1、用户认证组件
用户认证组件:
功能:用session记录登录验证状态
前提:用户表:django自带的auth_user
创建超级用户: python3 manage.py createsuperuser
创建超级用户
C:\PycharmProjects\authdemo>python manage.py createsuperuser
Username (leave blank to use 'venicid'): alex
Email address: # 空
Password: 1234
Password (again):
This password is too short. It must contain at least 8 characters.
This password is entirely numeric.
Password: 12345678
Password (again):
This password is too common.
This password is entirely numeric.
Password: qwerasdf
Password (again):
Superuser created successfully.
不能像一般取数据库中的数据,密码是密文的
2、auth模块详细代码
from django.contrib import auth #django.contrib.auth中提供了许多方法,这里主要介绍其中的三个:
创建超级用户
C:\PycharmProjects\authdemo>python manage.py createsuperuser
Username (leave blank to use 'venicid'): alex
Email address: # 空
Password: 1234
Password (again):
This password is too short. It must contain at least 8 characters.
This password is entirely numeric.
Password: 12345678
Password (again):
This password is too common.
This password is entirely numeric.
Password: qwerasdf
Password (again):
Superuser created successfully.
主url
from django.contrib import admin
from django.urls import path, re_path, include urlpatterns = [
path('admin/', admin.site.urls),
re_path(r'^', include(("app01.urls", "app01")))
]
url
from django.urls import path, re_path, include
from app01 import views urlpatterns = [
re_path(r'^login/$', views.login, name="login"),
re_path(r'^index/$', views.index, name="index"),
re_path(r'^logout/$', views.logout, name="logout"),
]
view
from django.shortcuts import render, redirect, HttpResponse
from django.contrib import auth # 导入auth模块 # from django.contrib.auth.models import User # 导入User表
# Create your views here. def login(request):
if request.method == "POST":
user = request.POST.get("user")
pwd = request.POST.get("pwd") # if 验证成功返回user对象,否则返回None
user = auth.authenticate(username=user, password=pwd)
if user:
auth.login(request, user) # request.user = user
# request.user:当前登录对象
return redirect("/index/")
#
# 一般做法
# User.objects.filter(username=user, password=pwd).first() # 密码是密文的(摘要算法),获取不到 return render(request, "login.html") def index(request):
print("request user:", request.user)
print("request user id:", request.user.id)
print("request user is_anonymous:", request.user.is_anonymous)
"""
匿名用户
class models.AnonymousUser django.contrib.auth.models.AnonymousUser 类实现了django.contrib.auth.models.User 接口,但具有下面几个不同点: id 永远为None。
username 永远为空字符串。
get_username() 永远返回空字符串。
is_staff 和 is_superuser 永远为False。
is_active 永远为 False。
groups 和 user_permissions 永远为空。
is_anonymous() 返回True 而不是False。
is_authenticated() 返回False 而不是True。
set_password()、check_password()、save() 和delete() 引发 NotImplementedError。
New in Django 1.8:
新增 AnonymousUser.get_username() 以更好地模拟 django.contrib.auth.models.User。
""" if request.user.is_anonymous:
return redirect("/login/") """
# username传递到模板层
username = request.user.username
return render(request, "index.html", {"username": username})
"""
# request是全局变量,可以不用传递
return render(request, "index.html") def logout(request): # flush 删除session
auth.logout(request) return redirect("/login/")
login.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form action="" method="post">
{% csrf_token %}
username <input type="text" name="user">
password <input type="text" name="pwd">
<input type="submit" value="submit">
</form>
</body>
</html>
index.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h3>hi {{ username }}</h3>
<h3>hi {{ request.user.username }}</h3>
<h3>hi {{ request.user.id }}</h3>
<h3>hi {{ request.user.password }}</h3> <a href="/logout/">注销</a>
</body>
</html>
2.1、登录验证 authenticate()
提供了用户认证,即验证用户名以及密码是否正确,一般需要username password两个关键字参数
如果认证信息有效,会返回一个 User 对象。authenticate()会在User 对象上设置一个属性标识那种认证后端认证了该用户,且该信息在后面的登录过程中是需要的。
当我们试图登陆一个从数据库中直接取出来不经过authenticate()的User对象会报错的!!
2.2、session信息存储: login(HttpRequest, user)
该函数接受一个HttpRequest对象,以及一个认证了的User对象
此函数使用django的session框架给某个已认证的用户附加上session id等信息。
login方法源码剖析
用户认证注册功能:auth模块 与中间件,配合使用的
匿名用户对象:如果没有登录直接访问index的话
匿名用户
class models.AnonymousUser django.contrib.auth.models.AnonymousUser 类实现了django.contrib.auth.models.User 接口,但具有下面几个不同点: '''
id 永远为None。
username 永远为空字符串。
get_username() 永远返回空字符串。
is_staff 和 is_superuser 永远为False。
is_active 永远为 False。
groups 和 user_permissions 永远为空。
is_anonymous() 返回True 而不是False。
is_authenticated() 返回False 而不是True。
set_password()、check_password()、save() 和delete() 引发 NotImplementedError。
New in Django 1.8:
新增 AnonymousUser.get_username() 以更好地模拟 django.contrib.auth.models.User。
'''
登录 用户变了,session就变了
添加一个新的超级用户
C:\PycharmProjects\authdemo>python manage.py createsuperuser
Username (leave blank to use 'venicid'): # redhat
Email address:
Password: # 1234qwer
Password (again):
Superuser created successfully.
