06 django的用户认证组件

1、用户认证组件

用户认证组件：

    功能：用session记录登录验证状态

    前提：用户表：django自带的auth_user

    创建超级用户： python3 manage.py createsuperuser

　　

创建超级用户

C:\PycharmProjects\authdemo>python manage.py createsuperuser
Username (leave blank to use 'venicid'): alex
Email address:  # 空
Password:       1234
Password (again):
This password is too short. It must contain at least 8 characters.
This password is entirely numeric.
Password:       12345678
Password (again):
This password is too common.
This password is entirely numeric.
Password:       qwerasdf
Password (again):
Superuser created successfully.

　　

　　不能像一般取数据库中的数据，密码是密文的

2、auth模块详细代码

from django.contrib import auth

#django.contrib.auth中提供了许多方法，这里主要介绍其中的三个：

创建超级用户

C:\PycharmProjects\authdemo>python manage.py createsuperuser
Username (leave blank to use 'venicid'): alex
Email address:  # 空
Password:       1234
Password (again):
This password is too short. It must contain at least 8 characters.
This password is entirely numeric.
Password:       12345678
Password (again):
This password is too common.
This password is entirely numeric.
Password:       qwerasdf
Password (again):
Superuser created successfully.

主url

from django.contrib import admin
from django.urls import path, re_path, include

urlpatterns = [
    path('admin/', admin.site.urls),
    re_path(r'^', include(("app01.urls", "app01")))
]

url

from django.urls import path, re_path, include
from app01 import views

urlpatterns = [
    re_path(r'^login/$', views.login, name="login"),
    re_path(r'^index/$', views.index, name="index"),
    re_path(r'^logout/$', views.logout, name="logout"),
]

view

from django.shortcuts import render, redirect, HttpResponse
from django.contrib import auth  # 导入auth模块

# from django.contrib.auth.models import User     # 导入User表
# Create your views here.

def login(request):
    if request.method == "POST":
        user = request.POST.get("user")
        pwd = request.POST.get("pwd")

        # if 验证成功返回user对象，否则返回None
        user = auth.authenticate(username=user, password=pwd)
        if user:
            auth.login(request, user)   # request.user = user
                                        # request.user：当前登录对象
            return redirect("/index/")
        #
        # 一般做法
        # User.objects.filter(username=user, password=pwd).first()    # 密码是密文的（摘要算法），获取不到

    return render(request, "login.html")

def index(request):
    print("request user:", request.user)
    print("request user id:", request.user.id)
    print("request user is_anonymous:", request.user.is_anonymous)
    """
        匿名用户
    class models.AnonymousUser

    django.contrib.auth.models.AnonymousUser 类实现了django.contrib.auth.models.User 接口，但具有下面几个不同点：

    id 永远为None。
    username 永远为空字符串。
    get_username() 永远返回空字符串。
    is_staff 和 is_superuser 永远为False。
    is_active 永远为 False。
    groups 和 user_permissions 永远为空。
    is_anonymous() 返回True 而不是False。
    is_authenticated() 返回False 而不是True。
    set_password()、check_password()、save() 和delete() 引发 NotImplementedError。
    New in Django 1.8:
    新增 AnonymousUser.get_username() 以更好地模拟 django.contrib.auth.models.User。
    """

    if request.user.is_anonymous:
        return redirect("/login/")

    """
    # username传递到模板层
    username = request.user.username
    return render(request, "index.html", {"username": username})
    """
    # request是全局变量，可以不用传递
    return render(request, "index.html")

def logout(request):

    # flush 删除session
    auth.logout(request)

    return redirect("/login/")

login.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form action="" method="post">
    {% csrf_token %}
    username <input type="text" name="user">
    password <input type="text" name="pwd">
    <input type="submit" value="submit">
</form>
</body>
</html>

index.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h3>hi {{ username }}</h3>
<h3>hi {{ request.user.username }}</h3>
<h3>hi {{ request.user.id }}</h3>
<h3>hi {{ request.user.password }}</h3>

<a href="/logout/">注销</a>
</body>
</html>

　　2.1、登录验证 authenticate()   

提供了用户认证，即验证用户名以及密码是否正确,一般需要username  password两个关键字参数

如果认证信息有效，会返回一个  User  对象。authenticate()会在User 对象上设置一个属性标识那种认证后端认证了该用户，且该信息在后面的登录过程中是需要的。

当我们试图登陆一个从数据库中直接取出来不经过authenticate()的User对象会报错的！！

　　

　　2.2、session信息存储： login(HttpRequest, user)　　

该函数接受一个HttpRequest对象，以及一个认证了的User对象

此函数使用django的session框架给某个已认证的用户附加上session id等信息。

login方法源码剖析

用户认证注册功能：auth模块 与中间件，配合使用的

匿名用户对象：如果没有登录直接访问index的话

   匿名用户
    class models.AnonymousUser

    django.contrib.auth.models.AnonymousUser 类实现了django.contrib.auth.models.User 接口，但具有下面几个不同点：

'''
    id 永远为None。
    username 永远为空字符串。
    get_username() 永远返回空字符串。
    is_staff 和 is_superuser 永远为False。
    is_active 永远为 False。
    groups 和 user_permissions 永远为空。
    is_anonymous() 返回True 而不是False。
    is_authenticated() 返回False 而不是True。
    set_password()、check_password()、save() 和delete() 引发 NotImplementedError。
    New in Django 1.8:
    新增 AnonymousUser.get_username() 以更好地模拟 django.contrib.auth.models.User。
'''

登录 用户变了，session就变了

添加一个新的超级用户

C:\PycharmProjects\authdemo>python manage.py createsuperuser
Username (leave blank to use 'venicid'):  # redhat
Email address:
Password:     # 1234qwer
Password (again):
Superuser created successfully.

