07+. Django用户登录验证系统和登录注销

打开微信扫一扫，关注微信公众号【数据与算法联盟】

转载请注明出处：http://blog.csdn.net/gamer_gyt

博主微博：http://weibo.com/234654758

Github：https://github.com/thinkgamer

写在前边的话

一直以来对Django的用户权限登录保护模棱两可，最近由于在做一个django的项目，其中涉及到用户的权限登录保护，所以算是有些清楚了，总结下来，给还在模棱两可的你阅读。

附上我最近一直在commit的github地址：https://github.com/Thinkgamer/CSMarket

环境说明

Django：1.10

Python：3.5

用户登录验证

1：前提说明

以下所谈到的用户登录验证给予扩展Django 内置的User模型，以AbstractUser方式扩展User模型，Django中的用户扩展的两种方式可参考：http://blog.csdn.net/gamer_gyt/article/details/50499653

以下代码为上边给的github地址中的实例，抽取其中用户验证为例。

2：以AbstractUser方式扩展内置User

models.py：

from django.db import models
from django.contrib.auth.models import AbstractUser
# Create your models here.

class User(AbstractUser):
# 手机号
user_phone = models.CharField(blank=True, verbose_name='电话', max_length=11)
#判断是否是认证通过的用户
user_isValid=models.BooleanField(blank=True,default=False)

def __unicode__(self):
return self.user.username

admin.py：

from django.contrib import admin
from logre.models import User
admin.site.register(User)

3：authenticate 进行用户验证

提供了用户认证，即验证用户名以及密码是否正确。一般需要username password两个关键字参数。

如果认证信息有效，会返回一个 User 对象。authenticate()会在User 对象上设置一个属性标识那种认证后端认证了该用户，且该信息在后面的登录过程中是需要的。当我们试图登陆一个从数据库中直接取出来不经过authenticate()的User对象会报错的！！

user = authentica(username=’someone’,password=’somepassword’)

那么用户登录函数该怎么写呢？

views.py

#用户登录
@csrf_exempt
def login(request):
if request.method=='POST':
uname=request.POST.get('username')
pwd=request.POST.get('passwd')
user = authenticate(username=uname,password=pwd)
if user is not None:
auth_login(request, user)
# 更新最后登录时间
now_time = time.strftime('%Y-%m-%d %H:%M:%S', time.localtime(time.time()))
user.last_login=now_time
user.save()
return HttpResponseRedirect(referer)
else:
return render_to_response('login.html',{
'error': '邮箱或者密码不正确',
'user_name': uname,
'user_pwd': pwd,
})
else:
return render_to_response('login.html',{})

注意事项：这里的authentica函数只能接受username和password，因为我在测试email的时候不好使（如果恰巧你看到了这里，并且验证可以用email和password验证的话，请留言）

AbstractUser扩展的User模型，在数据库中密码存储形式是经过转化的，所以我们并不能直接操作密码，幸好django提供了专门的函数来修改密码。

set_password 函数

eg：（由于我项目还没更新到这一步，所以这里就举这样一个简单的例子）

>>> from django.contrib.auth.models import User
>>> u = User.objects.get(username='john')
>>> u.set_password('new password')
>>> u.save()

4：Permission

Django的auth系统提供了模型级的权限控制， 即可以检查用户是否对某个数据表拥有增(add), 改(change), 删(delete)权限。

auth系统无法提供对象级的权限控制， 即检查用户是否对数据表中某条记录拥有增改删的权限。如果需要对象级权限控制可以使用django-guardian。

假设在博客系统中有一张article数据表管理博文， auth可以检查某个用户是否拥有对所有博文的管理权限， 但无法检查用户对某一篇博文是否拥有管理权限

user.has_perm方法用于检查用户是否拥有操作某个模型的权限

eg：

user.has_perm('blog.add_article')
user.has_perm('blog.change_article')
user.has_perm('blog.delete_article')

如果要添加权限的话，我们可以在后台管理中自己添加，当然也可以使用以下方法添加

user.user_permissions.add()

删除权限：

user.user_permissions.delete()

清空权限

user.user_permissions.clear()

用户拥有他所在用户组的权限， 使用用户组管理权限是一个更方便的方法。Group中包含多对多字段permissions， 在数据库中由auth_group_permissions数据表维护。

添加权限

group.permissions.add(permission)

删除权限

group.permissions.delete(permission)

清空权限

group.permissions.clear()

当然我们也可以自定义权限，可参考之前文章中的内容：http://blog.csdn.net/gamer_gyt/article/details/51023560

用户登录和注销

1：Http请求和回应

参考：http://djangobook.py3k.cn/appendixH/‘>HTTP请求（Request）和回应（Response）对象

2：用户登录

该函数接受一个HttpRequest对象，以及一个认证了的User对象

此函数使用django的session框架给某个已认证的用户附加上session id等信息。

其实在我们上边的views.py函数中也有看到就是 auth_login(request,user)

前提条件是扩展django的User用户模型，使用时需要导入django的login

from django.contrib.auth import login as auth_login

PS：我这里as为auth_login是因为我的views函数为login，否则会重名，会出现错误

使用：

uname=request.POST.get('username')
pwd=request.POST.get('passwd')
user = authenticate(username=uname,password=pwd)
if user is not None:
auth_login(request, user)

3：用户注销

logout：该函数接受一个HttpRequest对象，无返回值。当调用该函数时，当前请求的session信息会全部清除。该用户即使没有登录，使用该函数也不会报错

from django.contrib.auth import logout as auth_logout
def logout(request):
auth_logout(request)
return HttpResponseRedirect(request.META.get('HTTP_REFERER', '/'))

4：登录之后保持会话状态

在其登录之后会将用户信息保存在request中，那么我们我进行一个views 函数前，可以先判断下request.user是否存在，如存在将数据传递给返回前端，如果不存在我们也可以添加一些其他的逻辑。

def all(request):
if request.user.is_authenticated:
user_name=request.user
else:
user_name=''
return render(request, 'news.html', {
'user_name': user_name,
})

5：如何记录登录前的来源页面

这里我们使用的是：

request.META[‘HTTP_REFERER’]

大概实现的思路是：在login函数内声明一个全局变量referer，在不是发生post请求的时候记录下来源页面赋值给referer，在是发生post请求后返回到原页面。代码如下：

#用户登录
@csrf_exempt
def login(request):
global referer
if request.method=='POST':
...
return HttpResponseRedirect(referer)
else:
try:
referer = request.META['HTTP_REFERER']  # 获取网页访问来源
except:
pass
finally:
return render_to_response('login.html',{})

总结

其实Django本身的用户验证系统和登录注销功能是十分强大的，在开发过程中如果能利用好这些技术点，必然会节约很多我们的开发时间。

附本人的Django专栏：Django从零开始到项目优化