一、介绍
基本上在任何网站上,都无可避免的需要设计实现网站的用户系统。此时我们需要实现包括用户注册、用户登录、用户认证、注销、修改密码等功能。
使用Django,我们可以不需要自己写这些功能,因为Django内置了强大的用户认证系统--auth,它默认使用 auth_user 表来存储用户数据。
from django.contrib import auth # 使用auth认证系统
from django.contrib.auth.models import User # auth认证系统默认使用User表
注意:命令行创建超级用户 python manage.py createsuperuser
二、authenticate()
提供了用户认证功能,即验证用户名以及密码是否正确,一般需要username 、password两个关键字参数。
如果认证成功(用户名和密码正确有效),便会返回一个 User 对象。
authenticate()会在该 User 对象上设置一个属性(id)来标识后端已经认证了该用户,且该信息在后续的登录过程中是需要的。
用法:
from django.contrib import auth
user_obj = auth.authenticate(username=username,password=pwd)
三、login(request, user)
该函数接受一个HttpRequest对象,以及一个经过认证的User对象。
该函数实现一个用户登录的功能。它本质上会在后端为该用户生成相关session数据。
用法:auth.login(request, user_obj)
示例:
from django.shortcuts import render, HttpResponse, redirect
from django.contrib import auth
def login(request):
if request.method == "POST":
username = request.POST.get('username')
pwd = request.POST.get('password')
# 调用auth模块的认证方法,判断用户名和密码是否正确,正确返回一个user_obj
user_obj = auth.authenticate(username=username, password=pwd)
if user_obj:
# 登录成功,设置Session数据
auth.login(request, user_obj)
return HttpResponse('登录成功')
else:
return render(request, 'login.html', {'error_msg': '用户名或者密码错误'})
return render(request, 'login.html')
注意:
只要使用login(request, user_obj)之后,request.user就能拿到当前登录的用户对象。否则request.user得到的是一个匿名用户对象(AnonymousUser Object)。
详细原理请查看 AuthenticationMiddleware 中间件源码。
四、logout(request)
该函数接受一个HttpRequest对象,无返回值。
当调用该函数时,当前请求的session信息会全部清除。该用户即使没有登录,使用该函数也不会报错。
用法:
from django.contrib import auth
def logout(request):
auth.logout(request)
return redirect('/login/')
五、login_requierd()
auth 给我们提供的一个装饰器工具,用来快捷的给某个视图添加登录校验。
用法:
from django.contrib.auth.decorators import login_required
@login_required
def index(request):
return render(request, 'index.html')
若用户没有登录,则会跳转到django默认的登录URL '/accounts/login/ ' 并传递当前访问url的绝对路径 (登陆成功后,会重定向到该路径)。
如果需要自定义登录的URL,则需要在settings.py文件中通过LOGIN_URL进行修改。
示例:
LOGIN_URL = '/login/' # 这里配置成你项目登录页面的路由
六、create_user()
auth 提供的一个创建新用户的方法,需要提供必要参数(username、password)等。
用法:
from django.contrib.auth.models import User
user = User.objects.create_user(username='用户名',password='密码',email='邮箱',...)
示例:
def reg(request):
if request.method == 'POST':
username = request.POST.get('username')
pwd = request.POST.get('password')
# 假设数据都经过有效性校验了
# 去数据库创建一条记录
User.objects.create_user(username=username, password=pwd) # create_user创建普通用户
# User.objects.create_superuser(username=username, password=pwd) # create_superuser创建超级用户
# 创建成功,跳转登录页年
return redirect('/login/')
return render(request, 'reg.html')
七、create_superuser()
auth 提供的一个创建新的超级用户的方法,需要提供必要参数(username、password)等。
用法:
from django.contrib.auth.models import User
user_obj = User.objects.create_superuser(username='用户名',password='密码',email='邮箱',...)
八、check_password(raw_password)
auth 提供的一个检查密码是否正确的方法,需要提供当前请求用户的密码。
密码正确返回True,否则返回False。
用法:
ok = user_obj.check_password('密码')
或者直接针对当前请求的user对象校验原密码是否正确:
ok = request.user.check_password(raw_password='原密码')
九、set_password(raw_password)
auth 提供的一个修改密码的方法,接收要设置的新密码 作为参数。
注意:设置完一定要调用用户对象的save方法!!!
用法:
user_obj.set_password('新密码')
user_obj.save()
十、is_authenticated()
用来判断当前请求是否通过了认证。
用法:
def my_view(request):
if not request.user.is_authenticated():
return redirect('%s?next=%s' % (settings.LOGIN_URL, request.path))
十一、用户对象的属性
从user_obj = request.user可以拿到当前登录的用户对象,用户对象user_obj能够拿到认证所用用户表的数据属性,比如username, password等。
其他常用属性含义如下:
is_staff : 用户是否拥有网站的管理权限.
is_active : 是否允许用户登录, 设置为 False,可以在不删除用户的前提下禁止用户登录。
十二、如何拓展auth默认的表
1、介绍
虽然内置的认证系统很好用,但是auth_user表字段都是固定的那几个,如果我想要加一个存储用户手机号的字段怎么办?
