10.Django用户认证组件

用户认证组件：

　　功能：用session记录登录验证状态；

　　前提：用户表，django自带的auth_user

　　创建超级用户：python manage.py createsuperuser           kris的密码是abc123456

1.基于用户认证组件的登录验证信息储存

views.py

from django.shortcuts import render, HttpResponse, redirect

# Create your views here.
from django.contrib import auth
#from django.contrib.auth.models import User  #自己找到那个接口做校验 auth_user那个表

def login(request):

    if request.method =="POST":
        user = request.POST.get("user")
        pwd = request.POST.get("pwd")
        #if 验证成功返回user对象，否则返回None
        user = auth.authenticate(username=user,password=pwd)
        if user: #用它封装好的做校验
            auth.login(request,user) #auth.login这个方法需要传两个参数； request.user = user  就是当前登录对象；如果没有登录它拿到的是一个匿名对象
            return redirect("/index/")

    return render(request, "login.html")

def index(request):
    print("request.user:", request.user)  　　　　　　　　#没有登录就会打印一个匿名对象 request.user: AnonymousUser
　　 print("request.user:", request.user.username)　　　 #request.user: 
    print("request.user:", request.user.id) 　　　　　　 #request.user: None
    print("request.user:", request.user.is_anonymous)  #request.user: True
　　#拿上边这几个值都可以判断用户是否登录。
    if request.user.is_anonymous:
　　#if not request.user.user.is_authenticated: #它跟上边的是一样的
        return redirect("/login/")
    #username = request.user.username
    #return render(request, "index.html",{"username":username}) 可以不这样写，当然这是一种传变量的方式。request.user是个全局变量，一直都是代表当前登录对象
    return render(request, "index.html")

login.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form action="" method="post">
    {% csrf_token %}
    用户名<input type="text" name="user">
    密码<input type="text" name="pwd">
    <input type="submit" value="submit">
</form>
</body>
</html>

index.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
{#<h3> Hello {{ username }}</h3>  可以不给它传值了,request.user为全局#}
<h3>Hello {{ request.user.username }}</h3>
</body>
</html>

创建用户kris 和 alex

C:\Users\Administrator\PycharmProjects\authDemo>python manage.py createsuperuser
Username (leave blank to use 'administrator'): alex
Email address:
Password:alex1234
Password (again):alex1234
Superuser created successfully.

更新的时候它不像之前那样子，它把session_key 和session_data数据都更新了，之前都是只更新session_data，现在逻辑跟严谨了。

2.注册/注销用户功能

views.py

def logout(request):
    auth.logout(request)
    return redirect("/login/")

def reg(request):
    if request.method=="POST":
        user = request.POST.get("user")
        pwd = request.POST.get("pwd")
        user = User.objects.create_user(username=user,password=pwd) #做注册，插入这张表中，一定要按照摘要算法插入，把password进行转换成密文
        return redirect("/login/")
    return render(request,"reg.html")

reg.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h3>注册</h3>
<form action="" method="post">
    {% csrf_token %}
    用户名<input type="text" name="user">
    密码<input type="text" name="pwd">
    <input type="submit" value="submit">
</form>
</body>
</html>

index.html

<body>
<a href="/logout/">注销</a>
</body>

一点击注销按钮，就把django_session里边的记录都给清除了。

用户认证组件：

　　功能：用session记录登录验证状态；

　　前提：用户表，django自带的auth_user

　　创建超级用户：python manage.py createsuperuser           kris的密码是abc123456

API　
    from django.contrib import auth  auth对象下面的方法
    1 if 验证成功返回user对象，否则返回None
        user = auth.authenticate(username=user,password=pwd)

    2 auth.login(request,user) #request.user:当前登录对象    

    3 auth.logout(request)
        from django.contrib.auth.models import User  #User==auth_user  user对象下面的方法
   　　　　 4 request.user.is_authenticated:

   　　　　 5 user=User.objects.create_user(username='',password='',email='')

