验证和授权概述

Django有一个内置的授权系统。他用来处理用户、分组、权限以及基于cookie的会话系统。Django的授权系统包括验证和授权两个部分。验证是验证这个用户是否是他声称的人(比如用户名和密码验证,角色验证),授权是给与他相应的权限。Django内置的权限系统包括以下方面:

  1. 用户。
  2. 权限。
  3. 分组。
  4. 一个可以配置的密码哈希系统。
  5. 一个可插拔的后台管理系统。

使用授权系统

默认中创建完一个django项目后,其实就已经集成了授权系统。那哪些部分是跟授权系统相关的配置呢。以下做一个简单列表:

INSTALLED_APPS

  1. django.contrib.auth:包含了一个核心授权框架,以及大部分的模型定义。
  2. django.contrib.contenttypesContent Type系统,可以用来关联模型和权限。

中间件

  1. SessionMiddleware:用来管理session
  2. AuthenticationMiddleware:用来处理和当前session相关联的用户。

User模型

User模型是这个框架的核心部分。他的完整的路径是在django.contrib.auth.models.User。以下对这个User对象做一个简单了解:

字段:

内置的User模型拥有以下的字段:

  1. username: 用户名。150个字符以内。可以包含数字和英文字符,以及_@+.-字符。不能为空,且必须唯一!
  2. first_name:歪果仁的first_name,在30个字符以内。可以为空。
  3. last_name:歪果仁的last_name,在150个字符以内。可以为空。
  4. email:邮箱。可以为空。
  5. password:密码。经过哈希过后的密码。
  6. groups:分组。一个用户可以属于多个分组,一个分组可以拥有多个用户。groups这个字段是跟Group的一个多对多的关系。
  7. user_permissions:权限。一个用户可以拥有多个权限,一个权限可以被多个用户所有用。和Permission属于一种多对多的关系。
  8. is_staff:是否可以进入到admin的站点。代表是否是员工。
  9. is_active:是否是可用的。对于一些想要删除账号的数据,我们设置这个值为False就可以了,而不是真正的从数据库中删除。
  10. is_superuser:是否是超级管理员。如果是超级管理员,那么拥有整个网站的所有权限。
  11. last_login:上次登录的时间。
  12. date_joined:账号创建的时间。

User模型的基本用法

创建用户

通过create_user方法可以快速的创建用户。这个方法必须要传递usernameemailpassword。示例代码如下:

from django.contrib.auth.models import User

user = User.objects.create_user('zhiliao','hynever@zhiliao.com','111111')

# 此时user对象已经存储到数据库中了。当然你还可以继续使用user对象进行一些修改

user.last_name = 'abc'

user.save()

创建超级用户

创建超级用户有两种方式。第一种是使用代码的方式。用代码创建超级用户跟创建普通用户非常的类似,只不过是使用create_superuser。示例代码如下:

from django.contrib.auth.models import User

User.objects.create_superuser('admin','admin@163.com','111111')

也可以通过命令行的方式。命令如下:

python manage.py createsuperuser

后面就会提示你输入用户名、邮箱以及密码。

修改密码

因为密码是需要经过加密后才能存储进去的。所以如果想要修改密码,不能直接修改password字段,而需要通过调用set_password来达到修改密码的目的。示例代码如下:

from django.contrib.auth.models import User

user = User.objects.get(pk=1)

user.set_password('新的密码')

user.save()

登录验证

Django的验证系统已经帮我们实现了登录验证的功能。通过django.contrib.auth.authenticate即可实现。这个方法只能通过usernamepassword来进行验证。示例代码如下:

from django.contrib.auth import authenticate

user = authenticate(username='zhiliao', password='111111')

# 如果验证通过了,那么就会返回一个user对象。

if user is not None:

    # 执行验证通过后的代码

else:

    # 执行验证没有通过的代码。

扩展用户模型

Django内置的User模型虽然已经足够强大了。但是有时候还是不能满足我们的需求。比如在验证用户登录的时候,他用的是用户名作为验证,而我们有时候需要通过手机号码或者邮箱来进行验证。还有比如我们想要增加一些新的字段。那么这时候我们就需要扩展用户模型了。扩展用户模型有多种方式。这里我们来一一讨论下。

1. 设置Proxy模型

如果你对Django提供的字段,以及验证的方法都比较满意,没有什么需要改的。但是只是需要在他原有的基础之上增加一些操作的方法。那么建议使用这种方式。示例代码如下:

class Person(User):

    class Meta:

        proxy = True

    def get_blacklist(self):

        return self.objects.filter(is_active=False)

