Django——用户认证
用户与Authentication(身份验证)
Django 用户认证系统处理用户帐号,组,权限以及基于cookie的用户会话。 这个系统一般被称为 auth/auth (认证与授权)系统。 这个系统的名称同时也表明了用户常见的两步处理。
- 验证 (认证) 用户是否是他所宣称的用户(一般通过查询数据库验证其用户名和密码)
- 验证用户是否拥有执行某种操作的 授权 (通常会通过检查一个权限表来确认)
根据这些需求,Django 认证/授权 系统会包含以下的部分:
- 用户 : 在网站注册的人
- 权限 : 用于标识用户是否可以执行某种操作的二进制(yes/no)标志
- 组 :一种可以将标记和权限应用于多个用户的常用方法
- Messages : 向用户显示队列式的系统消息的常用方法
通过 is_authenticated() 方法来判断一个用户是否已经登录了
if request.user.is_authenticated():
# Do something for authenticated users.
else:
# Do something for anonymous users.
创建用户(创建对象)
创建用户最直接的方法是使用包含 create_user() 的函数
>>> from django.contrib.auth.models import User
>>> user = User.objects.create_user('john', 'lennon@thebeatles.com', 'johnpassword')
# At this point, user is a User object that has already been saved
# to the database. You can continue to change its attributes
# if you want to change other fields.
>>> user.last_name = 'Lennon'
>>> user.save()
更改密码
Django 不会在用户模型里保存原始(明文)密码,而只会存储哈希值(请参阅文档 如何管理密码 documentation of how passwords are managed ) 。因此,请不要试图直接操作用户的密码,这就是创建用户需要辅助函数的原因。
1.manage.py changepassword *username* 提供了在命令行修改用户密码的方法。它会提示你输入两次新密码,如果操作成功,新密码就立刻生效。如果你没有提供参数 username ,那么将会尝试修改当前系统用户的密码。
2.在代码里修改密码,使用 set_password():
>>> from django.contrib.auth.models import User
>>> u = User.objects.get(username='john')
>>> u.set_password('new password')
>>> u.save()
如果你已经按照了 Django admin 管理后台,你也可以在管理后台页面修改密码(请参阅authentication system's admin pages)。
Django 还提供了允许用户自行修改密码的` 。
修改密码将会注销用户的所有会话。查看详情请参阅 密码更改时会话失效
使用User对象
User 实例一般从 request.user ,或是其他下面即将要讨论到的方法取得,它有很多属性和方法
AnonymousUser 对象模拟了 部分 的接口,但不是全部,在把它当成真正的user对象 使用前,需要检查一下
User 对象属性
| 属性 | 描述 |
|---|---|
| username | 必须的,不能多于30个字符,仅用字母数字式字符(字母、数字和下划线)。 |
| first_name | 可选; 少于等于30字符。 |
| last_name | 可选; 少于等于30字符。 |
| 可选。 邮件地址。 | |
| password | 必需的。 密码的哈希值(Django不储存原始密码)。 |
| is_staff | 布尔值。 用户是否拥有网站的管理权限。 |
| is_active | 布尔值. 设置该账户是否可以登录。 把该标志位置为False而不是直接删除账户。 |
| is_superuser | 布尔值 标识用户是否拥有所有权限,无需显式地权限分配定义。 |
| last_login | 用户上次登录的时间日期。 它被默认设置为当前的日期/时间。 |
| date_joined | 账号被创建的日期时间 当账号被创建时,它被默认设置为当前的日期/时间。 |
user对象方法
| 方法 | 描述 |
|---|---|
| is_authenticated() | 如果是真正的 User 对象,返回值恒为 True 。 用于检查用户是否已经通过了认证。通过认证并不意味着 用户拥有任何权限,甚至也不检查该用户是否处于激活状 态,这只是表明用户成功的通过了认证。 |
| is_anonymous() | 如果是个 AnonymousUser ,返回值为 True , 如果是 User 对象,返回值为 False 。一般来 说, is_authenticated() 会比这个方法更常用些。 |
| get_full_name() | 返回值为: first_name 加上 last_name ,以 空格分隔。 |
| set_password(passwd) | 如果给定的字符串通过了密码检查,返回 True 。 密码比较已进行了哈希处理。 |
| get_group_permissions() | 返回用户通过所属组获得的权限列表 |
| get_all_permissions() | 返回用户通过所属组和用户自身权限所获得的所有权限 列表。 |
| has_perm(perm) | 如果用户拥有给定的权限,返回 True , perm 应形如 " codename" 的格式。如果用户处于 非激活状态,则总是返回 False 。 |
| has_perms(perm_list) | 如果用户拥有所有给定的权限,返回 True 。 如果用户处于非激活状态,则总是返回 False |
| has_module_perms(app_label) | 如果用户拥有任何给定 app_label 的权限,返回 True 。如果用户处于非激活状态,则总是返回 False |
| get_and_delete_messages() | 返回用户的 Message 对象列表,并从队列中删除。 |
| email_user(subj, msg) | 给用户发送电子邮件,用 DEFAULT_FROM_EMAIL 的设 置作为发件人。也可以用第3个参数 from_email 来 覆盖设置。 |
| get_profile() | 返回用户的网站自定义profile |
权限和认证
User 对象有两个多对多的属性: groups 和 permissions 。 User 对象可以 象使用其他多对多属性的方法一样使用它们。
# Set a user's groups:
myuser.groups = group_list
myuser.groups.set([group_list])
# Add a user to some groups:
myuser.groups.add(group1, group2,...)
# Remove a user from some groups:
myuser.groups.remove(group1, group2,...)
# Remove a user from all groups:
myuser.groups.clear()
# Permissions work the same way
myuser.permissions = permission_list
myuser.permissions.add(permission1, permission2, ...) myuser.permissions.remove(permission1, permission2, ...)
myuser.permissions.clear()
登录和退出(验证用户)
Django 提供内置的视图(view)函数用于处理登录和退出 ,但在开始前,我们来看看如何手工登录和退出,Django 在 django.contrib.auth 中提供了两个函数来处理这些事情—— authenticate() 和 login()
使用 authenticate() 来验证用户。它使用 username 和 password 作为参数来验证,对每个身份验证后端( authentication backend )进行检查。如果后端验证有效,则返回一个 :class:~django.contrib.auth.models.User 对象。如果后端引发 PermissionDenied 错误,将返回 None。举例
from django.contrib.auth import authenticate
user = authenticate(username='john', password='secret')
if user is not None:
# A backend authenticated the credentials
else:
# No backend authenticated the credentials
authenticate() 只是验证一个用户的证书而已。而要登录一个用户,使用 login() 。该函数接受一个 HttpRequest 对象和一个 User 对象作为参数并使用Django的会话( session )框架把用户的ID保存在该会话中。
from django.contrib import auth
def login(request):
username = request.POST['username']
password = request.POST['password']
user = auth.authenticate(username=username, password=password) #验证成功:一个User实例
if user is not None and user.is_active:
# Correct password, and the user is marked "active"
auth.login(request, user)
# Redirect to a success page.
return redirect("/account/loggedin/")
else:
# Show an error page
return redirect("/account/invalid/")
注销一个用户,在你的视图中使用 django.contrib.auth.logout() 。该函数接受一个 HttpRequest 对象作为参数,没有返回值。
from django.contrib import auth
def logout(request):
auth.logout(request)
# Redirect to a success page.
return redirect("/account/loggedout/")
#注意,即使用户没有登录, logout() 也不会抛出任何异常。