Django自定义User模型、认证、权限控制的操作

Django自带强大的User系统,为我们提供用户认证、权限、组等一系列功能,可以快速建立一个完整的后台功能。

但User模型并不能满足我们的需求,例如自带的User表中没有手机号码,而且对于国人来说表中的first_name和last_name并没有什么卵用,对于实际生产中灵活的用户表来说重写User模型是非常有必要的。

扩展User模型

扩展User模型有许多的方法:

1、Proxy继承:

代理继承,此方法只能够继承User本身拥有的字段,并不能够添加和删改,不会影响表中原有的结构,但是可以定义一些方法来获取我们需要的数据:

from django.contrib.auth.models import User
class ProxyUser(User):
    class Meta:
        proxy = True # 定义代理模型
    def get_data(self):
        return self.objects.filter("过滤条件")

2、一对一外键:

如果我们对User本身的字段和验证方法没有要求,只是想要增加额外字段,可以通过创建另外一张表去关联User表,从而添加额外字段,并且我们可以写一个接受保存模型的信号处理方法,只要User调用了save方法,那么关联表就会自动添加一条数据与User新添加的用户进行绑定:

from django.db import models
from django.contrib.auth.models import User
from django.dispatch import receiver # 导入receiver监听信号
from django.db.models.signals import post_save # 导入post_save信号
class ExtensionUser(object):
    """创建一对一模型,并添加新的字段"""
    user = models.OneToOneField(User,on_delete=models.CASCADE)
    telephone = models.CharField(max_length=11,verbose_name="手机号码")
@receiver(post_save,sender=User) # 监听到post_save事件且发送者是User则执行create_extension_user函数
def create_extension_user(sender,instance,created,**kwargs):
    """
    sender:发送者
    instance:save对象
    created:是否是创建数据
    """
    if created:
        # 如果创建对象,ExtensionUser进行绑定
        ExtensionUser.objects.create(user=instance)
    else:
        # 如果不是创建对象,同样将改变进行保存
        instance.extension.save()

3、继承AbstractUser自定义模型:

Django自带的User模型就是继承的AbstractUser类,因此我们可以通过继承AbractUser类自定义User模型:

from django.contrib.auth.models import BaseUserManager,AbstractUser
from shortuuidfield import ShortUUIDField # 使用shortuuid作为User表的主键,使数据更加的安全
class UserManager(BaseUserManager): #自定义Manager管理器
    def _create_user(self,username,password,email,**kwargs):
        if not username:
            raise ValueError("请传入用户名!")
        if not password:
            raise ValueError("请传入密码!")
        if not email:
            raise ValueError("请传入邮箱地址!")
        user = self.model(username=username,email=email,**kwargs)
        user.set_password(password)
        user.save()
        return user
    def create_user(self,username,password,email,**kwargs): # 创建普通用户
        kwargs['is_superuser'] = False
        return self._create_user(username,password,email,**kwargs)
    def create_superuser(self,username,password,email,**kwargs): # 创建超级用户
        kwargs['is_superuser'] = True
        kwargs['is_staff'] = True
        return self._create_user(username,password,email,**kwargs)
class User(AbstractUser): # 自定义User
    GENDER_TYPE = (
        ("1","男"),
        ("2","女")
    )
    uid = ShortUUIDField(primary_key=True)
    username = models.CharField(max_length=15,verbose_name="用户名",unique=True)
    nickname = models.CharField(max_length=13,verbose_name="昵称",null=True,blank=True)
    age = models.IntegerField(verbose_name="年龄",null=True,blank=True)
    gender = models.CharField(max_length=2,choices=GENDER_TYPE,verbose_name="性别",null=True,blank=True)
    phone = models.CharField(max_length=11,null=True,blank=True,verbose_name="手机号码")
    email = models.EmailField(verbose_name="邮箱")
    picture = models.ImageField(upload_to="Store/user_picture",verbose_name="用户头像",null=True,blank=True)
    home_address = models.CharField(max_length=100,null=True,blank=True,verbose_name="地址")
    card_id = models.CharField(max_length=30,verbose_name="身份证",null=True,blank=True)
    is_active = models.BooleanField(default=True,verbose_name="激活状态")
    is_staff = models.BooleanField(default=True,verbose_name="是否是员工")
    date_joined = models.DateTimeField(auto_now_add=True)
    USERNAME_FIELD = 'username' # 使用authenticate验证时使用的验证字段,可以换成其他字段,但验证字段必须是唯一的,即设置了unique=True
    REQUIRED_FIELDS = ['email'] # 创建用户时必须填写的字段,除了该列表里的字段还包括password字段以及USERNAME_FIELD中的字段
    EMAIL_FIELD = 'email' # 发送邮件时使用的字段
    objects = UserManager()
    def get_full_name(self):
        return self.username
    def get_short_name(self):
        return self.username
    class Meta:
        verbose_name = "用户"
        verbose_name_plural = verbose_name