在以上,我们定义了一个Person类,让他继承自User,并且在Meta中设置proxy=True,说明这个只是User的一个代理模型。他并不会影响原来User模型在数据库中表的结构。以后如果你想方便的获取所有黑名单的人,那么你就可以通过Person.get_blacklist()就可以获取到。并且User.objects.all()Person.objects.all()其实是等价的。因为他们都是从User这个模型中获取所有的数据。

2. 一对一外键

如果你对用户验证方法authenticate没有其他要求,就是使用usernamepassword即可完成。但是想要在原来模型的基础之上添加新的字段,那么可以使用一对一外键的方式。示例代码如下:

from django.contrib.auth.models import User

from django.db import models

from django.dispatch import receiver

from django.db.models.signals import post_save

class UserExtension(models.Model):

    user = models.OneToOneField(User,on_delete=models.CASCADE,related_name='extension')

    birthday = models.DateField(null=True,blank=True)

    school = models.CharField(max_length=100)

@receiver(post_save,sender=User)

def create_user_extension(sender,instance,created,**kwargs):

    if created:

        UserExtension.objects.create(user=instance)

    else:

        instance.extension.save()

以上定义一个UserExtension的模型,并且让她和User模型进行一对一的绑定,以后我们新增的字段,就添加到UserExtension上。并且还写了一个接受保存模型的信号处理方法,只要是User调用了save方法,那么就会创建一个UserExtensionUser进行绑定。

3. 继承自AbstractUser

对于authenticate不满意,并且不想要修改原来User对象上的一些字段,但是想要增加一些字段,那么这时候可以直接继承自django.contrib.auth.models.AbstractUser,其实这个类也是django.contrib.auth.models.User的父类。比如我们想要在原来User模型的基础之上添加一个telephoneschool字段。示例代码如下:

from django.contrib.auth.models import AbstractUser

class User(AbstractUser):

    telephone = models.CharField(max_length=11,unique=True)

    school = models.CharField(max_length=100)

    # 指定telephone作为USERNAME_FIELD,以后使用authenticate

    # 函数验证的时候,就可以根据telephone来验证

    # 而不是原来的username

    USERNAME_FIELD = 'telephone'

    REQUIRED_FIELDS = []

    # 重新定义Manager对象,在创建user的时候使用telephone和

    # password,而不是使用username和password

    objects = UserManager()

class UserManager(BaseUserManager):

    use_in_migrations = True

    def _create_user(self,telephone,password,**extra_fields):

        if not telephone:

            raise ValueError("请填入手机号码!")

        user = self.model(telephone=telephone,*extra_fields)

        user.set_password(password)

        user.save()

        return user

    def create_user(self,telephone,password,**extra_fields):

        extra_fields.setdefault('is_superuser',False)

        return self._create_user(telephone,password)

    def create_superuser(self,telephone,password,**extra_fields):

        extra_fields['is_superuser'] = True

        return self._create_user(telephone,password)

然后再在settings中配置好AUTH_USER_MODEL=youapp.User

这种方式因为破坏了原来User模型的表结构,所以必须要在第一次migrate前就先定义好。

4. 继承自AbstractBaseUser

如果你想修改默认的验证方式,并且对于原来User模型上的一些字段不想要,那么可以自定义一个模型,然后继承自AbstractBaseUser,再添加你想要的字段。这种方式会比较麻烦,最好是确定自己对Django比较了解才推荐使用。步骤如下:

  1. 创建模型。示例代码如下:

     class User(AbstractBaseUser,PermissionsMixin):
    
     email = models.EmailField(unique=True)
    
     username = models.CharField(max_length=150)
    
     telephone = models.CharField(max_length=11,unique=True)
    
     is_active = models.BooleanField(default=True)

     USERNAME_FIELD = 'telephone'
    
     REQUIRED_FIELDS = []

     objects = UserManager()

     def get_full_name(self):
    
         return self.username

     def get_short_name(self):
    
         return self.username

    其中passwordlast_login是在AbstractBaseUser中已经添加好了的,我们直接继承就可以了。然后我们再添加我们想要的字段。比如emailusernametelephone等。这样就可以实现自己想要的字段了。但是因为我们重写了User,所以应该尽可能的模拟User模型:

