Django用户认证系统 Web请求中的认证解析
在每个Web请求中都提供一个 request.user 属性来表示当前用户。如果当前用户未登录,则该属性为AnonymousUser的一个实例,反之,则是一个User实例。
你可以通过is_authenticated()来区分,例如:
if request.user.is_authenticated(): # Do something for authenticated users. else: # Do something for anonymous users.
登陆login
login()
登陆函数,需要一个HttpRequest对象和一个User对象作参数。login()使用django的session框架,将User的id存储在session中。
同时使用authenticate()和login():
from django.contrib.auth import authenticate, login
def my_view(request):
username = request.POST['username']
password = request.POST['password']
user = authenticate(username=username, password=password)
if user is not None:
if user.is_active:
login(request, user)
# Redirect to a success page.
else:
# Return a 'disabled account' error message
else:
# Return an 'invalid login' error message.
如果不知道密码,login方法:
user=MyUser.objects.get(...) user.backend = 'django.contrib.auth.backends.ModelBackend' login(request,user)
退出登录logout
logout()
使用HttpRequest对象为参数,无返回值。例如:
from django.contrib.auth import logout def logout_view(request): logout(request) # Redirect to a success page.
限制访问
The raw way
使用 request.user.is_authenticated()
再定向:
from django.shortcuts import redirect
def my_view(request):
if not request.user.is_authenticated():
return redirect('/login/?next=%s' % request.path)
# ...
或者:
from django.shortcuts import render
def my_view(request):
if not request.user.is_authenticated():
return render(request, 'myapp/login_error.html')
# ...
使用装饰器login_required
login_required([redirect_field_name=REDIRECT_FIELD_NAME, login_url=None]
from django.contrib.auth.decorators import login_required @login_required def my_view(request): ...
如果用户未登录,则重定向到 settings.LOGIN_URL,并将现在的url相对路径构成一个next做key的查询字符对附加到 settings.LOGIN_URL后面去:
/accounts/login/?next=/polls/3/.
query字符对的key默认为next,也可以自己命名:
from django.contrib.auth.decorators import login_required @login_required(redirect_field_name='my_redirect_field') def my_view(request): ...
也可以自己定义login_url:
from django.contrib.auth.decorators import login_required @login_required(login_url='/accounts/login/') def my_view(request): ...
urls.py中需定义:
(r'^accounts/login/$', 'django.contrib.auth.views.login'),
测试登录用户
例如,要检测用户的email:
def my_view(request):
if not '@example.com' in request.user.email:
return HttpResponse("You can't vote in this poll.")
# ...
可以用装饰器:
from django.contrib.auth.decorators import user_passes_test def email_check(user): return '@example.com' in user.email @user_passes_test(email_check) def my_view(request): ...
也可以改变login_url:
@user_passes_test(email_check, login_url='/login/') def my_view(request): ...
认证Views
当然,我们可以自己定义一些登陆,登出,密码管理的view 函数,而且也更加方便。
不过也可以学习下Django内置的views。
Django没有为认证views提供缺省模板,however the template context is documented for each view below.
所有内置views都返回一个TemplateResponse实例,可以让你很方便的定制response数据。
https://github.com/django/django/blob/master/django/contrib/auth/views.py
多数的内置认证views都提供一个URL名称以便使用。
login(request[, template_name, redirect_field_name, authentication_form,current_app,extra_context])
源码:
def login(request, template_name='registration/login.html',
redirect_field_name=REDIRECT_FIELD_NAME,
authentication_form=AuthenticationForm,
current_app=None, extra_context=None):
"""
Displays the login form and handles the login action.
"""
redirect_to = request.POST.get(redirect_field_name,
request.GET.get(redirect_field_name, ''))
if request.method == "POST":
form = authentication_form(request, data=request.POST)
if form.is_valid():
# Ensure the user-originating redirection url is safe.
if not is_safe_url(url=redirect_to, host=request.get_host()):
redirect_to = resolve_url(settings.LOGIN_REDIRECT_URL)
# Okay, security check complete. Log the user in.
auth_login(request, form.get_user())
return HttpResponseRedirect(redirect_to)
else:
form = authentication_form(request)
current_site = get_current_site(request)
context = {
'form': form,
redirect_field_name: redirect_to,
'site': current_site,
'site_name': current_site.name,
}
if extra_context is not None:
context.update(extra_context)
return TemplateResponse(request, template_name, context,
current_app=current_app)
URL name: login
参数:
template_name: 默认的登陆模板.默认为registration/login.html.