自定义好User模型之后还需要在settings中设置系统才会识别当前User模型作为系统默认User模型,settings中需要先安装app,然后添加AUTH_USER_MODEL=‘app.User':

之后重新python manage.py makemigrations,python manage.py migrate就可以使用该模型作为系统User模型了。

4、继承AbstractBaseUser类、PermissionsMixin类自定义User模型:

继承AbstracUser类自定义User有一个不好的地方,就是我们没有办法改变其已有的字段,比如first_name和last_name我们并不需要,这个时候就可以继承AbstractBaseUser和PermissionsMixin类完全重写User模型:

from django.contrib.auth.models import AbstractBaseUser,PermissionsMixin,BaseUserManager
from shortuuidfield import ShortUUIDField
from django.db import models
class UserManager(BaseUserManager):
    def _create_user(self,username,password,email,**kwargs):
        if not username:
            raise ValueError("请传入用户名!")
        if not password:
            raise ValueError("请传入密码!")
        if not email:
            raise ValueError("请传入邮箱地址!")
        user = self.model(username=username,email=email,**kwargs)
        user.set_password(password)
        user.save()
        return user
    def create_user(self,username,password,email,**kwargs):
        kwargs['is_superuser'] = False
        return self._create_user(username,password,email,**kwargs)
    def create_superuser(self,username,password,email,**kwargs):
        kwargs['is_superuser'] = True
        kwargs['is_staff'] = True
        return self._create_user(username,password,email,**kwargs)
class User(AbstractBaseUser,PermissionsMixin): # 继承AbstractBaseUser,PermissionsMixin
    GENDER_TYPE = (
        ("1","男"),
        ("2","女")
    )
    uid = ShortUUIDField(primary_key=True)
    username = models.CharField(max_length=15,verbose_name="用户名",unique=True)
    nickname = models.CharField(max_length=13,verbose_name="昵称",null=True,blank=True)
    age = models.IntegerField(verbose_name="年龄",null=True,blank=True)
    gender = models.CharField(max_length=2,choices=GENDER_TYPE,verbose_name="性别",null=True,blank=True)
    phone = models.CharField(max_length=11,null=True,blank=True,verbose_name="手机号码")
    email = models.EmailField(verbose_name="邮箱")
    picture = models.ImageField(upload_to="Store/user_picture",verbose_name="用户头像",null=True,blank=True)
    home_address = models.CharField(max_length=100,null=True,blank=True,verbose_name="地址")
    card_id = models.CharField(max_length=30,verbose_name="身份证",null=True,blank=True)
    is_active = models.BooleanField(default=True,verbose_name="激活状态")
    is_staff = models.BooleanField(default=True,verbose_name="是否是员工")
    date_joined = models.DateTimeField(auto_now_add=True)
    USERNAME_FIELD = 'username'
    REQUIRED_FIELDS = ['email']
    EMAIL_FIELD = 'email'
    objects = UserManager()
    def get_full_name(self):
        return self.username
    def get_short_name(self):
        return self.username
    class Meta:
        verbose_name = "用户"
        verbose_name_plural = verbose_name

