django认证系统实现自定义权限管理

本文记录使用django自带的认证系统实现自定义的权限管理系统，包含组权限、用户权限等实现。

0x01. django认证系统

django自带的认证系统能够很好的实现如登录、登出、创建用户、创建超级用户、修改密码等复杂操作，并且实现了用户组、组权限、用户权限等复杂结构，使用自带的认证系统就能帮助我们实现自定义的权限系统达到权限控制的目的。

0x02. 认证系统User对象

User对象顾名思义即为表示用户的对象，里面的属性包括：

username
password
email
first_name
last_name
is_superuser
is_active

创建好对象后，django会自动生成表，表名为auth_user，包含以上字段。具体的api文档如下所示:

class models.User

User 对象具有如下字段：

username
必选。少于等于30个字符。 用户名可以包含字母、数字、_、@、+、.和- 字符。

first_name
可选。 少于等于30个字符。

last_name
可选。少于30个字符。

email
可选。邮箱地址。

password
必选。 密码的哈希及元数据。（Django 不保存原始密码）。原始密码可以无限长而且可以包含任意字符。参见密码相关的文档。

groups
与Group 之间的多对多关系。

user_permissions
与Permission 之间的多对多关系。

is_staff
布尔值。指示用户是否可以访问Admin 站点。

is_active
布尔值。指示用户的账号是否激活。

is_superuser
布尔值。只是这个用户拥有所有的权限而不需要给他们分配明确的权限。

last_login
用户最后一次登录的时间。

date_joined
账户创建的时间。当账号创建时，默认设置为当前的date/time。

一般在注册操作中会用到该方法，实现注册一个用户，用到的函数是User.objects.create_user()，在新建用户的时候需要判断用户是否存在，我的实现方式是，User.objects.get(username=xxx)去获取一个用户User对象，用try except实现，如果用户不存在则抛出User.DoesNotExist异常，在这个异常中进行创建用户的操作。具体代码如下:

# 注册操作
from django.contrib.auth.models import User

try:
  User.objects.get(username=username)
  data = {
  'code': '-7', 'info': u'用户已存在'}
except User.DoesNotExist:
  user = User.objects.create_user(username, email, password)
  if user is not None:
    user.is_active = False
    user.save()

该过程中密码字段会自动加密存储。无需关注过多细节。

0x03. 登录登出用户

创建好用户后，就是登录及登出了，django认证系统提供了login()及logout()函数，能够自动登录登出，并且修改session值，非常方便。验证用户身份使用authenticate函数能自动进行password字段的hash比对。
具体实现代码如下：