Django：（7）auth用户认证组件 & 中间件

用户认证组件

用户认证组件：
　　功能：用session记录登陆验证状态
　　前提：用户表：django自带的auth_user
　　创建超级用户的命令： python manage.py createsuperuser

　　API:

　　　　（1）from django.contrib import auth （auth模块的方法）

　　　　　　1. # 做验证：如果 验证成功 返回 user 对象（就是 auth_user 这张表中的一条记录对象），否则返回None
　　　　　　user = auth.authenticate(username=username,password=psw)
　　　　　　2. # 利用 session 信息注册一个用户登陆对象（在 django_session表中添加记录，并生成一个全局变量 request.user这个对象）
　　　　　　auth.login(request,user)
　　　　　　3. # 注销
　　　　　　auth.logout(request)
　　　　（2）from django.contrib.auth.models import User （User对象的方法；User等同于 auth_user这张表）
　　　　　　4. request.user.is_authenticated # 是否通过验证 # request.user 就是 auth_user表中的一条记录（一个对象）
　　　　　　5. 添加用户（注册功能）
　　　　　　User.objects.create_user(username="",password="",...)
　　　　　　User.objects.create_superuser(username="",password="",...)
　　　　补充：
　　　　　　匿名用户对象：见下面

　　　　重点： request.user 这个全局变量（可在任何视图和模板中直接使用；这也是auth认证组件最大的优点：可利用 request.user 获取当前登陆人的所有信息）
　　　　　　　如果没有执行 auth.login(request,user)，那么 request.user == AnonymousUser()
　　　　　　　如果执行了 auth.login(request,user)，request.user == 当前用户对象

目录结构：

urls.py

from django.contrib import admin
from django.urls import path

from app01 import views

urlpatterns = [
    path('admin/', admin.site.urls),
    path(r'login/',views.login),
    path(r'index/',views.index),

    # 注销功能
    path(r'logout/',views.logout),
    # 注册功能
    path(r'reg/',views.reg),
    # 认证装饰器
    path(r"order/",views.order)
]

views.py

from django.shortcuts import render,HttpResponse,redirect

# Create your views here.

from django.contrib import auth
# 引入 auth_user表
from django.contrib.auth.models import User

def login(request):

    if request.method == "POST":
        # 用 auth 模块注册 session
        username = request.POST.get("username")
        psw = request.POST.get("psw")

        # 如果 验证成功 返回 user 对象（就是 auth_user 这张表中的一条记录对象），否则返回None
        user = auth.authenticate(username=username,password=psw)  # 利用 auth.authenticate()这个接口去 auth_user 表中进行验证；返回一条记录对象
        if user:
            auth.login(request,user)  # 利用 auth.login(request,user) 这个接口去注册 session （把 user这个对象添加到了 django_session这个表的 session_data 中）；这行代码执行的操作是： request.user = user；即 request 中添加了一个属性 user，其值为 user这个对象，以后在全局中都能通过 request.user 获取到 user 对象； request.user是个全局变量，不管是在视图函数中还是模板中都能直接调用
            # 如果没有进行 auth.login()，那就会以 匿名用户（AnonymousUser）的身份进行登陆
            # 通过 auth 进行session注册的好处：逻辑更严谨；例如，当 用户登陆信息更新时， django_session表中 不但 session_data 会更新，而且session_key也会更新为一个新的随机字符串
            return redirect("/index/")

            # 如果所有需要 is_authenticated为True的函数都加了 login_required() 装饰器，则需要用下面的方法动态的去获取 验证成功要跳转的页面
            # next_url = request.GET.get("next","/index/") # 认证成功后要跳转的页面；# 虽然此时为POST请求，但其 请求体中仍有 ?next="xxx"（表示验证成功后跳转的页面），所以仍可用 request.GET的方式获取该请求体
            # return redirect(next_url)

    return render(request,"login.html")

def index(request):
    print(request.user)
    print("request.user.username",request.user.username)  # request.user.username 获取 request.user 这个对象（记录）的username对应的值

    print("is_anonymous",request.user.is_anonymous)   # request.user.is_anonymous：判断是否为匿名用户

    # if request.user.is_anonymous: # 以匿名用户的身份登陆
    # 也可以用下面的方法去判断： is_authenticated
    if not request.user.is_authenticated:
        return redirect("/login/")

    return render(request,"index.html")

def logout(request):

