Django自带表User认证详解

认证登陆（附方法实现代码，百度网盘拉取即可下载，激活码：gqt1）


在进行用户登陆验证的时候，如果是自己写代码，就必须要先查询数据库，看用户输入的用户名是否存在于数据库中；
如果用户存在于数据库中，然后再验证用户输入的密码，这样一来就要自己编写大量的代码。
事实上，Django已经提供了内置的用户认证功能。   
在使用"python manage.py makemigrationss"和"python manage.py migrate"迁移完成数据库之后
根据配置文件settings.py中的数据库段生成的数据表中已经包含了6张进行认证的数据表，分别是
auth_user
auth_group
auth_group_permissions
auth_permission
auth_user_groups
auth_user_user_permissions
进行用户认证的数据表为auth_user
要使用Django自带的认证功能，首先要导入auth模块

Django从开始就带有一个用户认证系统；它处理用户账号、组、权限以及基于cookie的用户会话。
Django认证系统同时处理认证和授权。简单地讲，认证验证一个用户是否它们声称的那个人，
授权决定一个通过了认证的用户被允许做什么。这里的词语“认证”同时指代这两项任务。

认证系统包含：
用户。
权限：二元（是/否）标志指示一个用户是否可以做一个特定的任务。
组：对多个用户运用标签和权限的一种通用的方式。

我们先来看看User表的结构：

1，is_authenticated()
　　这个认证的方法，验证是否通过，也就是通过用户名和密码判断该用户是否存在。
2，is_anonymous()
　　方法也常用，判断是否为匿名用户，如果你已经login，则这个方法返回始终为false。
3，is_staff
　　是否为staff身份，布尔值。拥有staff身份的用户可以登录django的admin后台
4，is_superuser
　　是否是superuser身份，布尔值。拥有该身份的用户将能够登录admin后台，并拥有所有注册模型的管理权限。
5，last_login
　　用户最后登录的时间。
6，date_joine
　　用户创建的时间。

接下来我们看具体的代码方法实现：

1,创建用户

第一种使用manage.py创建用户，这创建的是一个超级用户：

python manage.py createsuperuser   #创建超级用户
python manage.py changepassword admin   #修改超级用户密码

第二种是创建普通用户，

from django.contrib.auth.models import User

User.objects.create_user(username=username, password=password2)  #User对象属性：username,password为必填项password用哈希算法保存到数据库中   

2，更改密码

from django.contrib.auth.models import User

u = User.objects.get(username='dkey')

# set_password函数,设置密码;
u.set_password('')

# check_password函数,检查密码;
u.check_password('')
True

# save函数,保存密码;
u.save()

3，认证用户

from django.contrib.auth import authenticate
user = authenticate(username='dkey', password='')
if user is not None:
    # the password verified for the user
    if user.is_active:
        print("User is valid, active and authenticated")
    else:
        print("The password is valid, but the account has been disabled!")
else:
    # the authentication system was unable to verify the username and password
    print("The username and password were incorrect.")

4，登录

如果你有一个认证了的用户，你想把它附带到当前的会话中 – 这可以通过login()函数完成。

从视图中登入一个用户，请使用login()。它接受一个HttpRequest对象和一个User对象。login() 使用Django的session框架来用户的ID保存在session中。

注意，任何在匿名会话中设置的数据都会在用户登入后的会话中都会记住。

from django.contrib.auth import authenticate, login

def my_view(request):
    username = request.POST['username']
    password = request.POST['password']
    user = authenticate(username=username, password=password)
    if user is not None:
        if user.is_active:
            login(request, user)
            # Redirect to a success page.
        else:
            # Return a 'disabled account' error message
            ...
    else:
        # Return an 'invalid login' error message.
        ...

login()做的事情就有给该用户设置session信息的，保证后面验证用户是否认证通过。

5，登出

若要登出一个已经通过django.contrib.auth.login()登入的用户，可以在你的视图中使用django.contrib.auth.logout()。

它接收一个HttpRequest对象且没有返回值。例如：

def logout_view(request):#登出
    logout(request)   　　#当调用该函数时，当前请求的session信息全部被清除,即使当前用户没有登陆，调用该函数也不会报错。
    return redirect('/')

注意，即使用户没有登入，login()也不会抛出任何错误。

6，只允许登录的用户访问

from django.conf import settings
from django.shortcuts import redirect

def my_view(request):
    if not request.user.is_authenticated():
        return redirect('%s?next=%s' % (settings.LOGIN_URL, request.path))
    else:
        do_something()