    • USERNAME_FIELD:用来描述User模型名字字段的字符串,作为唯一的标识。如果没有修改,那么会使用USERNAME来作为唯一字段。
    • REQUIRED_FIELDS:一个字段名列表,用于当通过createsuperuser管理命令创建一个用户时的提示。
    • is_active:一个布尔值,用于标识用户当前是否可用。
    • get_full_name():获取完整的名字。
    • get_short_name():一个比较简短的用户名。

  2. 重新定义UserManager:我们还需要定义自己的UserManager,因为默认的UserManager在创建用户的时候使用的是usernamepassword,那么我们要替换成telephone。示例代码如下:

     class UserManager(BaseUserManager):
    
     use_in_migrations = True

     def _create_user(self,telephone,password,**extra_fields):
    
         if not telephone:
    
             raise ValueError("请填入手机号码!")
    
         user = self.model(telephone=telephone,*extra_fields)
    
         user.set_password(password)
    
         user.save()
    
         return user

     def create_user(self,telephone,password,**extra_fields):
    
         extra_fields.setdefault('is_superuser',False)
    
         return self._create_user(telephone,password)

     def create_superuser(self,telephone,password,**extra_fields):
    
         extra_fields['is_superuser'] = True
    
         return self._create_user(telephone,password)

  3. 在创建了新的User模型后,还需要在settings中配置好。配置AUTH_USER_MODEL='appname.User'

  4. 如何使用这个自定义的模型:比如以后我们有一个Article模型,需要通过外键引用这个User模型,那么可以通过以下两种方式引用。

    第一种就是直接将User导入到当前文件中。示例代码如下:

     from django.db import models
    
 from myauth.models import User
    
 class Article(models.Model):
    
     title = models.CharField(max_length=100)
    
     content = models.TextField()
    
     author = models.ForeignKey(User, on_delete=models.CASCADE)

    这种方式是可以行得通的。但是为了更好的使用性,建议还是将User抽象出来,使用settings.AUTH_USER_MODEL来表示。示例代码如下:

     from django.db import models
    
 from django.conf import settings
    
 class Article(models.Model):
    
     title = models.CharField(max_length=100)
    
     content = models.TextField()
    
     author = models.ForeignKey(settings.AUTH_USER_MODEL, on_delete=models.CASCADE)

这种方式因为破坏了原来User模型的表结构,所以必须要在第一次migrate前就先定义好。

{% if perms.front.add_article %}

    <a href='/article/add/'>添加文章</a>

{% endif %}

权限和分组

登录、注销和登录限制

登录

在使用authenticate进行验证后,如果验证通过了。那么会返回一个user对象,拿到user对象后,可以使用django.contrib.auth.login进行登录。示例代码如下:

user = authenticate(username=username, password=password)

if user is not None:

    if user.is_active:

        login(request, user)

注销

注销,或者说退出登录。我们可以通过django.contrib.auth.logout来实现。他会清理掉这个用户的session数据。

登录限制

有时候,某个视图函数是需要经过登录后才能访问的。那么我们可以通过django.contrib.auth.decorators.login_required装饰器来实现。示例代码如下:

from django.contrib.auth.decorators import login_required

# 在验证失败后,会跳转到/accounts/login/这个url页面

@login_required(login_url='/accounts/login/')

def my_view(request):

    pass

权限

Django中内置了权限的功能。他的权限都是针对表或者说是模型级别的。比如对某个模型上的数据是否可以进行增删改查操作。他不能针对数据级别的,比如对某个表中的某条数据能否进行增删改查操作(如果要实现数据级别的,考虑使用django-guardian)。创建完一个模型后,针对这个模型默认就有三种权限,分别是增/删/改/。可以在执行完migrate命令后,查看数据库中的auth_permission表中的所有权限。

![img](file:///E:/qq/446516214/FileRecv/%E7%9F%A5%E4%BA%86%E8%AF%BE%E4%BB%B6/%E7%9F%A5%E4%BA%86%E8%AF%BE%E5%A0%82Django%E8%AF%BE%E4%BB%B6/django-advance/assets/%E6%9D%83%E9%99%90.png)

其中的codename表示的是权限的名字。name表示的是这个权限的作用。

通过定义模型添加权限

如果我们想要增加新的权限,比如查看某个模型的权限,那么我们可以在定义模型的时候在Meta中定义好。示例代码如下:

class Article(models.Model):

    title = models.CharField(max_length=100)

    content = models.TextField()

    author = models.ForeignKey(get_user_model(),on_delete=models.CASCADE)

    class Meta:

        permissions = (

            ('view_article','can view article'),

        )