request.user是一个全局变量，可以不用传值到模板层

　　2.3、注销功能 logout(request)

该函数接受一个HttpRequest对象，无返回值。当调用该函数时，当前请求的session信息会全部清除。该用户即使没有登录，使用该函数也不会报错。

　　logout源码

3、User对象

User 对象属性：username， password（必填项）password用哈希算法保存到数据库

完整代码

主url

from django.contrib import admin
from django.urls import path, re_path, include

urlpatterns = [
    path('admin/', admin.site.urls),
    re_path(r'^', include(("app01.urls", "app01")))
]

url

from django.urls import path, re_path, include
from app01 import views

urlpatterns = [
    re_path(r'^login/$', views.login, name="login"),
    re_path(r'^index/$', views.index, name="index"),
    re_path(r'^logout/$', views.logout, name="logout"),
    re_path(r'^reg/$', views.reg, name="reg"),
    re_path(r'^order/$', views.order, name="order"),
]

vies

from django.shortcuts import render, redirect, HttpResponse
from django.contrib import auth  # 导入auth模块
from django.contrib.auth.models import User     # 导入User对象  User == auth_user

def login(request):
    if request.method == "POST":
        user = request.POST.get("user")
        pwd = request.POST.get("pwd")

        user = auth.authenticate(username=user, password=pwd)
        if user:
            auth.login(request, user)    # request.user：当前登录对象

            # return redirect("/index/")

            next_url = request.GET.get("next", "/index/")
            return redirect(next_url)

    return render(request, "login.html")

def logout(request):
    # flush 删除session
    auth.logout(request)

    return redirect("/login/")

def reg(request):
    if request.method == "POST":
        user = request.POST.get("user")
        pwd = request.POST.get("pwd")

        # User.objects.create(username=user, password=pwd)     # create,密码要经过摘要算法加密，才能存到数据库表
        user = User.objects.create_user(username=user, password=pwd)  # create_user
        return redirect("/login/")

    return render(request, "reg.html")

# 认证登录

# 方式1：
def index1(request):
    if not request.user.is_authenticated:   # 没有被认证
        return redirect("/login/")

    return render(request, "index.html")

# 方式2：
from django.contrib.auth.decorators import login_required   # 登录装饰器

@login_required
def index(request):

    return render(request, "index.html")

@login_required
def order(request):

    return render(request, "order.html")

模板层： 同上

3.1  用户认证：is_authenticated()，装饰器@login_requierd

如果是真正的 User 对象，返回值恒为 True 。 用于检查用户是否已经通过了认证。
通过认证并不意味着用户拥有任何权限，甚至也不检查该用户是否处于激活状态，这只是表明用户成功的通过了认证。

这个方法很重要, 在后台用request.user.is_authenticated()判断用户是否已经登录，如果true则可以向前台展示request.user.name

要求：

1  用户登陆后才能访问某些页面，

2  如果用户没有登录就访问该页面的话直接跳到登录页面

3  用户在跳转的登陆界面中完成登陆后，自动访问跳转到之前访问的地址

方式1：request.user.is_authenticated()

方式2：装饰器：login_requierd()

django已经为我们设计好了一个用于此种情况的装饰器：login_requierd()

　　

跳转到django默认的登录

若用户没有登录，则会跳转到django默认的登录URL '/accounts/login/ ' (这个值可以在settings文件中通过LOGIN_URL进行修改)。并传递  当前访问url的绝对路径 (登陆成功后，会重定向到该路径)。

添加order页面，添加装饰器

from django.contrib.auth.decorators import login_required   # 登录装饰器

@login_required
def order(request):

    return render(request, "order.html")

　　3.2 、创建用户

使用 create_user 辅助函数创建用户:

from django.contrib.auth.models import User
user = User.objects.create_user（username='',password='',email=''）

　　3.3 、check_password(passwd)

用户需要修改密码的时候 首先要让他输入原来的密码 ，如果给定的字符串通过了密码检查，返回 True

　　

　　3.4 、修改密码

使用 set_password() 来修改密码

user = User.objects.get(username='')
user.set_password(password='')
user.save　

　　

4、总结

用户认证组件：

    功能：用session记录登录验证状态

    前提：用户表：django自带的auth_user

    创建超级用户： python3 manage.py createsuperuser

    API:
    from django.contrib import auth      # 导入auth模块
        1   # if 验证成功返回user对象，否则返回None
            user = auth.authenticate(username=user, password=pwd)

        2   auth.login(request, user)    # request.user：当前登录对象
            if request.user.is_anonymous:               # 是匿名用户

        3   auth.logout(request)         # flush 删除session

    from django.contrib.auth.models import User     # 导入User对象  # User == auth_user

        4   if not request.user.is_authenticated:   # 没有被认证

        5   user = User.objects.create_user(username=user, password=pwd)  # create_user

补充
    匿名用户对象

        匿名用户
    class models.AnonymousUser

    django.contrib.auth.models.AnonymousUser 类实现了django.contrib.auth.models.User 接口，但具有下面几个不同点：

    id 永远为None。
    username 永远为空字符串。
    get_username() 永远返回空字符串。
    is_staff 和 is_superuser 永远为False。
    is_active 永远为 False。
    groups 和 user_permissions 永远为空。
    is_anonymous() 返回True 而不是False。
    is_authenticated() 返回False 而不是True。
    set_password()、check_password()、save() 和delete() 引发 NotImplementedError。
    New in Django 1.8:
    新增 AnonymousUser.get_username() 以更好地模拟 django.contrib.auth.models.User。
    """

总结：
    if not:
        auth.login(request, user)  # request.user == AnonymousUser()

    else:
        request.user == 登录对象

    request.user是一个全局变量
    在任何视图和模板直接使用

5