此时数据库中只会生成我们定义好的字段。

定义好了User模型我们就可以使用Django自带的登录验证和权限系统了。

首先注册功能:

form.py

from django.forms import Form
from django.forms import fields
from django.core.exceptions import ValidationError
class RegisterForm(Form):
    username = fields.CharField(
        required=True,
        min_length=3,
        max_length=18,
        error_messages={
            "required":"用户名不可以为空!",
            "min_length":"用户名不能低于3位!",
            "max_length":"用户名不能超过18位!"
        }
    )
    password1 = fields.CharField(
        required=True,
        min_length=3,
        max_length=18,
        error_messages={
            "required":"密码不可以空",
            "min_length": "密码不能低于3位!",
            "max_length": "密码不能超过18位!"
        }
    )
    password2 = fields.CharField(required=False)
    email = fields.EmailField(
        required=True,
        error_messages={
            "required":"邮箱不可以为空!"
        },
    )
    def clean_password2(self):
        if not self.errors.get("password1"):
            if self.cleaned_data["password2"] != self.cleaned_data["password1"]:
                raise ValidationError("您输入的密码不一致,请重新输入!")
            return self.cleaned_data

views.py

from django.shortcuts import render
from django.contrib.auth import get_user_model
from .forms import *
from django.http import JsonResponse
User = get_user_model() # 获取User模型
def register(request):
    if request.method == "GET":
        return render(request,"register.html")
    else:
        form = RegisterForm(request.POST)
        if form.is_valid():
            username = form.cleaned_data["username"]
            password = form.cleaned_data["password1"]
            email = form.cleaned_data["email"]
            username_exists = User.objects.filter(username=username).exists()
            if username_exists:
             return JsonResponse({"code":400,"message":"验证失败","data":{"username":"您输入的用户名已存在!","password1":"","password2":"","email":""}})
            email_exists = User.objects.filter(email=email).exists()
            if email_exists:
                return JsonResponse({"code": 400, "message":"验证失败","data":{"username": "","password1":"","password2":"", "email": "您输入的邮箱已存在!"}})
            User.objects.create_user(username=username,password=password,email=email)
            return JsonResponse({"code": 200,"message":"验证通过", "data":{"username": "","password1":"","password2":"", "email": ""}})
        else:
            return JsonResponse({"code":400,"message":"验证失败","data":{"username":form.errors.get("username"),"password1":form.errors.get("password1"),"password2":form.errors.get("password2"),"email":form.errors.get("email")}})

登录功能

form.py:

from django.forms import Form
from django.forms import fields
class LoginForm(Form):
    username = fields.CharField(
        required=True,
        min_length=3,
        max_length=18,
        error_messages={
            "required":"用户名不可以为空!",
            "min_length":"用户名不能低于3位!",
            "max_length":"用户名不能超过18位!"
        }
    )
    password = fields.CharField(
        required=True,
        error_messages={
            "required":"密码不可以空",
        }
    )

views.py:

from django.shortcuts import render
from .forms import *
from django.http import JsonResponse
from django.contrib.auth import authenticate
from django.contrib.auth import login
# 登录视图名称不能起成login,与自带login函数重名
def loginView(request):
    if request.method == "GET":
        return render(request,"login.html")
    else:
        form = LoginForm(request.POST)
        if form.is_valid():
            username = form.cleaned_data.get("username")
            password = form.cleaned_data.get("password")
            remember = int(request.POST.get("remember"))
            user = authenticate(request,username=username,password=password) # 使用authenticate进行登录验证,验证成功会返回一个user对象,失败则返回None
            # 使用authenticate验证时如果is_active为False也会返回None,导致无法判断激活状态,
            # 此时可以在seetings中配置:
            # AUTHENTICATION_BACKENDS = ['django.contrib.auth.backends.AllowAllUsersModelBackend']
            if user and user.is_active: # 如果验证成功且用户已激活执行下面代码
                login(request,user) # 使用自带的login函数进行登录,会自动添加session信息
                request.session["username"] = username # 自定义session,login函数添加的session不满足时可以增加自定义的session信息。
                if remember:
                    request.session.set_expiry(None) # 设置session过期时间,None表示使用系统默认的过期时间
                else:
                    request.session.set_expiry(0) # 0代表关闭浏览器session失效
                return JsonResponse({"code": 200,"message":"验证通过","data":{ "error":""}})
            elif user and not user.is_active:
               return JsonResponse({"code": 400, "message": "用户未激活", "data": {"error": "该用户还没有激活,请<a href='#'>激活</a>"}})
            else:
                return JsonResponse({"code": 400, "message": "验证失败", "data": {"error": "用户名或密码错误"}})
        else:
            return JsonResponse({"code":400,"message":"用户名或密码格式错误","data":{"error":"用户名或密码错误"}})

