Django的用户认证组件

一、使用用户认证组件的前提

　　功能：用session记录登录验证状态。

　　用户表：使用Django自带的auth_user表，即用户认证组件表。

　　创建超级用户：python3 manage.py createsuperuser

　　创建普通用户：python3 manage.py createuser

1、重点API

from django.contrib import auth:
1、if 验证成功返回user对象，否则返回None
user = auth.authenticate(username=user, password = pwd)
2、auth.login(request, user)      # request.user当前登录对象
3、auth.logout(request)
from django.contrib。auth.models import User  # User == auth_user
4、request.user.is_authenticated()
5、user = User.objects.create_user(username='', password='',email='')

2、匿名用户对象

"""
匿名用户
class models.AnonymousUser
django.contrib.auth.models.AnonymousUser 类实现了django.contrib.auth.models.User 接口，但具有下面几个不同点：

id 永远为None。
username 永远为空字符串。
get_username() 永远返回空字符串。
is_staff 和 is_superuser 永远为False。
is_active 永远为 False。
groups 和 user_permissions 永远为空。
is_anonymous() 返回True 而不是False。
is_authenticated() 返回False 而不是True。
set_password()、check_password()、save() 和delete() 引发 NotImplementedError。
New in Django 1.8:
新增 AnonymousUser.get_username() 以更好地模拟 django.contrib.auth.models.User。
"""

二、auth模块

# 在视图中引入auth模块
from django.contrib import auth

1、authenticate()

　　authenticate()方法提供了用户认证，即验证用户名以及密码是否正确,一般需要username  password两个关键字参数。

　　如果认证信息有效，会返回一个  User  对象；如果认证失败，则返回None。authenticate()会在User 对象上设置一个属性标识那种认证后端认证了该用户，且该信息在后面的登录过程中是需要的。当我们试图登陆一个从数据库中直接取出来不经过authenticate()的User对象会报错的！！

from django.shortcuts import render
# Create your views here.
from django.contrib import auth

def login(request):
if request.method == "POST":
user = request.POST.get("user")
pwd = request.POST.get("pwd")
# 如果验证成功返回user对象，否则返回None
user = auth.authenticate(username=user,password=pwd)

return render(request, "login.html")

2、login(HttpRequest, user)

　　login函数的参数：该函数接受一个HttpRequest对象，以及一个认证了的User对象

　　此函数使用django的session框架给某个已认证的用户附加上session id等信息。

from django.shortcuts import render, HttpResponse, redirect
# Create your views here.
from django.contrib import auth

def login(request):
if request.method == "POST":
user = request.POST.get("user")
pwd = request.POST.get("pwd")
# 如果验证成功返回user对象，否则返回None
user = auth.authenticate(username=user, password=pwd)
if user:
auth.login(request, user)   # request.user：当前登录对象
return redirect("/index/")
return render(request, "login.html")

　　request.user是全局变量，在任何视图和模板中可以直接使用(这也是这套用户认证最大的优点)。

　　在没有通过登录验证的情况下为匿名用户。因此可以根据匿名用户特点判断是否登录验证通过，同时也可以直接通过{{request.user.username}}在模板中显示用户名。

　　但在经过auth.login(request, user) 后为登录对象。

def index(request):
print("request.user", request.user)  # AnonymousUser  匿名用户
# 没有登录验证过即匿名用户
print("request.user", request.user.username)  # 返回空字符串
print("request.user", request.user.id)  # 返回None
print("request.user", request.user.is_anonymous)   # 返回 True

# request.user是全局变量
if request.user.is_anonymous:
return redirect("/login/")

# 给模板中传入username
# username = request.user.username
# return render(request, "index.html", {"username": username})   # 模板中通过{{ username }}取到用户名
# 改写为：
return render(request, "index.html")  # 模板中通过{{ request.user.username }}就可以取到用户名

3、logout(request)注销用户

def logout(request):
auth.logout(request)   # 主要就是做了一个request.session.flush()

return redirect("/login/")

　　该函数接受一个HttpRequest对象，无返回值。当调用该函数时，当前请求的session信息会全部清除。该用户即使没有登录，使用该函数也不会报错。

三、User对象

　　User 对象属性：username， password（必填项）password用哈希算法保存到数据库 。

1、user对象的 is_authenticated(）

　　

user.is_authenticated：

如果是真正的 User 对象，返回值恒为 True 。 用于检查用户是否已经通过了认证。

　　通过认证并不意味着用户拥有任何权限，甚至也不检查该用户是否处于激活状态，这只是表明用户成功的通过了认证。 这个方法很重要, 在后台用request.user.is_authenticated判断用户是否已经登录，如果true则可以向前台展示request.user.name。

