07+. Django用户登录验证系统和登录注销

标签: django用户验证
1988人阅读 评论(0) 收藏 举报
分类:

码农故事多微信公众号二维码
打开微信扫一扫,关注微信公众号【码农故事多】

转载请注明出处:http://blog.csdn.net/gamer_gyt
博主微博:http://weibo.com/234654758
Github:https://github.com/thinkgamer


写在前边的话

一直以来对Django的用户权限登录保护模棱两可,最近由于在做一个django的项目,其中涉及到用户的权限登录保护,所以算是有些清楚了,总结下来,给还在模棱两可的你阅读。
附上我最近一直在commit的github地址:https://github.com/Thinkgamer/CSMarket


环境说明

Django:1.10
Python:3.5


用户登录验证

1:前提说明

    以下所谈到的用户登录验证给予扩展Django 内置的User模型,以AbstractUser方式扩展User模型,Django中的用户扩展的两种方式可参考:http://blog.csdn.net/gamer_gyt/article/details/50499653
     以下代码为上边给的github地址中的实例,抽取其中用户验证为例。

2:以AbstractUser方式扩展内置User

models.py:

from django.db import models
from django.contrib.auth.models import AbstractUser
# Create your models here.

class User(AbstractUser):
    # 手机号
    user_phone = models.CharField(blank=True, verbose_name='电话', max_length=11)
    #判断是否是认证通过的用户
    user_isValid=models.BooleanField(blank=True,default=False)

    def __unicode__(self):
        return self.user.username

admin.py:

from django.contrib import admin
from logre.models import User
admin.site.register(User)

3:authenticate 进行用户验证

    提供了用户认证,即验证用户名以及密码是否正确。一般需要username password两个关键字参数。
    如果认证信息有效,会返回一个 User 对象。authenticate()会在User 对象上设置一个属性标识那种认证后端认证了该用户,且该信息在后面的登录过程中是需要的。当我们试图登陆一个从数据库中直接取出来不经过authenticate()的User对象会报错的!!

user = authentica(username=’someone’,password=’somepassword’)

那么用户登录函数该怎么写呢?
views.py

#用户登录
@csrf_exempt
def login(request):
    if request.method=='POST':
        uname=request.POST.get('username')
        pwd=request.POST.get('passwd')
        user = authenticate(username=uname,password=pwd)
        if user is not None:
            auth_login(request, user)
            # 更新最后登录时间
            now_time = time.strftime('%Y-%m-%d %H:%M:%S', time.localtime(time.time()))
            user.last_login=now_time
            user.save()
            return HttpResponseRedirect(referer)
        else:
            return render_to_response('login.html',{
                'error': '邮箱或者密码不正确',
                'user_name': uname,
                'user_pwd': pwd,
            })
    else:
            return render_to_response('login.html',{})

注意事项:这里的authentica函数只能接受username和password,因为我在测试email的时候不好使(如果恰巧你看到了这里,并且验证可以用email和password验证的话,请留言)

AbstractUser扩展的User模型,在数据库中密码存储形式是经过转化的,所以我们并不能直接操作密码,幸好django提供了专门的函数来修改密码。

set_password 函数

eg:(由于我项目还没更新到这一步,所以这里就举这样一个简单的例子)

>>> from django.contrib.auth.models import User 
>>> u = User.objects.get(username='john')
>>> u.set_password('new password') 
>>> u.save()

4:Permission

Django的auth系统提供了模型级的权限控制, 即可以检查用户是否对某个数据表拥有增(add), 改(change), 删(delete)权限。

auth系统无法提供对象级的权限控制, 即检查用户是否对数据表中某条记录拥有增改删的权限。如果需要对象级权限控制可以使用django-guardian。

假设在博客系统中有一张article数据表管理博文, auth可以检查某个用户是否拥有对所有博文的管理权限, 但无法检查用户对某一篇博文是否拥有管理权限

user.has_perm方法用于检查用户是否拥有操作某个模型的权限

eg:

user.has_perm('blog.add_article')
user.has_perm('blog.change_article')
user.has_perm('blog.delete_article')