退出功能

from django.contrib.auth import logout
from django.shortcuts import redirect
# 视图名不能起成logout
def logoutView(request):
    logout(request) # 调用django自带退出功能,会帮助我们删除相关session
    return redirect(request.META["HTTP_REFERER"])

此时我们就完成了通过自定义User模型实现注册登录以及退出一系列的功能,配合前端页面就可以完美实现了。

用户与权限管理

定义了用户模型,就不可避免的涉及到了用户权限问题,Django同样内置了Permission系统,该权限系统都是针对表或者模型级别的,比如某个模型上的数据可以进行增删改查,他不能够针对数据级别,比如某个表中的某条数据是否能够进行增删改查操作(如果要实现数据级别的,可以考虑使用django-guardian)。

创建完一个模型后,针对该模型默认有增、删、改、查四种权限,权限存储了数据库中的auth_permission表中:

codename表示权限的名字,name表示权限的作用,content_type_id表示某张表的id,即用来绑定数据表的,他关联django_content_type这张表:

添加权限的两种方法:

#通过定义模型来添加权限:
class Address(models.Model):
    """
    收货地址
    """
    recv_address = models.TextField(verbose_name = "收货地址")
    receiver =  models.CharField(max_length=32,verbose_name="接收人")
    recv_phone = models.CharField(max_length=32,verbose_name="收件人电话")
    post_number = models.CharField(max_length=32,verbose_name="邮编")
    buyer_id = models.ForeignKey(to=User,on_delete = models.CASCADE,verbose_name = "用户id")
    class Meta:
        permissions = (
            ("view_addresses", "查看地址"),
        )
# 通过代码添加权限
from django.contrib.auth.models import Permission,ContentType
from .models import Address
content_type = ContentType.objects.get_for_model(Address)
permission = Permission.objects.create(name = "查看地址",codename = "view_addresses",content_type = content_type)

User模型和权限之间可以通过以下几种方式来进行管理:

1、user.user_permissions.set(permission_list):直接给定一个权限的列表。

2、user.user_permissions.add(permission,permission,...):一个个添加权限。

3、user.user_permissions.remover(permission,permission):一个个删除权限。

4、user.user_permissions.clear():清除权限

5、user.has_perm('<app_name>.'):判断是否拥有某个权限,权限参数是一个字符串,格式是app_name.codename。

6、user.get_all_permission():获得所有权限。

我们可以通过appname_user_user_permission这张表来查看某个用户是否拥有某项权限:

权限限定装饰器:

使用django.contrib.auth.decorators.permission_required可以很方便的检查某个用户是否拥有某项权限:

from django.contrib.auth.decorators import permission_required
@permission_required('Cart.view_cart',login_url="/login/",raise_exception=True)
# 第一个参数代表权限,login_url表示没有登录的话需要跳转的页面,raise_exception表示没有权限是返回403错误,默认是False,会跳转到login_url指定的页面。
def view_cart(request):
 reture HttpResponse("您可以查看购物车")

分组

权限有很多,一个模型就最少有四个权限,如果一些用户拥有相同的权限,每次都需要重复添加是很不方便的,此时分组功能就可以帮我们解决这个问题,我们可以把一些权限归类,然后添加到某个分组中,之后再把和需要赋予这些权限的用户添加的这个分组中,就比较方便的进行管理了。分组我们使用的是django.contrib.auth.models.Group模型,每个用户组拥有id和name两个字段该模型在数据库被映射为auth_group数据表。

