小白IT：Django框架—auth认证模块

本文链接：https://blog.csdn.net/yidianyidei/article/details/106535038

文章目录

一、DJango内auth模块
二、User对象使用
三、扩展默认的auth_user表
- 1.扩展auth_user表方法
- - 通过继承来扩展auth_user表

一、DJango内auth模块

1.为什么使用auth模块

我们在开发一个网站的时候，无可避免的需要设计实现网站的用户系统。此时我们需要实现包括用户注册、用户登录、用户认证、注销、修改密码等功能，如果这些过程都需要我们手动实现，过程着实麻烦。

而Django是一个完美主义的终极框架，在这个问题上，内置了一个强大的用户认证系统–auth，使用默认创建的auth_user来存储用户数据，如果我们使用auth模块来进行用户认证，那么也需要使用django默认创建好的auth_user表来存储用户的信息数据。

在视图函数中引用django的auth功能，先导入

from django.contrib import auth

注意：auth_user并不是我们在models.py文件中定义的模型，而是django里面自带的应用中的models.py文件生成的。所以我们用的时候需要先同步一下数据库。

makemigrations
migrate

创建一个用户

往auth_user中添加数据的命令，在项目路径下执行如下命令。

python manage.py createsuperuser  # 要通过这个指令来创建用户，因为这个指令会将你的密码加密

或者在django的命令行下，也就是同步数据的那个命令行执行

createsuperuser  # 创建一个超级用户

创建成功后，在auth_user表中就有数据了，目前我们只需要关注username和password。

Django中的后台管理

其实auth_user本质是django内置的后台管理数据表而使用的帐号管理表。

我们启动项目，然后访问http://127.0.0.1:8000/admin/就可以通过刚才的帐号登录这个管理系统。

登录后，进入的页面是管理django项目的数据表的可视化页面，类似navicat，只不过这个是django提供的网页版。

User表中字段

内置auth引用创建的User模型中有以下字段：

username：用户名。150个字符以内。可以包含数字和英文字符，以及_、@、+、.和-字符。不能为空，且必须唯一！
first_name：歪果仁的first_name，在30个字符以内。可以为空。
last_name：歪果仁的last_name，在150个字符以内。可以为空。
email：邮箱。可以为空。
password：密码。经过哈希过后的密码。
groups：分组。一个用户可以属于多个分组，一个分组可以拥有多个用户。groups这个字段是跟Group的一个多对多的关系。
user_permissions：权限。一个用户可以拥有多个权限，一个权限可以被多个用户所有用。和Permission属于一种多对多的关系。
is_staff：是否可以进入到admin的站点。代表是否是员工。这个字段如果不使用admin的话，可以自行忽略，不影响使用
is_active：是否是可用的。对于一些想要删除账号的数据，我们设置这个值为False就可以了，而不是真正的从数据库中删除。
is_superuser：是否是超级管理员。如果是超级管理员，那么拥有整个网站的所有权限。
last_login：上次登录的时间。
date_joined：账号创建的时间。

2.auth模块的方法

authenticate()

提供了用户认证功能，即验证用户名以及密码是否正确，一般需要username 、password两个关键字参数，而user表中用户名和密码的字段名称就是username和password。

语法：

user = auth.authenticate(username='user',password='password')

authenticate方法如果认证成功（用户名和密码正确有效，就是去auth_user表中查询一下是否存在这条记录），便会返回一个 User 对象，查询认证失败返回None。

login(HttpRequest,user)

该函数接受一个HttpRequest对象，以及一个经过认证的User对象。

auth.login方法执行会做的两件事：

完成session的事情，将用户数据存入数据库，生成随机sessionid存在cookie中发送给客户端。
request.user=user_obj，将验证后的用户对象存在request请求对象中的user中

只要使用login(request, user_obj)之后，request.user就能拿到当前登录的用户对象。否则request.user得到的是一个匿名用户对象（AnonymousUser Object，是request.user的默认值）

查看用户状态

login使用之前，查看user信息

request.user  # 没有经过login方法来封装用户的信息，那么这个显示的是一个匿名用户
request.user.id  # None
request.user.username  # 空字符串
request.user.is_active  # False

login使用之后，查看user信息

request.user  # request.user对象是全局的，是当前登陆的user对象，并且可以在模板语言里面直接使用{
  { request.user.username }}，万能的句点号
request.user.id  # 1 用户账号在表中的id值。
request.user.username  # ryxiong
request.user.is_active  # True