redirect_field_name: 重定向的name,默认为next.
authentication_form: 默认Form. Defaults to AuthenticationForm.
current_app: A hint indicating which application contains the current view. See the namespaced URL resolution strategy for more information.
extra_context: 添加到默认context data中的额外数据,为字典。
django.contrib.auth.views.login does:
如果通过GET访问, 将显示登录表单,可以将其内容POST到相同的URL上。
如果通过POST访问,它首先会尝试登录,如果成功,view就重定向到next指定的的链接。如果next 未设置,则重定向到settings.LOGIN_REDIRECT_URL(一般缺省值为accounts/profile/)。如果登录失败,则再次显示登录表单。
需要用户自己来提供login的html模板,缺省是registration/login.html 。这个模板将传递4个模板上下文变量:
form: 一个表单对象AuthenticationForm.
next: 登录成功后的重定向链接,可以包含一个query string中。
site: 当前网站,根据 SITE_ID 设置。如果你并没有安装site框架,这个变量将设定为一个 RequestSite实例,它从当前 HttpRequest中取得站点名和域名。
site_name: 是 site.name的一个别名。如果你没有安装site框架,它将会被设为 request.META['SERVER_NAME']的值。
如果你不想调用registration/login.html模板,你可以在URLconf中设定特定的view参数来传递template_name参数。
(r'^accounts/login/$', 'django.contrib.auth.views.login', {'template_name': 'myapp/login.html'}),
你也可以自己指定重定向链接字段名,通过redirect_field_name 参数。默认的字段名为next.
下面是registration/login.html 模板的原始状态,它假定你有一个base.html模板(其中有content block的定义。
{% extends "base.html" %}
{% block content %}
{% if form.errors %}
<p>Your username and password didn't match. Please try again.</p>
{% endif %}
<form method="post" action="{% url 'django.contrib.auth.views.login' %}">
{% csrf_token %}
<table>
<tr>
<td>{{ form.username.label_tag }}</td>
<td>{{ form.username }}</td>
</tr>
<tr>
<td>{{ form.password.label_tag }}</td>
<td>{{ form.password }}</td>
</tr>
</table>
<input type="submit" value="login" />
<input type="hidden" name="next" value="{{ next }}" />
</form>
{% endblock %}
如果自己定制认证系统,可以通过 authentication_form 参数把自定义的认证表单传给login view。该表单的__init__ 方法应该有一个request 的参数,并提供一个 get_user 方法来返回认证后的User对象。
logout(request[, next_page, template_name, redirect_field_name, current_app,extra_context])
登出用户.
URL name: logout
可选参数:
next_page: 注销后的重定向链接.
logout_then_login(request[, login_url, current_app, extra_context])
注销用户然后重定向到登录链接.
可选参数:
login_url: 登陆页面的重定向链接,缺省值为 settings.LOGIN_URL。
password_change(request[, template_name, post_change_redirect,password_change_form,current_app, extra_context])
允许用户修改密码.
URL name: password_change
可选参数 Optional arguments:
template_name: 模板名,缺省值为registration/password_change_form.html 。
post_change_redirect: 重定向链接。
password_change_form: 自定义的密码修改表单,包括一个user 参数。缺省值为PasswordChangeForm.
password_change_done(request[, template_name,current_app, extra_context])
用户修改密码后的页面.
URL name: password_change_done
可选参数 Optional arguments:
template_name: 模板名称,缺省为registration/password_change_done.html.
password_reset(request[, is_admin_site, template_name, email_template_name, password_reset_form, token_generator, post_reset_redirect, from_email, current_app, extra_context, html_email_template_name])
向用户发送邮件,内含一个一次性链接,来让用户重设密码。
如果提供的邮箱不存在,则不会发送。
URL name: password_reset
可选参数 Optional arguments:
template_name: 模板名称,缺省值为registration/password_reset_form.html。
email_template_name: 用来生成带充值链接email的模板名称,缺省值为registration/password_reset_email.html。
subject_template_name: 用来生成邮件主题的模板名称,缺省值为 registration/password_reset_subject.txt。
password_reset_form: 重设密码的表单,缺省值为 PasswordResetForm.
token_generator: 检查一次性链接的类实例,缺省值为default_token_generator, 其类为django.contrib.auth.tokens.PasswordResetTokenGenerator.
post_reset_redirect: 密码重置后的重定向链接.
from_email: 邮件地址,缺省值为DEFAULT_FROM_EMAIL.
current_app: A hint indicating which application contains the current view. See the namespaced URL resolution strategy for more information.
extra_context: A dictionary of context data that will be added to the default context data passed to the template.
html_email_template_name: The full name of a template to use for generating a text/html multipart email with the password reset link. By default, HTML email is not sent.