    # 注销接口：auth.logout(request)
    auth.logout(request)  # 作用等同于： request.session.flush()；# 会把 django_session 表中 相应的记录删除

    return redirect("/login/")

def reg(request):

    if request.method == "POST":
        username = request.POST.get("username")
        psw = request.POST.get("psw")

        # 注册功能
        # User.objects.create(username=username,password=psw)  # 不要用 User 去create()；因为这个create 出来的记录是明文的 密码
        user = User.objects.create_user(username=username,password=psw)  # 应该用 create_user() 或者 create_superuser()； 这两种方法能将 password 变成 密文；返回值是插入的这条记录对象
        return redirect("/login/")

    return render(request,"reg.html")

# 要实现的效果：is_authenticated 为True时才能。为了不在每次视图函数中都自己写 认证代码的逻辑（避免重复），可利用 装饰器： login_required()
# 利用装饰器 login_required() 时，需要在 settings.py 中设置 LOGIN_URL="/login/" （is_authenticated为False时所要跳转的 路径）；而且在 login() 这个视图函数中需要动态的去 获取 登陆认证完之后所要跳转的路径（见login()）

from django.contrib.auth.decorators import login_required
@login_required   # 登陆认证装饰器
def order(request):

    # 由于有 login_required() 这个装饰器，其内部不需要再写认证的逻辑；该装饰器实现的效果如下：
    # if not request.user.is_authenticated:
    #     return redirect("/login/")

    return render(request,"order.html")

login.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

<h3>登陆</h3>
<form action="" method="post">
    {% csrf_token %}
    用户名 <input type="text" name="username">
    密码 <input type="password" name="psw">
    <input type="submit">
</form>

</body>
</html>

index.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

<h3>hello {{ request.user }}</h3>
<a href="/logout/">注销</a>

</body>
</html>

reg.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

<h3>注册</h3>
<form action="" method="post">
    {% csrf_token %}
    用户名 <input type="text" name="username">
    密码 <input type="password" name="psw">
    <input type="submit">
</form>

</body>
</html>

order.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h3>order</h3>
</body>
</html>

User对象其它的方法：

1. check_password(passwd)
        用户需要修改密码的时候 首先要让他输入原来的密码 ，如果给定的字符串通过了密码检查，返回 True

2.  修改密码：
        user = User.objects.get(username='')
        user.set_password(password='')
        user.save　 

AnonymousUser相关属性：

匿名用户
    class models.AnonymousUser

    django.contrib.auth.models.AnonymousUser 类实现了django.contrib.auth.models.User 接口，但具有下面几个不同点：

    id 永远为None。
    username 永远为空字符串。
    get_username() 永远返回空字符串。
    is_staff 和 is_superuser 永远为False。
    is_active 永远为 False。
    groups 和 user_permissions 永远为空。
    is_anonymous() 返回True 而不是False。
    is_authenticated() 返回False 而不是True。
    set_password()、check_password()、save() 和delete() 引发 NotImplementedError。
    New in Django 1.8:
    新增 AnonymousUser.get_username() 以更好地模拟 django.contrib.auth.models.User。

补充：如果自己写的 用户信息表 想和 Django自带的 User表关联（或者说 扩展 User 表的字段），可用以下方法：

from django.contrib.auth.models import User

class UserInfo(models.Model):
    user = models.OneToOneField(User,on_delete=models.CASCADE)  # User 不要加 ""
    name = models.CharField(max_length=32)  # 添加扩展字段  
　　 
　　 # 登陆验证时，要去 Django自带的 User 表验证

中间件

中间件顾名思义，是介于request与response处理之间的一道处理过程，相对比较轻量级，并且在全局上改变django的输入与输出。因为改变的是全局，所以需要谨慎实用，用不好会影响到性能。

如果你想修改请求，例如被传送到view中的HttpRequest对象。 或者你想修改view返回的HttpResponse对象，这些都可以通过中间件来实现。

可能你还想在view执行之前做一些操作，这种情况就可以用 middleware来实现。

Django默认的Middleware：

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

自定义中间件：

中间件中一共有四个方法：

process_request

process_view

process_exception

process_response

process_request，process_response：（这两个用的最多；通常情况下 process_reqeust 没有返回值，但 process_response必须有返回值，返回值是视图函数返回的响应体 response）

当用户发起请求的时候会依次经过所有的的中间件，这个时候的请求是process_request,最后到达views的函数中，views函数处理后，在依次穿过中间件，这个时候是process_response,最后返回给请求者。