分组操作:

1、Group.objects.create(group_name):创建分组

2、group.permission:某个分组上的权限。多堆多的关系。

group.permission.add:添加权限。

group.permission.remove:移除权限。

group.permission.clear:清除所有权限。

user.get_group_permission():获取用户所属组的权限。

3、user.groups:某个用户上的所有分组。多对多的关系。

在模板中使用权限:

在settings.TEMPLATES.OPTIONS.context_processors下,因为添加了django.contrib.auth.context_processors.auth上下文处理器,因此可以在模板中直接通过 perms来获取用户的所有权限:

{% if perms.View.view_cart %}
 购物车详情
{% endif %}

以上为个人经验,希望能给大家一个参考,也希望大家多多支持我们。如有错误或未考虑完全的地方,望不吝赐教。

(0)

相关推荐

  • Django web自定义通用权限控制实现方法

    需求:web系统有包含以下5个url,分别对于不同资源: 1.stu/add_stu/ 2.stu/upload_homework/ 3.stu/query_homework/ 4.stu/add_record/ -------------------------------------------------------------------------------------------------------- 学生可以访问:2,3 老师可以访问:1,4 可以通过基于角色对用户权限进行控

  • Django 权限管理(permissions)与用户组(group)详解

    如果你只是利用Django开发个博客,大部分用户只是阅读你的文章而已,你可能根本用不到本节内容.但是如果你想开发一个内容管理系统,或用户管理系统,你必需对用户的权限进行管理和控制.Django自带的权限机制(permissions)与用户组(group)可以让我们很方便地对用户权限进行管理.小编我今天就尝试以浅显的语言来讲解下如何使用Django自带的权限管理机制. 什么是权限? 权限是能够约束用户行为和控制页面显示内容的一种机制.一个完整的权限应该包含3个要素: 用户,对象和权限,即什么用户对

  • Django权限设置及验证方式

    当创建一个Models, 在同步到数据库里,django默认设置了三个权限 ,就是 add, change, delete权限.但是往往有时候,根本不够用,此时我们可以自己写一个脚本,来进行权限的设置. 根据DJango官方文档解释,权限都是与models有关系的,此时.如果想设置一个view,对于有权限的用户进行放行,对于无权限的用户进行限制.那么我们就可以着手来写这个需求. 验证权限的方法一般有两种,一种是用@permission_required来进行验证,第二中是用user.has_pe

  • Django用户认证系统 User对象解析

    User对象 User对象是认证系统的核心.用户对象通常用来代表网站的用户,并支持例如访问控制.注册用户.关联创建者和内容等.在Django认证框架中只有一个用户类,例如超级用户('superusers')或('staff')用户只不过是相同用户对象设置了不同属性而已. 缺省字段Fields username 用户名,必需字段.30个字符或更少,可以包含 _, @, +, . 和 - 字符. first_name 可选. 30 characters or fewer. last_name 可选.

  • Django权限控制的使用

    自己搭建后台网站,需求:实现类似django Admin站点对每一张表的增删改查权限控制. 实现步骤: 1.权限控制Django框架已自带,共6张表,User表,Group表,UserGroup表,Permission表,GroupPermission表,UserPermission表,一般情况下,使用默认即可. 2.若User表自定义,需继承Django自带AbstractUser类,Group表同理. 3.创建类PermissionControl继承BasePermission,重写has_

  • Django认证系统user对象实现过程解析

    User对象 User对象是认证系统的核心.它们通常表示与你的站点进行交互的用户,并用于启用限制访问.注册用户信息和关联内容给创建者等.在Django的认证框架中只存在一种类型的用户,因此诸如'superusers'或管理员'staff'用户只是具有特殊属性集的user对象,而不是不同类型的user对象. 创建users 创建users最直接的方法是使用create_user()辅助函数: >>> from django.contrib.auth.models import User &