示例: registration/password_reset_email.html (email内容模板):
Someone asked for password reset for email {{ email }}. Follow the link below:
{{ protocol}}://{{ domain }}{% url 'password_reset_confirm' uidb64=uid token=token %}
password_reset_done(request[, template_name])
显示用户选择发送密码重置邮件后的页面。如果 password_reset() view中没有显式指定post_reset_redirect链接时,则直接调用本view。
password_reset_confirm(request[, uidb36, token, template_name, token_generator,set_password_form, post_reset_redirect,current_app, extra_context])
显示输入新密码的表单.
password_reset_complete(request[, template_name, current_app, extra_context])
重置密码成功后的表单。
Helper functions
redirect_to_login(next[, login_url, redirect_field_name])
重定向到登录页面,登录成功后的在重定向到另一链接。.
参数:
next: 登录成功后的链接.
login_url: 登陆页面链接,默认缺省值:settings.LOGIN_URL。
redirect_field_name: 重定向字段名称,缺省值为next。
内置表单 Built-in forms
class AdminPasswordChangeForm
admin后台的用户密码修改表单
class AuthenticationForm
登录表单。
方法confirm_login_allowed(user)
例如,允许所有的users登陆,不管is_active属性:
from django.contrib.auth.forms import AuthenticationForm
class AuthenticationFormWithInactiveUsersOkay(AuthenticationForm):
def confirm_login_allowed(self, user):
pass
或者只允许活跃用户登陆:
class PickyAuthenticationForm(AuthenticationForm):
def confirm_login_allowed(self, user):
if not user.is_active:
raise forms.ValidationError(
_("This account is inactive."),
code='inactive',
)
if user.username.startswith('b'):
raise forms.ValidationError(
_("Sorry, accounts starting with 'b' aren't welcome here."),
code='no_b_users',
)
class PasswordChangeForm
修改密码表单.
class PasswordResetForm
密码重置表单.
class SetPasswordForm
密码设置表单.
class UserChangeForm
admin后台的用户信息和权限修改表单.
class UserCreationForm
用户创建表单.
模板中的认证信息 Authentication data in templates
当前登录用户及其权限可以在模板变量中取得,通过使用RequestContext.
Users
在渲染模板 RequestContext时,当前的登录用户无论是User实例还是AnonymousUser 实例均保存在模板变量 {{ user }}:
{% if user.is_authenticated %}
<p>Welcome, {{ user.username }}. Thanks for logging in.</p>
{% else %}
<p>Welcome, new user. Please log in.</p>
{% endif %}
如果未使用 RequestContext,则此变量不存在。
使用RequestContext:
from django.shortcuts import render_to_response
from django.template import RequestContext
def some_view(request):
# ...
return render_to_response('my_template.html',
my_data_dictionary,
context_instance=RequestContext(request))
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。
相关推荐
-
深入理解Django中内置的用户认证
前言 本文主要给大家介绍了关于Django中内置用户认证的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧. 认证登陆 在进行用户登陆验证的时候,如果是自己写代码,就必须要先查询数据库,看用户输入的用户名是否存在于数据库中: 如果用户存在于数据库中,然后再验证用户输入的密码,这样一来就要自己编写大量的代码. 事实上,Django已经提供了内置的用户认证功能. 在使用"python manage.py makemigrationss"和"python m
-
利用Django内置的认证视图实现用户密码重置功能详解
前言 密码重置功能相信对大家来说都不陌生,本文主要给大家介绍了关于使用Django内置的认证视图实现简单的通过邮箱重置密码的功能,分享出来供大家参考学习,下面话不多说了,来一起来看看详细的介绍吧. 版本: django 1.11 实现方法 在django.contrib.auth.views中提供了四个类视图用于密码重置 class PasswordResetView URL name: password_reset #要保持相同 通过给邮箱发送重置密码的链接进行密码重置.注意如果邮箱不存在,
-
django rest framework 实现用户登录认证详解
1.安装 pip install djangorestframework 2.创建项目及应用 创建项目 创建应用 目录结构如图 3.设置settings.py 设置数据库连接 # MySQL 增加mysql 连接 DATABASES = { 'default':{ 'ENGINE':'django.db.backends.mysql', 'HOST':'127.0.0.1', 'PORT':'3306', 'NAME':'dbname', # 数据库名 'USER':'username', 'P
-
Django用户认证系统 User对象解析
User对象 User对象是认证系统的核心.用户对象通常用来代表网站的用户,并支持例如访问控制.注册用户.关联创建者和内容等.在Django认证框架中只有一个用户类,例如超级用户('superusers')或('staff')用户只不过是相同用户对象设置了不同属性而已. 缺省字段Fields username 用户名,必需字段.30个字符或更少,可以包含 _, @, +, . 和 - 字符. first_name 可选. 30 characters or fewer. last_name 可选.