上述截图中的中间件都是django中的，我们也可以自己定义一个中间件，我们可以自己写一个类，但是必须继承MiddlewareMixin

需要导入

from django.utils.deprecation import MiddlewareMixin

in views:

def index(request):

    print("view函数...")
    return HttpResponse("OK")

in Mymiddlewares.py：

from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import HttpResponse

class Md1(MiddlewareMixin):

    def process_request(self,request):
        print("Md1请求")

    def process_response(self,request,response):
        print("Md1返回")
        return response

class Md2(MiddlewareMixin):

    def process_request(self,request):
        print("Md2请求")
        #return HttpResponse("Md2中断")
    def process_response(self,request,response):
        print("Md2返回")
        return response

结果：

# Md1请求
# Md2请求
# view函数...
# Md2返回
# Md1返回

注意：如果当请求到达请求2的时候直接不符合条件返回，即return HttpResponse("Md2中断")，程序将把请求直接发给中间件2返回，然后依次返回到请求者，结果如下：

返回Md2中断的页面，后台打印如下：

# Md1请求
# Md2请求
# Md2返回
# Md1返回

流程图如下：

process_view：

process_view(self, request, callback, callback_args, callback_kwargs)
# callback表示对应的视图函数（如:views.index），callback_args, callback_kwargs 表示视图函数的参数

Mymiddlewares.py修改如下：

from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import HttpResponse

class Md1(MiddlewareMixin):

    def process_request(self,request):
        print("Md1请求")
        #return HttpResponse("Md1中断")
    def process_response(self,request,response):
        print("Md1返回")
        return response

    def process_view(self, request, callback, callback_args, callback_kwargs):
        print("Md1view")

class Md2(MiddlewareMixin):

    def process_request(self,request):
        print("Md2请求")
        return HttpResponse("Md2中断")
    def process_response(self,request,response):
        print("Md2返回")
        return response

    def process_view(self, request, callback, callback_args, callback_kwargs):
        print("Md2view")

结果如下：

# Md1请求
# Md2请求
# Md1view
# Md2view
# view函数...
# Md2返回
# Md1返回

下图进行分析上面的过程：

当最后一个中间的process_request到达路由关系映射之后，返回到中间件1的process_view，然后依次往下，到达views函数，最后通过process_response依次返回到达用户。

process_view可以用来调用视图函数：

class Md1(MiddlewareMixin):

    def process_request(self,request):
        print("Md1请求")
        #return HttpResponse("Md1中断")
    def process_response(self,request,response):
        print("Md1返回")
        return response

    def process_view(self, request, callback, callback_args, callback_kwargs):

        # return HttpResponse("hello")

        response=callback(request,*callback_args,**callback_kwargs)
        return response

结果如下：

# Md1请求
# Md2请求
# view函数...
# Md2返回
# Md1返回

注意：process_view如果有返回值，会越过其他的process_view以及视图函数，但是所有的process_response都还会执行。

process_exception：

process_exception(self, request, exception)
# exception 表示错误信息

示例修改如下：

class Md1(MiddlewareMixin):

    def process_request(self,request):
        print("Md1请求")
        #return HttpResponse("Md1中断")
    def process_response(self,request,response):
        print("Md1返回")
        return response

    def process_view(self, request, callback, callback_args, callback_kwargs):

        # return HttpResponse("hello")

        # response=callback(request,*callback_args,**callback_kwargs)
        # return response
        print("md1 process_view...")

    def process_exception(self):
        print("md1 process_exception...")

class Md2(MiddlewareMixin):

    def process_request(self,request):
        print("Md2请求")
        # return HttpResponse("Md2中断")
    def process_response(self,request,response):
        print("Md2返回")
        return response
    def process_view(self, request, callback, callback_args, callback_kwargs):
        print("md2 process_view...")

    def process_exception(self):
        print("md1 process_exception...")

结果如下：

# Md1请求
# Md2请求
# md1 process_view...
# md2 process_view...
# view函数...
#
# Md2返回
# Md1返回

流程图如下：

当views（视图函数）出现错误时才会执行 process_exception：

将md2的process_exception修改如下：

 def process_exception(self,request,exception):

        print("md2 process_exception...")
        return HttpResponse("error")

结果如下：

# Md1请求
# Md2请求
# md1 process_view...
# md2 process_view...
# view函数...
# md2 process_exception...
# Md2返回
# Md1返回

注：自定义的中间件要添加到 settings.py的  MIDDLEWARE 列表中