request.user是一个全局变量,可以不用传值到模板层
2.3、注销功能 logout(request)
该函数接受一个HttpRequest对象,无返回值。当调用该函数时,当前请求的session信息会全部清除。该用户即使没有登录,使用该函数也不会报错。
logout源码
3、User对象
User 对象属性:username, password(必填项)password用哈希算法保存到数据库
完整代码
主url
from django.contrib import admin
from django.urls import path, re_path, include urlpatterns = [
path('admin/', admin.site.urls),
re_path(r'^', include(("app01.urls", "app01")))
]
url
from django.urls import path, re_path, include
from app01 import views urlpatterns = [
re_path(r'^login/$', views.login, name="login"),
re_path(r'^index/$', views.index, name="index"),
re_path(r'^logout/$', views.logout, name="logout"),
re_path(r'^reg/$', views.reg, name="reg"),
re_path(r'^order/$', views.order, name="order"),
]
vies
from django.shortcuts import render, redirect, HttpResponse
from django.contrib import auth # 导入auth模块
from django.contrib.auth.models import User # 导入User对象 User == auth_user def login(request):
if request.method == "POST":
user = request.POST.get("user")
pwd = request.POST.get("pwd") user = auth.authenticate(username=user, password=pwd)
if user:
auth.login(request, user) # request.user:当前登录对象 # return redirect("/index/") next_url = request.GET.get("next", "/index/")
return redirect(next_url) return render(request, "login.html") def logout(request):
# flush 删除session
auth.logout(request) return redirect("/login/") def reg(request):
if request.method == "POST":
user = request.POST.get("user")
pwd = request.POST.get("pwd") # User.objects.create(username=user, password=pwd) # create,密码要经过摘要算法加密,才能存到数据库表
user = User.objects.create_user(username=user, password=pwd) # create_user
return redirect("/login/") return render(request, "reg.html") # 认证登录 # 方式1:
def index1(request):
if not request.user.is_authenticated: # 没有被认证
return redirect("/login/") return render(request, "index.html") # 方式2:
from django.contrib.auth.decorators import login_required # 登录装饰器 @login_required
def index(request): return render(request, "index.html") @login_required
def order(request): return render(request, "order.html")
模板层: 同上
3.1 用户认证:is_authenticated(),装饰器@login_requierd
如果是真正的 User 对象,返回值恒为 True 。 用于检查用户是否已经通过了认证。
通过认证并不意味着用户拥有任何权限,甚至也不检查该用户是否处于激活状态,这只是表明用户成功的通过了认证。
这个方法很重要, 在后台用request.user.is_authenticated()判断用户是否已经登录,如果true则可以向前台展示request.user.name
要求:
1 用户登陆后才能访问某些页面,
2 如果用户没有登录就访问该页面的话直接跳到登录页面
3 用户在跳转的登陆界面中完成登陆后,自动访问跳转到之前访问的地址
方式1:request.user.is_authenticated()
方式2:装饰器:login_requierd()
django已经为我们设计好了一个用于此种情况的装饰器:login_requierd()
跳转到django默认的登录
若用户没有登录,则会跳转到django默认的登录URL '/accounts/login/ ' (这个值可以在settings文件中通过LOGIN_URL进行修改)。并传递 当前访问url的绝对路径 (登陆成功后,会重定向到该路径)。
添加order页面,添加装饰器
from django.contrib.auth.decorators import login_required # 登录装饰器 @login_required
def order(request): return render(request, "order.html")
3.2 、创建用户
使用 create_user 辅助函数创建用户:
from django.contrib.auth.models import User
user = User.objects.create_user(username='',password='',email='')
3.3 、check_password(passwd)
用户需要修改密码的时候 首先要让他输入原来的密码 ,如果给定的字符串通过了密码检查,返回 True
3.4 、修改密码
使用 set_password() 来修改密码
user = User.objects.get(username='')
user.set_password(password='')
user.save
4、总结
用户认证组件:
功能:用session记录登录验证状态
前提:用户表:django自带的auth_user
创建超级用户: python3 manage.py createsuperuser
API:
from django.contrib import auth # 导入auth模块
1 # if 验证成功返回user对象,否则返回None
user = auth.authenticate(username=user, password=pwd)
2 auth.login(request, user) # request.user:当前登录对象
if request.user.is_anonymous: # 是匿名用户
3 auth.logout(request) # flush 删除session
from django.contrib.auth.models import User # 导入User对象 # User == auth_user
4 if not request.user.is_authenticated: # 没有被认证
5 user = User.objects.create_user(username=user, password=pwd) # create_user
补充
匿名用户对象
匿名用户
class models.AnonymousUser
django.contrib.auth.models.AnonymousUser 类实现了django.contrib.auth.models.User 接口,但具有下面几个不同点:
id 永远为None。
username 永远为空字符串。
get_username() 永远返回空字符串。
is_staff 和 is_superuser 永远为False。
is_active 永远为 False。
groups 和 user_permissions 永远为空。
is_anonymous() 返回True 而不是False。
is_authenticated() 返回False 而不是True。
set_password()、check_password()、save() 和delete() 引发 NotImplementedError。
New in Django 1.8:
新增 AnonymousUser.get_username() 以更好地模拟 django.contrib.auth.models.User。
"""
总结:
if not:
auth.login(request, user) # request.user == AnonymousUser()
else:
request.user == 登录对象
request.user是一个全局变量
在任何视图和模板直接使用
5