43.Django权限系统auth模块详解

最新推荐文章于 2024-04-27 16:45:23 发布
最新推荐文章于 2024-04-27 16:45:23 发布
阅读量3.7k 收藏 35
点赞数 2
分类专栏: 面试 学习路线 阿里巴巴 文章标签: django python 后端 elasticsearch 爬虫
原文链接:https://blog.csdn.net/qq_44907926/article/details/120213864
版权
面试 同时被 3 个专栏收录
57 篇文章 4 订阅
订阅专栏
阿里巴巴
51 篇文章 0 订阅
订阅专栏
学习路线
48 篇文章 0 订阅
订阅专栏

昨天我们为了登录admin,通过命令创建了超级用户,你是不是有个疑问——这创建的超级用户的信息是存放在哪里了呢
这就想到了我们映射数据库时,Django自动创建的一些表(这也是之前进行数据库迁移时没有提到的那些表)!!!

0.初接触

在这里插入图片描述

如上图就是Django自带的auth系统对应的表,也就是存放了之前创建的超级用户信息的表(也也就是之前没有提及到的数据库迁移生成的表~)

注意点:上面所示表中有多对多表关系生成的中间表,而Django很人性化的一点是:如果是多对多关系产生的中间表,其命名方式是主表在前,从表在后!比如auth_group_permissions表,其中auth_group就是主表,auth_permissions就是从表,如果要进行两表关联,则从auth_group到auth_permissions是正向!!!

从上图表的名称我们就能看出,
auth_user,auth_group,auth_permission分别
存放了用户,用户组,权限的信息表.
另外三张表就是多对多关系的中间表

1.Django权限系统auth模块

  • auth模块是Django提供的标准权限管理系统,可以提供用户身份认证, 用户组和权限管理这些功能,那么我们就可以使用它来完善我们之前的一些小型项目;

  • auth可以和admin模块配合使用, 快速建立网站的管理系统;

  • 在INSTALLED_APPS中添加’django.contrib.auth’使用该APP, auth模块默认启用。

  1. User:User是auth模块中维护用户信息的关系模式(继承了models.Model), 数据库中该表被命名为auth_user(上篇文中创建的超级用户信息就存储在此表中哦!)。
  2. Group:User对象中有一个名为groups的多对多字段, 多对多关系由auth_user_groups数据表维护。Group对象可以通过user_set反向查询用户组中的用户。
  3. Permission:Django的auth系统提供了模型级的权限控制, 即可以检查用户是否对某个数据表拥有增(add), 改(change), 删(delete)权限。

2.Django权限系统auth模块中的——User模型

(1)User表的SQL描述:

在这里插入图片描述
(我们可以查看此表,发现之前创建的超级用户信息就在这哦!不过密码是经过HASH加密了~)
在这里插入图片描述

  • User对象顾名思义即为表示用户的对象,里面的属性包括以上几条:

  • 创建好对象后,django会自动生成表,表名为auth_user,包含以上字段。

  • User模型常用属性和方法如下:

username

用户名。必选。少于等于30个字符。 用户名可以包含字母、数字、_、@、+、.和- 字符。

first_name

可选。 少于等于30个字符。

last_name

可选。少于30个字符。

email

可选。邮箱地址。

password

必选。 密码的哈希及元数据。(Django 不保存原始密码)。原始密码可以无限长而且可以包含任意字符。参见密码相关的文档。

groups

与Group 之间的多对多关系。

user_permissions

与Permission 之间的多对多关系。

is_staff

布尔值。指示用户是否可以访问Admin 站点(即是否是admin的管理员)。

is_active

布尔值。指示用户的账号是否激活。

is_superuser

布尔值。是否是超级用户。

last_login

用户最后一次登录的时间。

date_joined

账户创建的时间。当账号创建时,默认设置为当前的date/time。

is_authenticated

is_anonymous

set_password(raw_password)

check_password(raw_password)

has_perm(perm)

has_perms(perm_list)

(2)auth模块提供了很多API管理用户信息, 在有相关需求的时候我们可以导入User表进行操作,下面详细讲解auth认证系统的几大常用功能:

from django.contrib.auth.models import User

①创建用户:

 User.objects.create_user(username, email, password)

(比如前面的注册登录小案例,我们可以通过更改入库的代码,来实现user用户的创建~)

在这里插入图片描述

②认证用户:

因为创建的user用户的password是加密之后入库的,无法直接对比来判断用户是否存在,所以Django就自带了authenticate函数来进行用户认证。

  1. 导入所用函数:

    from django.contrib.auth import authenticate

  2. 使用:

    user = authenticate(username=username, password=password)

认证用户的密码是否有效, 若有效则返回代表该用户的user对象, 若无效则返回None(注意:该方法不检查is_active标志位.)