-
Django用户认证系统 Web请求中的认证解析
在每个Web请求中都提供一个 request.user 属性来表示当前用户.如果当前用户未登录,则该属性为AnonymousUser的一个实例,反之,则是一个User实例. 你可以通过is_authenticated()来区分,例如: if request.user.is_authenticated(): # Do something for authenticated users. else: # Do something for anonymous users. 登陆login login(
-
详解如何在SpringBoot中自定义参数解析器
目录 前言 1.自定义参数解析器 2.PrincipalMethodArgumentResolver 3.RequestParamMapMethodArgumentResolver 4.小结 前言 在一个 Web 请求中,参数我们无非就是放在地址栏或者请求体中,个别请求可能放在请求头中. 放在地址栏中,我们可以通过如下方式获取参数: String javaboy = request.getParameter("name "); 放在请求体中,如果是 key/value 形式,我们可以通
-
Django认证系统实现的web页面实现代码
结合数据库.ajax.js.Djangoform表单和认证系统的web页面 一:数据模块 扩展了Django中的user表,增加了自定义的字段 from django.db import models from django.contrib.auth.models import AbstractUser # Create your models here. class UserInfo(AbstractUser): phone = models.CharField(max_length=11)
-
Django自带用户认证系统使用方法解析
Django自带用户认证系统,这个系统支持访问控制.注册用户.关联创建者和内容等:在开发用户认证功能时的时候,可以使用django中的django.contrib.auth 中封裝了注册.认证,登录登出方法,可以直接使用: 相关表 在使用"python manage.py makemigrationss"和"python manage.py migrate"迁移完成数据库之后 根据配置文件settings.py中的数据库段生成的数据表中已经包含了6张进行认证的数据表
-
基于Django用户认证系统详解
一. 认证系统概要 create_user 创建用户 authenticate 验证登录 login 记住用户的登录状态 logout 退出登录 is_authenticated 判断用户是否登录 login_required 判断用户是否登录的装饰器 二. 创建用户和验证登录 当用户注册的时候用create_user(username,password,email)默认情况下is_active=True,is_staff=False,is_superuser=False. 底层将passwor
-
Django用户认证系统 组与权限解析
Django的权限系统很简单,它可以赋予users或groups中的users以权限. Django admin后台就使用了该权限系统,不过也可以用到你自己的代码中. User对象具有两个ManyToManyField字段,groups和user_permissions groups = models.ManyToManyField(Group, verbose_name=_('groups'), blank=True, help_text=_('The groups this user bel
-
Django用户认证系统如何实现自定义
自定义用户认证系统 Django 自带的用户认证系统已经可以满足大部分的情况,但是有时候我们需要某些特定的需求.Django 支持使用其他认证系统.也可以扩展Django的User模块,完全自定义新的认证模块. 参考:https://docs.djangoproject.com/en/2.0/topics/auth/customizing/ a.拷贝以下代码到model文件中: from django.db import models from django.contrib.auth.model
-
django认证系统 Authentication使用详解
前言 Django自带一个用户认证系统,用于处理用户账户.群组.许可和基于cookie的用户会话. Django的认证系统包含了身份验证和权限管理两部分.简单地说,身份验证用于核实某个用户是否合法,权限管理则是决定一个合法用户具有哪些权限.往后,'认证'这个词同时代指上面两部分的含义. Django的认证系统主要包括下面几个部分: 用户 许可 组 可配置的密码哈希系统 用于用户登录或者限制访问的表单和视图工具 可插拔的后台系统 类似下面的问题,不是Django认证系统的业务范围,请使用第三方工具
-
Django 用户认证组件使用详解
一.auth模块 # 创建超级用户 python manage.py createsuperuser from django.contrib import auth django.contrib.auth中提供了许多方法: authenticate() 提供了用户认证功能,即验证用户名以及密码是否正确,一般需要username .password两个关键字参数. 如果认证成功(用户名和密码正确有效),便会返回一个 User 对象. authenticate()会在该 User 对象上设置一个属性