  • Django自定义User模型、认证、权限控制的操作

    Django自带强大的User系统,为我们提供用户认证.权限.组等一系列功能,可以快速建立一个完整的后台功能. 但User模型并不能满足我们的需求,例如自带的User表中没有手机号码,而且对于国人来说表中的first_name和last_name并没有什么卵用,对于实际生产中灵活的用户表来说重写User模型是非常有必要的. 扩展User模型 扩展User模型有许多的方法: 1.Proxy继承: 代理继承,此方法只能够继承User本身拥有的字段,并不能够添加和删改,不会影响表中原有的结构,但是可以

  • Django自定义用户登录认证示例代码

    前言 有时候 Django 自带的用户登录认证不能满足我们的需求,比如我不想要用户名+密码登录,我想手机号+验证码登录,这样就需要我们去修改 Django 自带的认证了. Django 默认使用用户认证的是ModelBackend,这个类也就是我们要下手的地方,ModelBackend里面有一个authenticate的方法,这个方法就是登录时对用户认证的方法.我们要改的就是这个方法. 先看看原码理解一下认证逻辑: 第15-16行先获取认证用的用户名字段,默认是username,如果在Userm

  • Django 自定义权限管理系统详解(通过中间件认证)

    1. 创建工程文件, 修改setting.py文件 django-admin.py startproject project_name 特别是在 windows 上,如果报错,尝试用 django-admin 代替 django-admin.py 试试 setting.py 最终的配置文件 import os import sys # Build paths inside the project like this: os.path.join(BASE_DIR, ...) BASE_DIR =

  • 详解python如何在django中为用户模型添加自定义权限

    django自带的认证系统能够很好的实现如登录.登出.创建用户.创建超级用户.修改密码等复杂操作,并且实现了用户组.组权限.用户权限等复杂结构,使用自带的认证系统就能帮助我们实现自定义的权限系统达到权限控制的目的. 在django中默认情况下,syncdb运行时安装了django.contrib.auth,它会为每个模型创建默认权限,如foo.can_change,foo.can_delete和foo.can_add.要向模型添加自定义权限,可以添加类Meta:在模型下,并在其中定义权限,如此处

  • java中自定义Spring Security权限控制管理示例(实战篇)

    背景描述 项目中需要做细粒的权限控制,细微至url + httpmethod (满足restful,例如: https://.../xxx/users/1, 某些角色只能查看(HTTP GET), 而无权进行增改删(POST, PUT, DELETE)). 表设计 为避嫌,只列出要用到的关键字段,其余敬请自行脑补. 1.admin_user 管理员用户表, 关键字段( id, role_id ). 2.t_role 角色表, 关键字段( id, privilege_id ). 3.t_privi

  • Django自定义用户认证示例详解

    前言 Django附带的认证对于大多数常见情况来说已经足够了,但是如何在 Django 中使用自定义的数据表进行用户认证,有一种较为笨蛋的办法就是自定义好数据表后,使用OnetoOne来跟 Django 的表进行关联,类似于这样: from django.contrib.auth.models import User class UserProfile(models.Model): """ 用户账号表 """ user = models.OneT

  • django 实现编写控制登录和访问权限控制的中间件方法

    django中,很多时候我们都需要有一个地方来进行更加详细的权限控制,例如说哪些用户可以访问哪些页面,检查登录状态等,这里的话就涉及到了中间件的编写了. 在django项目下的setting.py文件中,有一个MIDDLEWARE_CLASSES的字段,这里存放的就是中间件,用户的访问会先经过这些中间件的处理之后再给各种views函数进行处理.在这个参数中加入我们接下来要编写的中间件: MIDDLEWARE_CLASSES = ( 'django.contrib.sessions.middlew

  • Java Spring Security认证与授权及注销和权限控制篇综合解析

    Spring Security简介: Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,它可以实现强大的Web安全控制,对于安全控制,我们只需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理! 记住几个类: WebSecurityConfigurerAdapter:自定义Security策略 AuthenticationManagerBuilder:自定义认证策略

随机推荐