(比如前面的注册登录小案例,我们可以通过更改原本查询的代码,来实现user用户的认证~)
在这里插入图片描述

补充:现在前端验证是否登录的话直接user.username获取即可!(如果登录则会获取到登录的用户的名字;未登录则获取不到。)

在这里插入图片描述

③登录:

  1. 导入所用函数:

    from django.contrib.auth import login

  2. 使用(login向session中添加SESSION_KEY, 便于对用户进行跟踪):

    login(request, user)

注意——login不进行认证,也不检查is_active标志位, 所以一般和authenticate配合使用:

user = authenticate(username=username, password=password)
if user is not None:
    if user.is_active:
        login(request, user)

(比如前面的注册登录小案例,我们可以通过更改原本设置session的代码,来实现登录~)
在这里插入图片描述

④登出:

  1. 导入所用函数:

    from django.contrib.auth import logout

  2. 使用(logout会移除request中的user信息, 并刷新session):

在这里插入图片描述

⑤只允许登录的用户访问:

  • @login_required修饰器修饰的view函数会先通过session key检查是否登录, 已登录用户可以正常的执行操作, 未登录用户将被重定向到login_url指定的位置;

  • 若未指定login_url参数, 则重定向到settings.LOGIN_URL。

  1. 导入使用的函数:

    from django.contrib.auth.decorators import login_required

  2. 使用:

    @login_required(login_url=‘/accounts/login/’)
    def my_view(request):

按照常规逻辑来说——你没登录,网站给你跳转到登录页面要求你登录,那么在你登录之后应该再给你跳转回去之前的页面。下面来带你实现:

我们使用⑤发现,比如我们未登录状态下访问一个页面,它会立马重定向到我们指定的登录页面。
现在有个需求,我们在登录之后,能够让页面回到我们先前访问的那个页面。观察URL发现,跳转到登录页面的URL里携带一个参数next,值为跳转的源路径。所以获取一下即可!
在这里插入图片描述
(比如前面的注册登录小案例,我们只需要在登录业务逻辑中进行判断,如果可以获取到index参数,那就说明我们是因为权限不够没有登录而跳转过来的;如果获取不到Index参数,那就说明我们是正常登录!)

在这里插入图片描述

⑥判断用户是否登录:

is_authenticated

通过在视图函数中利用User对象的is_authenticated方法进行判断用户是否登录。如:

在这里插入图片描述

3.Django权限系统auth模块中的——Group模型

django.contrib.auth.models.Group定义了用户组的模型, 每个用户组拥有id和name两个字段, 该模型在数据库被映射为auth_group数据表。
在这里插入图片描述
User对象中有一个名为groups的多对多字段, 多对多关系由auth_user_groups数据表维护。Group对象可以通过user_set反向查询用户组中的用户。

我们可以通过创建删除Group对象来添加或删除用户组:

导入使用的函数:

from django.contrib.auth.models import Group

(1)添加用户组——add

group = Group.objects.create(name=group_name)
group.save()

(2)删除用户组——del

group.delete()

我们可以通过标准的多对多字段操作管理用户与用户组的关系:

注意:下述的user是获取到的user实例,group也是获取到的group实例。比如:
user = User.objects.get(id=1)
group = Group.objects.get(id=1)

  • 用户加入用户组:user.groups.add(group)或group.user_set.add(user)

  • 用户退出用户组:user.groups.remove(group)或group.user_set.remove(user)

  • 用户退出所有用户组:user.groups.clear()

  • 用户组中所有用户退出组:group.user_set.clear()

4.Django权限系统auth模块中的——Permission模型

Django的auth系统提供了模型级的权限控制, 即可以检查用户是否对某个数据表拥有增(add), 改(change), 删(delete)权限。

auth系统无法提供对象级的权限控制, 即检查用户是否对数据表中某条记录拥有增改删的权限。如果需要对象级权限控制可以使用django-guardian。假设在博客系统中有一张article数据表管理博文, auth可以检查某个用户是否拥有对所有博文的管理权限, 但无法检查用户对某一篇博文是否拥有管理权限。

查看数据库中auth_permission这张表,在里面有所有的表的一些操作权限,这些是在表创建的同是添加进来的数据(你会发现对应表的权限的名字是由其模型类名构成的!)