要求：

　　1  用户登陆后才能访问某些页面，

　　2  如果用户没有登录就访问该页面的话直接跳到登录页面

　　3  用户在跳转的登陆界面中完成登陆后，自动访问跳转到之前访问的地址

方法1：

def index(request):
# if request.user.is_anonymous:
# 改写为：
if not request.user.is_authenticated:
return redirect("/login/")
return render(request, "index.html")  # 模板中通过{{ request.user.username }}就可以取到用户名　　

方法2：

　　django设计的一个专门用于这种情况的装饰器：login_required()

from django.contrib.auth.decorators import login_required

@login_required
def index(request):
return render(request, "index.html")

@login_required
def order(request):
return render(request, "order.html")

　　若用户没有登录，则会跳转到django默认的登录URL '/accounts/login/ ' (这个值可以在settings文件中通过LOGIN_URL进行修改)。

STATIC_URL = '/static/'

LOGIN_URL = "/login/"   # 不配这个访问index会跳转到，http://127.0.0.1:8000/accounts/login/?next=/index/

　　修改后，用户访问.../order/和.../index/页面时，会跳转到login页面，同时会传递当前访问url的绝对路径（登录成功后，会重定向到该路径）。　　

　　代码示例整体如下：

from django.shortcuts import render, HttpResponse, redirect
# Create your views here.
from django.contrib import auth
from django.contrib.auth.models import User
from django.contrib.auth.decorators import login_required

def login(request):
if request.method == "POST":
user = request.POST.get("user")
pwd = request.POST.get("pwd")
# 如果验证成功返回user对象，否则返回None
user = auth.authenticate(username=user, password=pwd)
if user:
auth.login(request, user)   # request.user：当前登录对象
next_url = request.GET.get("next", "/index/")  # 登录成功跳转的url，如果取不到跳转首页
return redirect(next_url)
return render(request, "login.html")

@login_required
def index(request):
return render(request, "index.html")  # 模板中通过{{ request.user.username }}就可以取到用户名

def logout(request):
auth.logout(request)   # 主要就是做了一个request.session.flush()
return redirect("/login/")

def reg(request):
if request.method == "POST":
user = request.POST.get("user")
pwd = request.POST.get("pwd")
# 使用create_user辅助函数创建用户
user = User.objects.create_user(username=user, password=pwd)

# 注册成功跳转到登录页面
return redirect("/login/")
return render(request, "reg.html")

@login_required
def order(request):
return render(request, "order.html")

2、创建用户

　　使用 create_user 辅助函数创建用户:

from django.contrib.auth.models import User

def reg(request):
if request.method == "POST":
user = request.POST.get("user")
pwd = request.POST.get("pwd")
# 不能用下面这个方法插入：
# User.objects.create(username=user, password=pwd)
# 使用create_user辅助函数创建用户
user = User.objects.create_user(username=user, password=pwd)
# 注册成功跳转到登录页面
return redirect("/login")
return render(request, "reg.html")

3、check_password(passwd)

　　

用户需要修改密码的时候 首先要让他输入原来的密码 ，如果给定的字符串通过了密码检查，返回

True.

 

4、修改密码

　　使用 set_password() 来修改密码：

user = User.objects.get(username='')
user.set_password(password='')
user.save　

5、简单示例

（1）注册：

def sign_up(request):

state = None
if request.method == 'POST':

password = request.POST.get('password', '')
repeat_password = request.POST.get('repeat_password', '')
email=request.POST.get('email', '')
username = request.POST.get('username', '')
if User.objects.filter(username=username):
state = 'user_exist'
else:
new_user = User.objects.create_user(username=username, password=password,email=email)
new_user.save()

return redirect('/book/')
content = {
'state': state,
'user': None,
}
return render(request, 'sign_up.html', content)　　

（2）修改密码：

@login_required
def set_password(request):
user = request.user
state = None
if request.method == 'POST':
old_password = request.POST.get('old_password', '')
new_password = request.POST.get('new_password', '')
repeat_password = request.POST.get('repeat_password', '')
if user.check_password(old_password):
if not new_password:
state = 'empty'
elif new_password != repeat_password:
state = 'repeat_error'
else:
user.set_password(new_password)
user.save()
return redirect("/log_in/")
else:
state = 'password_error'
content = {
'user': user,
'state': state,
}
return render(request, 'set_password.html', content)