补充：
    匿名用户对象
        匿名用户
        class models.AnonymousUser

        django.contrib.auth.models.AnonymousUser 类实现了django.contrib.auth.models.User 接口，但具有下面几个不同点：

        id 永远为None。
        username 永远为空字符串。
        get_username() 永远返回空字符串。
        is_staff 和 is_superuser 永远为False。
        is_active 永远为 False。
        groups 和 user_permissions 永远为空。
        is_anonymous() 返回True 而不是False。
        is_authenticated() 返回False 而不是True。
        set_password()、check_password()、save() 和delete() 引发 NotImplementedError。
        New in Django 1.8:
        新增 AnonymousUser.get_username() 以更好地模拟 django.contrib.auth.models.User。

    总结：

        if not:auth.login(request,user)            request.user == AnonymousUser()#没有登录
        else:request.user==登录对象
        request.user是一个全局变量
        在任何视图和模板中直接使用 

3.基于用户认证组件的认证装饰器

如果是真正的 User 对象，返回值恒为 True 。 用于检查用户是否已经通过了认证。
通过认证并不意味着用户拥有任何权限，甚至也不检查该用户是否处于激活状态，这只是表明用户成功的通过了认证。 这个方法很重要, 在后台用request.user.is_authenticated()判断用户是否已经登录，如果true则可以向前台展示request.user.name

要求：

1  用户登陆后才能访问某些页面，

2  如果用户没有登录就访问该页面的话直接跳到登录页面

3  用户在跳转的登陆界面中完成登陆后，自动访问跳转到之前访问的地址

方法一

def order(request):
    if not request.user.is_outhenticated:
        return redirect("/login/")
    return render(request,"order.html")

方法二

django已经为我们设计好了一个用于此种情况的装饰器：login_requierd()

先在settings里边设置下我要跳转到哪个页面

STATIC_URL = '/static/'

LOGIN_URL = "/login/"  #跳转到哪里由我自己决定; 不加这个django会给你默认跳转到 127.0.0.1:8000/accounts/login/?next=/index/;设置好这个后跳转到:/login/?next=/index/（是访问index进行跳转的）

在views里边

from django.shortcuts import render, HttpResponse, redirect

# Create your views here.
from django.contrib import auth
from django.contrib.auth.models import User  #自己找到那个接口做校验

from django.contrib.auth.decorators import login_required  #引入

def login(request):

    if request.method =="POST":
        user = request.POST.get("user")
        pwd = request.POST.get("pwd")
        #if 验证成功返回user对象，否则返回None
        user = auth.authenticate(username=user,password=pwd)
        if user:
            auth.login(request,user) #request.user:当前登录对象

            next_url = request.GET.get("next","/index/") #如果找不到就跳转到index页面
            # return redirect("/index/")　　　　　　　　　　#不要写死了就跳转到index
            return redirect(next_url) 　　　　　　　　　　  #动态的根据参数来配

    return render(request, "login.html")

@login_required   #有了装饰器，就不需要自己写下面的了
def index(request):
    # print("request.user:", request.user.username)
    # print("request.user:", request.user.id)
    # print("request.user:", request.user.is_anonymous)
    #
    # if request.user.is_anonymous:   #把这些自己写的认证全关了，@login_required是django给我们封装好了的
    # #if not request.user.is_authenticated: #这两个是一样的
    #     return redirect("/login/")
    # #username = request.user.username
    # #return render(request, "index.html",{"username":username})

    return render(request, "index.html")

def logout(request):
    auth.logout(request)
    return redirect("/login/")

def reg(request):
    if request.method=="POST":
        user = request.POST.get("user")
        pwd = request.POST.get("pwd")
        user = User.objects.create_user(username=user,password=pwd)
        return redirect("/login/")
    return render(request,"reg.html")

@login_required
def order(request):
    # if not request.user.is_outhenticated:
    #     return redirect("/login/")  #可以加装饰器，不用自己这样写了
    return render(request,"order.html")

　　若用户没有登录，则会跳转到django默认的 登录URL '/accounts/login/ ' (这个值可以在settings文件中通过LOGIN_URL进行修改)。并传递  当前访问url的绝对路径 (登陆成功后，会重定向到该路径)。