在这里插入图片描述
知识补给站:

  1. 每个模型默认拥有增(add), 改(change), 删(delete)权限。在django.contrib.auth.models.Permission模型中保存了项目中所有权限。

  2. 该模型在数据库中被保存为auth_permission数据表。每条权限拥有id ,name , content_type_id, codename四个字段。

①检查用户权限:

user.has_perm方法用于检查用户是否拥有操作某个模型的权限:

user.has_perm(‘blog.add_article’)
user.has_perm(‘blog.change_article’)
user.has_perm(‘blog.delete_article’)

  • 上述语句检查用户是否拥有blog这个app中article模型的添加权限, 若拥有权限则返回True。

  • has_perm仅是进行权限检查, 即用户没有权限它也不会阻止用户执行相关操作。

②permission_required装饰器——设置权限:

permission_required修饰器可以代替has_perm并在用户没有相应权限时重定向到登录页或者抛出异常。

@permission_required(appname.codename(权限名称))
给名为blog的app当中的博客添加视图设置权限:

from django.contrib.auth.decorators import permission_required

@permission_required('blog.add_blogmodel')		# 给对应的视图设置权限,让除了超级用户之外的用户丧失设置的权限!可以依此方法设置任意四种权限!
def add_get_post(request):
	...

这样的话只有被设置拥有此权限的用户才可访问此视图函数对应的前端页面(注意:如果是超级用户是拥有所有权限的)。

哪怕你登录了普通用户会发现也访问失败,它会自动给你跳转到你settings.py文件中设置的权限不足而跳转到的页面里!(此处为登录页面。)

在这里插入图片描述

③管理用户权限——单用户管理&&分组管理:

第一个:单用户管理!

User和Permission通过多对多字段user.user_permissions关联,在数据库中由auth_user_user_permissions数据表维护。

  • 添加权限: user.user_permissions.add(permission)

  • 删除权限: user.user_permissions.delete(permission)

  • 清空权限: user.user_permissions.clear()

实战使用——给指定用户添加权限(直接在前面的博客小案例上操作):

通过观察auth_permission权限表可知:如果你要给指定用户添加某个权限,那实现的方法就是通过用户信息表auth_user和权限信息表auth_permissons由于多对多关系产生的中间表auth_user_user_permissions的操作来完成,即让指定的用户与要添加的权限产生关系!(多对多表关系的添加)

①注意:要导入权限表!
在这里插入图片描述

②图个方便,直接找个视图在里面进行操作:
在这里插入图片描述

③现在如果访问博客添加页面,哪怕你登录了普通用户(id为1)会发现也可以访问,这就说明咱给这个普通用户成功添加了添加权限!

第二个:分组管理!

用户拥有他所在用户组的权限, 使用用户组管理权限是一个更方便的方法。Group中包含多对多字段permissions, 在数据库中由auth_group_permissions数据表维护。

  • 添加权限: group.permissions.add(permission)

  • 删除权限: group.permissions.delete(permission)

  • 清空权限: group.permissions.clear()

实战使用——给组添加权限(直接在前面的博客小案例上操作):

如何理解?试想上面给少数用户添加权限不是很麻烦,但是如果要给好多的用户添加权限岂不是很麻烦,所以又了给组添加权限的概念。我们可以将删除权限设置成一个组;查看权限设置成一个组…如果来了几十个需要添加查看权限的用户,只需将它们都扔进查看权限那个组即可!而且如果以后要对拥有查看权限的用户的权限进行改动或者升级,这样也非常方便!

