py def some_fuction(request): username = request.POST['username'] password = request.POST['password'] try: user = User.objects.get(username=username, password=password) except ObjectNotExists: # 用戶名和密碼不匹配一個用戶 ...
由于密碼已經(jīng)進行hash后保存,上述代碼還得先把提交的password值先hash再去數(shù)據(jù)庫中搜索,總得多寫了一些代碼。這些Django都已經(jīng)考慮到了, 提供了一個authenticate函數(shù)驗證是否存在該用戶,就像導(dǎo)言的實例代碼:
# some_view.py from django.contrib.auth import authenticate, login def login(request): username = request.POST['username'] password = request.POST['password'] user = authenticate(username=username, password=password) if user is not None: login(request, user) ... else: ...
這里重點說明一下authenticate和login函數(shù)。
1.authenticate(**credentials)
傳入待驗證的參數(shù),默認(rèn)是username和password,它會調(diào)用系統(tǒng)配置里的每一個authentication backend進行驗證,驗證通過返回一個User實例,否則返回None。
每一個authentication backend指認(rèn)證后端,在setting.py中配置的AUTHENTICATION_BACKENDS變量,默認(rèn)是[‘django.contrib.auth.backends.ModelBackend'],可以增加自定義的認(rèn)證后端,或者使用第三方提供的。authenticate函數(shù)會按順序調(diào)用每一個進行驗證,如果第一個沒有通過,它會使用第二個進行驗證,直到所有的認(rèn)證后端都失敗后才返回None。
看看這個ModelBackend類如何返回認(rèn)證用戶(再次縮減源碼):
class ModelBackend(object): def authenticate(self, request, username=None, password=None, **kwargs): if username is None: username = kwargs.get(UserModel.USERNAME_FIELD) try: user = UserModel._default_manager.get_by_natural_key(username) except UserModel.DoesNotExist: UserModel().set_password(password) else: if user.check_password(password) and self.user_can_authenticate(user): return user # ...
實際上authenticate函數(shù)會調(diào)用每一個authentication backend類的authenticate方法, ModelBackend類與我們之前的驗證方法稍有不同,它先從數(shù)據(jù)庫用戶表中取出與username對應(yīng)的一個User實例,再通過User的check_password方法驗證password是否正確,并返回這個User實例。
2.login(request, user, backend=None)
接收HttpRequest對象和一個User對象,login函數(shù)會將當(dāng)前用戶信息保存到會話cookie中,所以要使用Django用戶系統(tǒng)的所有功能,也得安裝Django默認(rèn)的會話APP。
看看login函數(shù)做了什么:
def login(request, user, backend=None): # (清空當(dāng)前的session信息) # ... request.session[SESSION_KEY] = user._meta.pk.value_to_string(user) request.session[BACKEND_SESSION_KEY] = backend request.session[HASH_SESSION_KEY] = session_auth_hash if hasattr(request, 'user'): request.user = user rotate_token(request) user_logged_in.send(sender=user.__class__, request=request, user=user)
login函數(shù)將當(dāng)前用戶的一個唯一標(biāo)識信息保存在request.session的SESSION_KEY中, 下次請求時即可從會話cookie中拿到當(dāng)前登錄的用戶對象。
如果要求登錄用戶才能訪問相應(yīng)的View,可以這么寫:
from django.conf import settings from django.shortcuts import redirect def my_view(request): if not request.user.is_authenticated: return redirect('%s?next=%s' % (settings.LOGIN_URL, request.path))
通過login函數(shù)可以將用戶信息保存在會話中,當(dāng)下一個請求到達view前,Django的會話中間件從會話cookie中取出用戶對象,并賦值給request.user。這樣,已登錄的用戶request.user.is_authenticated值為True,可以進行相應(yīng)的操作。未登錄用戶request.user返回一個AnonymousUser對象,它的is_authenticated屬性值永遠為False,那么要將這個請求重定向到登錄頁面。
這兩行代碼可以通過在view函數(shù)上加一個裝飾器實現(xiàn),如
@login_required def my_view(request): ...
裝飾器login_required(redirect_field_name='next', login_url=None), 可傳入login_url參數(shù)設(shè)置未登錄用戶的請求重定向的地址,否則重定向到settings.LOGIN_URL。
四 權(quán)限認(rèn)證
User模型有兩個多對多關(guān)系的字段: groups 和 user_permissions, 它們與Pemission模型有關(guān)。User與Pemission、User與Permission、Group與Permission均是多對多關(guān)系, Permission定義了具體的權(quán)限,其字段如下:
class Permission(models.Model): name = models.CharField(_('name'), max_length=255) # 權(quán)限名稱(用作顯示) content_type = models.ForeignKey( # 內(nèi)容類型: 每個模型對應(yīng)一個內(nèi)容類型,用于定位指定模型 ContentType, models.CASCADE, verbose_name=_('content type'), ) codename = models.CharField(_('codename'), max_length=100) # 權(quán)限的代碼名稱,用在如has_permission函數(shù)參數(shù)
給一個用戶添加、刪除權(quán)限很簡單: myuser.user_permissions.set([permission_list]) myuser.user_permissions.add(permission, permission, …) myuser.user_permissions.remove(permission, permission, …) myuser.user_permissions.clear()
其中,permission是具體的permission對象。 也可以通過用戶所在的組添加相應(yīng)的權(quán)限: group.permissions.set([permission_list]) group.permissions.add(permission, permission, …) group.permissions.remove(permission, permission, …) group.permissions.clear()
只要這個用戶加入該組也擁有組權(quán)限。通過User對象的get_all_permissions(obj=None)方法可以獲得該用戶的所有權(quán)限列表(字符列表),也可以通過get_group_permissions(obj=None)獲得對應(yīng)的組權(quán)限列表。
我們更經(jīng)常要做的是在view中執(zhí)行操作之前驗證用戶是否擁有指定權(quán)限,這里一般用到User對象的has_perm(perm, obj=None)方法或者has_perms(perm_list, obj=None)判斷。
has_perm(perm, obj=None)方法中perm是”."格式的權(quán)限字符串, 如果有這個權(quán)限,方法會返回True。同樣,`has_perms(perm_list, obj=None)`方法中perm_list中是"."格式的權(quán)限字符串列表。
同login_required裝飾器,權(quán)限認(rèn)證也有對應(yīng)的permission_required裝飾器:
permission_required(perm, login_url=None, raise_exception=False)
如果raise_exception=True, 權(quán)限沒有認(rèn)證通過則拋出PermissionDenied異常,返回默認(rèn)的403頁面。
以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助,也希望大家多多支持億速云。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。