使用login_required装饰器

举个例子比如用户没有登录的情况下访问用户中心：

from django.utils.decorators import method_decorator  #类装饰方法
from django.contrib.auth.decorators import login_required
class UserCenterInfoView(View):
    @method_decorator(login_required)
    def get(self,request):
        return render(request,'centerinfo.html')

注：上面是个个人中心的视图函数，因为需要用到装饰器，所有我这里需要用到类装饰器的方法，在稍后我会讲解类装饰器的用法

login_required 这个方法 接收两个参数，

1，login_url='/login/'  　　　　这个参数表示用户被重定向登录页面  当然也可以不进行制定  ，我们在settings中定义

#如果后台login_required 装饰器未指定跳转路径，这里需要定义下
LOGIN_URL = '/login/'

2，redirect_field_name='next'   这个方法值默认是next，它代表登录成功后需要跳转的页面，当然我们可以重写覆盖next

下面登录函数实现后台控制用户登录对页面访问的权限

class LoginView(View):
    '''
    登录
    '''
    def get(self,request):
        return render(request,'login.html')

    def post(self,request):
        if request.user.is_authenticated():
            return HttpResponse('该用户已登录，请勿重复登录')

        username = request.POST.get('username')
        pwd = request.POST.get('pwd')
        user = authenticate(username=username,password=pwd)
        if user is not None:
            if user.is_active:
                login(request,user)
                request.session['username'] = user.username
                next = request.GET.get('next')         #主要这里 ，捕获next 值是否存在
                if next is None:
                    return redirect(reverse('demo:index'))
                else:
                    return redirect(next)
        else:
            return render(request,'login.html',{'msg':'用户名或密码错误'},status=400)

7，引用user模型

不要直接引用User，而应该使用django.contrib.auth.get_user_model()引用User模型。（下面是关联User表的方法）

from django.conf import settings
from django.db import models

class UserInfo(models.Model):
    auther = models.ForeignKey(settings.AUTH_USER_MODEL)  #这个参数setting里不需要定义的

view视图中我们这要调用：

from django.contrib.auth import get_user_model
User = get_user_model()

8，重写user表，增加字段设置

models中：

from django.contrib.auth.models import AbstractUser
class User(AbstractUser):
    mobile = models.CharField(max_length=11,unique=True,verbose_name='手机号')

并且在setting中进行 设置：

AUTH_USER_MODEL = 'users.User'   #应用表 + 表名

这样就可以给django认证的user表 增加字段

9,django认证保持登录状态机制

Django引申出了session.login，就是生成session。对应的django在数据库中自动生成了django_session表用于存放用户session。

表字段session_key就是浏览器中的session_id，

session_data是对账号密码等信息做了加密的，expire_date是过期时间；在setting中可设置过期时间。

这个session_id是怎么做到转换回账号密码等信息的？因为我们在后台是可以直接request.user的。

INSTALLED_APPS = [
    'django.contrib.sessions',
]

这个app是会对我们每次request和respone的请求做拦截的，拦截浏览器过来的时候就会在里面找到我们的session_id。

然后来数据表查询session_data并解密，我们response的时候他也会主动加上session_id。

cookies

session表

10，类装饰器用法

1，为全部请求方法添加装饰器

from django.utils.decorators import method_decorator 

@method_decorator(my_decorator, name='dispatch')
class DemoView(View):
    def get(self, request):
        print('get方法')
        return HttpResponse('ok')

    def post(self, request):
        print('post方法')
        return HttpResponse('ok')

2，为特定请求方法添加装饰器

@method_decorator(my_decorator, name='get')
class DemoView(View):
    def get(self, request):
        print('get方法')
        return HttpResponse('ok')

    def post(self, request):
        print('post方法')
        return HttpResponse('ok')

3， 为特定请求方法添加装饰器

class DemoView(View):

    @method_decorator(my_decorator)  # 为get方法添加了装饰器
    def get(self, request):
        print('get方法')
        return HttpResponse('ok')

    @method_decorator(my_decorator)  # 为post方法添加了装饰器
    def post(self, request):
        print('post方法')
        return HttpResponse('ok')

    def put(self, request):  # 没有为put方法添加装饰器
        print('put方法')
        return HttpResponse('ok')