组信息表的结构:

在这里插入图片描述

①注意:导入组信息表
在这里插入图片描述

②通过观察组信息表的结构创建组:

在这里插入图片描述
在这里插入图片描述
③为新创建的组添加权限(此处是添加了添加权限!):

在这里插入图片描述

④举例将一个用户扔进组中,说明如何将用户放进具有权限的组中:
在这里插入图片描述

⑤现在如果访问博客添加页面,哪怕你登录了普通用户(id为3)会发现也可以访问,这就说明咱给这个普通用户成功添加了添加权限!

愉快的马儿
关注
  • 2
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django_basicauth:django.contrib.user 替代方案
06-19
django_basicauth 有时我不想使用 django.contrib.user 中的任何东西。 这确实是最小可行的替代方案。 使用风险自负。 添加为 git 子模块 git 子模块添加 ssh://[email protected]/home/rpq/.local/var/git/django_basicauth basicauth 将“basicauth”添加到 INSTALLED_APPS 设置和同步数据库 更新 urls.py from django.views.generic.base import RedirectView from django.conf import settings url(r'^success$', RedirectView.as_view(url=settings.LOGIN_SUCCESS_DEFAULT_URL), n
第三十二篇,DjangoAuth认证系统之用户管理系统
weixin_43779803的博客
12-27 770
Auth认证系统 Django除了有强大的Admin管理系统之外,还提供了完善的用户管理系统。整个用户管理系统可分为三大部分:用户信息、用户权限和用户组,在数据库中分别对应数据表auth_user、auth_permission和auth_group。 用户管理功能 用户管理功能已经是一个网站必备的功能之一,而Django内置了强大的用户管理系统,并且具有灵活的扩展性,可以满足多方面的开发需求。在...
ThinkPHP6进阶教程:如何优雅地使用Auth模块进行权限验证
weixin_64051447的博客
02-04 909
我们使用Auth组件来实现权限管理,并创建了一些权限规则和用户组。其中,auth授权是一个非常强大的功能,可以帮助我们在应用程序中进行权限管理。我们需要在数据库中创建一个auth_group_access表,然后通过添加记录的方式来创建用户组明细。我们需要在数据库中创建一个auth_rule表,然后通过添加记录的方式来创建权限规则。我们需要在数据库中创建一个auth_group表,然后通过添加记录的方式来创建用户组。现在,我们已经创建了一些权限规则和用户组,并将规则分配给了用户组。
Django的身份认证系统
豆芽胡的博客
05-16 1728
1 .在Django中使用身份认证系统 Django的身份认证系统实际上是一个app,该app叫做django.contrib.auth,它在django contrib模块下 使用时只需要在setting.py文件的INSTALLED_APPS中添加:'django.contrib.auth'即可 身份认证系统包括以下内容: 用户 权限:标志指定用户是否可以执行某项任务。 ...
Django权限系统auth模块详解
菲宇运维
04-13 6886
认证系统auth auth模块Django提供的标准权限管理系统,可以提供用户身份认证, 用户组和权限管理。auth可以和admin模块配合使用, 快速建立网站的管理系统auth模块 from django.contrib import auth django.contrib.auth中提供了许多方法,这里主要介绍其中的三个: 1 authenticate() 提供了...
Django Auth模块
XWenXiang的博客
05-26 865
文章目录1. Auth 模块简介2. Auth 模块方法(2.1) createsuperuser(2.2) auth.authenticate()(2.3) auth.login(HttpRequest, user)(2.4) request.user.is_authenticated()(2.5) 登录装饰器logout(request)request.user.check_password()request.set_password(password)、request.user.save() 1. A
Django之用户认证Auth组件
积跬步,至千里。
03-29 1008
Django用户认证Auth组件一般用在用户的登录注册上,用于判断当前的用户是否合法,并跳转到登陆成功或失败页面。自定义用户模型类以扩展用户模型类字段。
Django学习笔记-默认的用户认证系统auth
向往的是:佛祖堂前的鱼,静静听禅。
08-03 1332
