一、DJango内auth模块
1.为什么使用auth模块
我们在开发一个网站的时候,无可避免的需要设计实现网站的用户系统。此时我们需要实现包括用户注册、用户登录、用户认证、注销、修改密码等功能,如果这些过程都需要我们手动实现,过程着实麻烦。
而Django是一个完美主义的终极框架,在这个问题上,内置了一个强大的用户认证系统–auth,使用默认创建的auth_user来存储用户数据,如果我们使用auth模块来进行用户认证,那么也需要使用django默认创建好的auth_user表来存储用户的信息数据。
在视图函数中引用django的auth功能,先导入
from django.contrib import auth
注意:auth_user并不是我们在models.py文件中定义的模型,而是django里面自带的应用中的models.py文件生成的。所以我们用的时候需要先同步一下数据库。
makemigrations
migrate
创建一个用户
往auth_user中添加数据的命令,在项目路径下执行如下命令。
python manage.py createsuperuser # 要通过这个指令来创建用户,因为这个指令会将你的密码加密
或者在django的命令行下,也就是同步数据的那个命令行执行
createsuperuser # 创建一个超级用户
创建成功后,在auth_user表中就有数据了,目前我们只需要关注username和password。
Django中的后台管理
其实auth_user本质是django内置的后台管理数据表而使用的帐号管理表。
我们启动项目,然后访问http://127.0.0.1:8000/admin/就可以通过刚才的帐号登录这个管理系统。
登录后,进入的页面是管理django项目的数据表的可视化页面,类似navicat,只不过这个是django提供的网页版。
User表中字段
内置auth引用创建的User模型中有以下字段:
-
username: 用户名。150个字符以内。可以包含数字和英文字符,以及_、@、+、.和-字符。不能为空,且必须唯一!
-
first_name:歪果仁的first_name,在30个字符以内。可以为空。
-
last_name:歪果仁的last_name,在150个字符以内。可以为空。
-
email:邮箱。可以为空。
-
password:密码。经过哈希过后的密码。
-
groups:分组。一个用户可以属于多个分组,一个分组可以拥有多个用户。groups这个字段是跟Group的一个多对多的关系。
-
user_permissions:权限。一个用户可以拥有多个权限,一个权限可以被多个用户所有用。和Permission属于一种多对多的关系。
-
is_staff:是否可以进入到admin的站点。代表是否是员工。这个字段如果不使用admin的话,可以自行忽略,不影响使用
-
is_active:是否是可用的。对于一些想要删除账号的数据,我们设置这个值为False就可以了,而不是真正的从数据库中删除。
-
is_superuser:是否是超级管理员。如果是超级管理员,那么拥有整个网站的所有权限。
-
last_login:上次登录的时间。
-
date_joined:账号创建的时间。
2.auth模块的方法
authenticate()
提供了用户认证功能,即验证用户名以及密码是否正确,一般需要username 、password两个关键字参数,而user表中用户名和密码的字段名称就是username和password。
语法:
user = auth.authenticate(username='user',password='password')
authenticate方法如果认证成功(用户名和密码正确有效,就是去auth_user表中查询一下是否存在这条记录),便会返回一个 User 对象,查询认证失败返回None。
login(HttpRequest,user)
该函数接受一个HttpRequest对象,以及一个经过认证的User对象。
auth.login方法执行会做的两件事:
- 完成session的事情,将用户数据存入数据库,生成随机sessionid存在cookie中发送给客户端。
- request.user=user_obj,将验证后的用户对象存在request请求对象中的user中
只要使用login(request, user_obj)之后,request.user就能拿到当前登录的用户对象。否则request.user得到的是一个匿名用户对象(AnonymousUser Object,是request.user的默认值)
查看用户状态
login使用之前,查看user信息
request.user # 没有经过login方法来封装用户的信息,那么这个显示的是一个匿名用户
request.user.id # None
request.user.username # 空字符串
request.user.is_active # False
login使用之后,查看user信息
request.user # request.user对象是全局的,是当前登陆的user对象,并且可以在模板语言里面直接使用{
{ request.user.username }},万能的句点号
request.user.id # 1 用户账号在表中的id值。
request.user.username # ryxiong
request.user.is_active # True