方法一:新建另外一张表然后通过一对一和内置的auth_user表关联
方法二:通过继承内置的AbstractUser类,来定义一个自己的Model类。
这样既能根据项目需求灵活的设计用户表,又能使用Django强大的认证系统了。
2、示例:
models.py
from django.db import models
from django.contrib.auth.models import AbstractUser
class UserInfo(AbstractUser):
# 这里定义拓展的字段
gender = models.PositiveIntegerField(choices=((0, '女'),(1, '男'), (2, '保密')))
phone = models.CharField(max_length=11)
3、注意:
按上面的方式扩展了内置的auth_user表之后,一定要在settings.py中告诉Django,我现在使用我新定义的UserInfo表来做用户认证。写法如下:
# 引用Django自带的User表,继承使用时需要设置
AUTH_USER_MODEL = "app名.UserInfo"
4、自定义认证系统默认使用的数据表之后,我们就可以像使用默认的auth_user表那样使用我们的UserInfo表了。比如:
创建普通用户:
UserInfo.objects.create_user(username='用户名', password='密码')
创建超级用户:
UserInfo.objects.create_superuser(username='用户名', password='密码')
5、再次注意:
一旦我们指定了新的认证系统所使用的表,我们就需要重新在数据库中创建该表,而不能继续使用原来默认的auth_user表了。
默认的auth_user表就会被你自定义的表替代,即auth_user表不存在了,我们使用auth模块的方法,修改的就是新的表。
继承AbstractUser是在User表的基础上拓展字段,User表原来的字段还是有的,但是如果我就不想要User表的某些字段,而且还要拓展我需要的字段呢?
怎么办?就需要继承AbstractBaseUser, PermissionsMixin重写一个表,表内的字段完全是你设计的字段
from django.contrib.auth.models import AbstractBaseUser, PermissionsMixin, BaseUserManager
# 定义UserProfile这个类的管理类
class UserManager(BaseUserManager):
use_in_migrations = True
def _create_user(self, email, password, **extra_fields):
"""
Creates and saves a User with the given email and password.
"""
if not email:
raise ValueError('The given email must be set')
email = self.normalize_email(email)
user = self.model(email=email, **extra_fields) # 创建对象
user.set_password(password) # 把密码加密之后再写入数据库
user.save(using=self._db) # 保存到数据库
return user
def create_user(self, email, password=None, **extra_fields):
extra_fields.setdefault('is_staff', False) # 给字典设置默认值
extra_fields.setdefault('is_superuser', False)
return self._create_user(email, password, **extra_fields)
def create_superuser(self, email, password, **extra_fields):
extra_fields.setdefault('is_staff', True)
extra_fields.setdefault('is_superuser', True)
if extra_fields.get('is_staff') is not True:
raise ValueError('Superuser must have is_staff=True.')
if extra_fields.get('is_superuser') is not True:
raise ValueError('Superuser must have is_superuser=True.')
return self._create_user(email, password, **extra_fields)
class UserProfile(AbstractBaseUser, PermissionsMixin):
email = models.EmailField(
max_length=255,
unique=True,
validators=[RegexValidator(r'^[a-zA-Z0-9_.-]+@[a-zA-Z0-9-]+(\.[a-zA-Z0-9-]+)*\.[a-zA-Z0-9]{2,6}$', '邮箱格式不正确'),]
)
is_staff = models.BooleanField(
_('staff status'),
default=False,
help_text=_('Designates whether the user can log into this admin site.'),
)
is_active = models.BooleanField(
_('active'),
default=True,
help_text=_(
'Designates whether this user should be treated as active. '
'Unselect this instead of deleting accounts.'
),
)
name = models.CharField('名字', max_length=32)
department = models.ForeignKey('Department', default=None, blank=True, null=True)
mobile = models.CharField(
'手机',
max_length=32,
default=None,
blank=True,
null=True,
validators=[RegexValidator(r'^1[3-9]\d{9}$', '手机格式不正确')]
)
memo = models.TextField('备注', blank=True, null=True, default=None)
date_joined = models.DateTimeField(auto_now_add=True)
EMAIL_FIELD = 'email' # 发送邮件的字段
USERNAME_FIELD = 'email' # 用来唯一确定auth中的用户
REQUIRED_FIELDS = ['name'] # auth指定除了上面两个配置项的字段还有哪些字段需要必填
class Meta:
verbose_name = '账户信息'
verbose_name_plural = "账户信息"
def clean(self):
super(UserProfile, self).clean()
# 对邮件进行校验
self.email = self.__class__.objects.normalize_email(self.email)
def get_full_name(self):
# The user is identified by their email address
return self.name
def get_short_name(self):
# The user is identified by their email address
return self.email
def __str__(self): # __unicode__ on Python 2
return self.name
# 给ORM添加管理类
objects = UserManager()
十三、修改密码示例
@login_required
def set_password(request):
user = request.user
err_msg = ''
if request.method == 'POST':
old_password = request.POST.get('old_password')
new_password = request.POST.get('new_password')
re_password = request.POST.get('re_password')
# 检查旧密码是否正确
if user.check_password(old_password):
if not new_password:
err_msg = '新密码不能为空'
elif new_password != re_password:
err_msg = '两次密码不一致'
else:
user.set_password(new_password)
user.save()
return redirect("/login/")
else:
err_msg = '原密码输入错误'
return render(request, 'set_password.html', {'err_msg': err_msg})