Django 自带一个用户验证系统。它负责处理用户账号、组、权限和基于cookie的用户会话。Django 验证系统处理验证和授权。简单来说,验证检验用户是否是他们的用户,授权决定已验证用户能做什么。这里的术语验证用于指代这两个任务。Django 里的验证系统旨在通用化,不提供一些常见的 web 验证系统的特性。其中一些常见问题的解决方案已在第三方包中实现。
Djangodjango.contrib.auth.models模块中的AbstractUser类介绍。
昊虹AI笔记
07-07 1543
Djangodjango.contrib.auth.models模块中的AbstractUser类介绍。
Django 不到20行代码实现用户认证及权限管理完整功能
Python技术探索
12-08 3817
django auth 用户认证、鉴权、登录管理、权限管理,内置视图,不到20行代码完成
django框架auth模块用法实例详解
09-18
主要介绍了django框架auth模块用法,结合实例形式详细分析了Django框架auth模块登录验证、注销等基本操作技巧与使用注意事项,需要的朋友可以参考下
详解Djangoauth模块(用户认证)
12-23
auth模块简介 ...而有了auth模块之后就可以很轻松的去验证用户的登录信息是否存在于数据库中。...django.contrib.auth中提供了许多方法,这里主要介绍其中的四个: 1 、authenticate()  提供了用户认证,即验证用户名
详解django.contirb.auth-认证
09-20
主要介绍了详解django.contirb.auth-认证,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Django中的事务
平时不搬砖的博客
04-24 1099
Django中,是一个数据库设置选项,它会在每个HTTP请求开始时自动开启一个数据库事务,并在请求结束时提交或回滚该事务。这提供了一种方便的方式来确保数据库操作的原子性,即要么全部成功,要么全部失败。在这个例子中,我们为默认的数据库连接设置了。这意味着每当Django处理一个HTTP请求时,它都会自动开启一个数据库事务。如果请求成功完成并且没有发生任何异常,那么事务会在请求结束时自动提交。如果请求期间发生了异常,那么事务会被回滚,从而撤销该请求所做的所有数据库更改。
要搭建基于PythonDjango和Oracle的框架怎么搭
最新发布
shixuegen的专栏
04-27 408
注意,安装cx_Oracle可能需要Oracle的即时客户端或完整的Oracle客户端库,你需要根据系统环境和Oracle数据库的版本进行相应的配置。在定义好模型之后,你需要运行Django的迁移工具来创建对应的数据库表。请注意,上述步骤是一个基本的搭建流程,具体的细节可能会根据你的项目需求、Oracle数据库的版本以及你的开发环境而有所不同。在你的Django项目中,你可以通过执行python manage.py startapp myapp(将myapp替换为你想要的应用名称)来创建一个新的应用。
Django】学习笔记
丷从心·的博客
04-20 2192
Django】学习笔记
python Django中管理用户权限内置用户认证系统用户模型(User)、权限模型(Permission)和组模型(Group)
shixuegen的专栏
04-22 768
Django中管理用户权限通常涉及到Django的内置用户认证系统,该系统提供了用户模型(User)、权限模型(Permission)和组模型(Group)。首先,你需要创建用户。权限系统是基于模型的,因此如果你需要更复杂的权限控制(例如基于对象的权限或基于条件的权限),你可能需要实现自定义的权限解决方案或使用第三方库。当你定义了一个模型后,Django会自动为每个模型的每个字段(例如添加、修改、删除)创建相应的权限。组是一组用户的集合,你可以将权限分配给组,然后用户通过成为组的成员来继承这些权限
Gradio 最快创建Web 界面部署到服务器并演示机器学习模型,本文提供教学案例以及部署方法,避免使用繁琐的django
weixin_44162814的博客
04-24 336
Gradio 是通过友好的 Web 界面演示机器学习模型的最快方式,以便任何人都可以在任何地方使用它!最近学习hugging face里面的物体检测模型,发现一个方便快捷的工具!使用这个开发这种演示机器学习模型的web界面会比django会快上不少!
Django模型继承之多表继承
brucexia的专栏
04-24 732
Django模型继承中,支持的第二种模型继承方式是层次结构中的每个模型都是一个单独的模型。每个模型都指向分离的数据表,并且可以被独立查询和创建。在第07~10行代码中,定义了一个继承自抽象基类Place的、用于表示酒店的子类Hotel。在上述例子中,如果p不是一个Hotel对象,而仅仅是一个Place对象(又或是其他类的父类对象),那么指向p.hotel就会抛出一个Hotel.DoesNotExist类型的异常。在第03~05行代码中,定义了一个用于表示地点的抽象基类Place。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值