『Django』第N+1节: Django自带的认证系统 - auth

个人网站: lipeiguan.top

以后会慢慢转移到个人网站, 欢迎大家收藏^ . ^

写在前面

我们在开发一个网站的时候, 经常需要实现网站的用户系统. 这个时候我们需要实现用户注册、用户登录、用户认证、注销、修改密码等一系列功能. 如果我们都是自己实现的话, 不是不可以, 只是有些浪费时间.

而Django则内置了一个用户认证系统 --> auth, 它默认使用 auth_user表来储存用户的数据.

那么接下来就来了解一下这个强大的用户认证系统.

auth模块

导入auth

要使用这个模块, 就需要先导入它.

from django.contrib import auth

auth模块中的各种方法

authenticate()

• 验证用户名以及密码是否正确

该函数提供了用户认证功能, 一般需要username、password两个关键字参数.

如果用户名和密码正确, 则会返回一个User对象, authenticate()会在该User对象上设置一个属性来标识后端已经认证了该用户, 而且该信息在后续的登录过程中是需要的.

具体用法:

user = auth.authenticate(request, username="username", password="password")

login(HttpRequest, user)

• 登录

该函数接受一个HttpRequest对象, 以及一个经过认证的User对象.

主要实现了一个用户登录的功能, 它会在后端为该用户生成相关的session数据.

具体用法:

from django.shortcuts import render, redirect
from django.contrib import auth

def my_login(request):
	if request.method == "POST":
        username = request.POST.get("username")
        password = request.POST.get("password")
        user = auth.authenticate(request, username=username, password=password)
        if user:
            auth.login(request, user)
            # Redirect to a success page.
        else:
            # Return an "invalid login" error message.
    return render(request, "login.html")

logout(request)

• 注销用户

该函数接受一个HttpRequest对象, 无返回值.

当调用该函数时, 当前请求的session信息会全部清除. 该用户即使没有登录, 使用该函数也不会报错.

具体用法:

from django.authenticate import auth

def logout(request):
	auth.logout(request)
	# Redirect to a success page.
	return redirect('/login/')

is_authenticated()

• 判断当前请求是否通过了认证

如果一个页面需要登录才能访问, 一个用户在没有登录的情况下就访问该页面的话就会直接跳转到登录页面, 之后在完成登录之后, 会自动访问跳转之前的页面.

具体用法:

def login(request):
	if not request.user.is_authenticated();
		return redirect("%s?next=%s" % (settings.LOGIN_URL, requedt.path))

Django也为我们设计好了一个用于该情况的装饰器. 见 login_required()

login_required()

• 登录校验

auth给我们提供了一个装饰器工具, 用来快捷的给某个视图添加登录校验.

具体用法:

from django.contrib.auth.decorators import login_required

@login_required
def index(request):
	...

若用户没有登录, 则会跳转到Django默认的登录URL: 'accounts/login', 并传递当前访问URL的绝对路径(登录成功后, 会重定向到该路径).

当然, 我们可以自定义登录的URL, 在settings.py文件中添加如下代码

LOGIN_URL = '/login/'

---

create_user()

• 创建新用户

auth提供的一个创建新用户的方法, 需要提供必要参数(username、password)等.

具体用法:

from django.contrib.auth.models import User

user = User.objects.create_user(username="用户名", password="密码", email="邮箱(可以为空)", ...)

create_superuser()

• 创建超级用户

auth提供一个创建新的超级用户的方法, 需要提供必要参数(username, password)等.

具体用法:

from django.contrib.auth.models import User

user = User.objects.create_superuser(username="用户名", password="密码", email="邮箱", ...)

check_password(password)

• 检查密码是否正确

auth提供一个检查密码是否正确的方法, 需要提供当前请求用户的密码.

比如当用户需要修改密码时, 要输入原来的密码, 如果输入的字符串通过了密码检查, 则返回 True, 否则返回 False.

具体用法:

ok = request.user.check_password("密码")

set_password(password)

• 修改密码

auth提供的一个修改密码的方法, 接收 要设置的新密码 作为参数.

注意: 设置完一定要调用用户对象的save方法!!!

具体用法:

request.user.set_password("密码")
request.user.save()

登录、修改密码、注册、注销功能示例

登录:

def login(request):
	if request.method == "POST":
		username = request.POST.get("username")
		password = request.POST.get("password")
		user_obj = auth.authenticate(request, username=username, password=password)
		if user_obj:
			# 记录登录状态
			auth.login(request, user_obj)
			next = request.GET.get("next")
			if next:
				return redirect(next)
			return redirect('/index/')
	return render(request, "login.html")

修改密码:

@login_required
def set_password(request):
	user = request.user
	error_message = ""
	if request.method == "POST":
		old_password = request.POST.get("old_password")  # 旧密码
		new_password = request.POST.get("new_password")  # 新密码
		repeat_password = request.POST.get("repeat_password")  # 重复密码
		if user.check_password(old_password):
			if not new_password:
				error_message = "新密码不能为空"
			elif new_password != repeat_password:
				error_message = "两次密码不一致"
			else:
				user.set_password(new_password)
				user.save()
				return redirect('/login/')
		else:
			error_message = "原密码输入有误"
			return render(request, "set_password.html", {"error_message": erroe_message})
	return render(request, "set_password.html")

注册:

def reg(request):
	error_message = ""
	if request.method == "POST":
		username = request.POST.get("username")
		password = request.POST.get("password")
		repeat_password = request.POST.get("repeat_password")
		if password:
			if password != repeat_password:
				error_message = "密码输入不一致"
			else:
				User.objects.create_user(username=username, password=password)
				return redirect('/login/')
		else:
			error_message = "密码不能为空"
	return render(request, "reg.html")

注销:

def logout(request):
	auth.logout(request)
	return redirect('/login/')

User对象的属性

• id
• username: 用户名
• password: 密码
• email: 邮箱
• is_staff: 用户是否拥有网站的管理权限
• is_active: 是否允许用户登录. 设置为False, 可以在不删除用户的前提下禁止用户登录
• is_superuser: 是否是超级用户
• last_login: 最后登录时间
• first_name: 名
• last_name: 姓
• date_joined

扩展默认的auth_user表

Django内置的认证系统很好用,但是提供的auth_user表的字段只有那么几个, 如果需要增加几个字段该怎么办呢?

比如说想增加一个存储用户手机号的字段, 就可以通过继承内置的AbstractUser类, 来定义一个自己的Model类.

这样既可以根据项目需求设计用户表, 也可以使用Django的认证系统.

具体方法:

from django.contrib.auth.models import AbstractUser

class UserInfo(AbstractUser):
	nid = models.AutoField(primary_key=True)
	phone = models.CharField(max_length=11, null=True, unique=True)

	def __str__(self):
		return self.username

注意:

只是按照上面的方式扩展了内置的auth_user表之后还不够, 还需要在settings.py文件中告诉Django, 我现在使用我定义的UserInfo表来做用户认证.

在settings.py中添加如下代码:

# 引用Django自带的User表, 继承时需要设置
AUTH_USER_MODEL = "app名.UserInfo"

注意:

一旦我们指定了新的认证系统所使用的表, 就需要重新在数据库中创建表, 而不能继续使用原来默认的auth_user表了.