如果要添加权限的话,我们可以在后台管理中自己添加,当然也可以使用以下方法添加

user.user_permissions.add()

删除权限:

user.user_permissions.delete()

清空权限

user.user_permissions.clear()

用户拥有他所在用户组的权限, 使用用户组管理权限是一个更方便的方法。Group中包含多对多字段permissions, 在数据库中由auth_group_permissions数据表维护。

添加权限

group.permissions.add(permission)

删除权限

group.permissions.delete(permission)

清空权限

group.permissions.clear()

当然我们也可以自定义权限,可参考之前文章中的内容:http://blog.csdn.net/gamer_gyt/article/details/51023560


用户登录和注销

1:Http请求和回应

参考:http://djangobook.py3k.cn/appendixH/‘>HTTP请求(Request)和回应(Response)对象

2:用户登录

该函数接受一个HttpRequest对象,以及一个认证了的User对象
此函数使用django的session框架给某个已认证的用户附加上session id等信息。

其实在我们上边的views.py函数中也有看到就是 auth_login(request,user)
前提条件是扩展django的User用户模型,使用时需要导入django的login

from django.contrib.auth import login as auth_login

PS:我这里as为auth_login是因为我的views函数为login,否则会重名,会出现错误
使用:

 uname=request.POST.get('username')
 pwd=request.POST.get('passwd')
 user = authenticate(username=uname,password=pwd)
 if user is not None:
    auth_login(request, user)

3:用户注销

logout:该函数接受一个HttpRequest对象,无返回值。当调用该函数时,当前请求的session信息会全部清除。该用户即使没有登录,使用该函数也不会报错

from django.contrib.auth import logout as auth_logout
def logout(request):
    auth_logout(request)
    return HttpResponseRedirect(request.META.get('HTTP_REFERER', '/'))

4:登录之后保持会话状态

在其登录之后会将用户信息保存在request中,那么我们我进行一个views 函数前,可以先判断下request.user是否存在,如存在将数据传递给返回前端,如果不存在我们也可以添加一些其他的逻辑。

def all(request):
    if request.user.is_authenticated:
        user_name=request.user
    else:
        user_name=''
    return render(request, 'news.html', {
        'user_name': user_name,
    })

5:如何记录登录前的来源页面

这里我们使用的是:

request.META[‘HTTP_REFERER’]

大概实现的思路是:在login函数内声明一个全局变量referer,在不是发生post请求的时候记录下来源页面赋值给referer,在是发生post请求后返回到原页面。代码如下:

#用户登录
@csrf_exempt
def login(request):
    global referer
    if request.method=='POST':
        ...
        return HttpResponseRedirect(referer)
    else:
        try:
            referer = request.META['HTTP_REFERER']  # 获取网页访问来源
        except:
            pass
        finally:
            return render_to_response('login.html',{})

总结

    其实Django本身的用户验证系统和登录注销功能是十分强大的,在开发过程中如果能利用好这些技术点,必然会节约很多我们的开发时间。

    附本人的Django专栏:Django从零开始到项目优化

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    Thinkgamer微博
    个人微信,一起交流!

     扫一扫,关注我




    个人资料
    • 访问:756147次
    • 积分:9460
    • 等级:
    • 排名:第1976名
    • 原创:212篇
    • 转载:22篇
    • 译文:2篇
    • 评论:273条
    个人简介
    姓名:Thinkgamer

    Github:https://github.com/thinkgamer

    主攻:云计算/python/数据分析

    程度:熟悉/熟悉/熟悉

    微信:gyt13342445911

    Email:thinkgamer@163.com

    工作状态:在职ing

    心灵鸡汤:只要努力,你就是下一个大牛...

    hadoop/spark/机器学习群:279807394(大神建的群,蹭个管理员)

    欢迎骚扰........
    博客专栏
    最新评论