通过代码添加权限

权限都是django.contrib.auth.Permission的实例。这个模型包含三个字段,namecodename以及content_type,其中的content_type表示这个permission是属于哪个app下的哪个models。用Permission模型创建权限的代码如下:

from django.contrib.auth.models import Permission,ContentType

from .models import Article

content_type = ContentType.objects.get_for_model(Article)

permission = Permission.objects.create(name='可以编辑的权限',codename='edit_article',content_type=content_type)

用户与权限管理

权限本身只是一个数据,必须和用户进行绑定,才能起到作用。User模型和权限之间的管理,可以通过以下几种方式来管理:

  1. myuser.user_permissions.set(permission_list):直接给定一个权限的列表。
  2. myuser.user_permissions.add(permission,permission,...):一个个添加权限。
  3. myuser.user_permissions.remove(permission,permission,...):一个个删除权限。
  4. myuser.user_permissions.clear():清除权限。
  5. myuser.has_perm('<app_name>.<codename>'):判断是否拥有某个权限。权限参数是一个字符串,格式是app_name.codename
  6. myuser.get_all_permissons():获取所有的权限。

权限限定装饰器

使用django.contrib.auth.decorators.permission_required可以非常方便的检查用户是否拥有这个权限,如果拥有,那么就可以进入到指定的视图函数中,如果不拥有,那么就会报一个400错误。示例代码如下:

from django.contrib.auth.decorators import permission_required

@permission_required('front.view_article')

def my_view(request):

    ...

分组

权限有很多,一个模型就有最少三个权限,如果一些用户拥有相同的权限,那么每次都要重复添加。这时候分组就可以帮我们解决这种问题了,我们可以把一些权限归类,然后添加到某个分组中,之后再把和把需要赋予这些权限的用户添加到这个分组中,就比较好管理了。分组我们使用的是django.contrib.auth.models.Group模型, 每个用户组拥有idname两个字段,该模型在数据库被映射为auth_group数据表。

分组操作

  1. Group.object.create(group_name):创建分组。
  2. group.permissions:某个分组上的权限。多对多的关系。
    • group.permissions.add:添加权限。
    • group.permissions.remove:移除权限。
    • group.permissions.clear:清除所有权限。
    • user.get_group_permissions():获取用户所属组的权限。
  3. user.groups:某个用户上的所有分组。多对多的关系。

在模板中使用权限

settings.TEMPLATES.OPTIONS.context_processors下,因为添加了django.contrib.auth.context_processors.auth上下文处理器,因此在模板中可以直接通过perms来获取用户的所有权限。示例代码如下:

{% if perms.front.add_article %}

    <a href='/article/add/'>添加文章</a>

{% endif %}

Django学习笔记之验证和授权的更多相关文章

  1. Django学习笔记(16)——扩展Django自带User模型,实现用户注册与登录

    一,项目题目:扩展Django自带User模型,实现用户注册与登录 我们在开发一个网站的时候,无可避免的需要设计实现网站的用户系统.此时我们需要实现包括用户注册,登录,用户认证,注销,修改密码等功能. ...

  2. Django学习笔记(五)—— 表单

    疯狂的暑假学习之  Django学习笔记(五)-- 表单 參考:<The Django Book> 第7章 1. HttpRequest对象的信息 request.path         ...

  3. Django学习笔记(三)—— 型号 model

    疯狂暑期学习 Django学习笔记(三)-- 型号 model 參考:<The Django Book> 第5章 1.setting.py 配置 DATABASES = { 'defaul ...

  4. Django学习笔记(9)—— 开发用户注册与登录系统

    一,项目题目: 开发用户注册与登录系统 该项目主要练习使用Django开发一个用户注册与登录的系统,通过这个项目然后巩固自己这段时间所学习的Django知识. 二,项目需求: 开发一个简单的用户登录与 ...

  5. Django学习笔记(4)——Django连接数据库

    前言 在MVC或者MTV设计模式中,模型(M)代表对数据库的操作.那么如何操作数据库呢?本小节就认真学习一下.首先复习一下Django的整个实现流程 ,然后再实现一下使用数据库的整个流程,最后学习一下 ...

  6. Django学习笔记二

    Django学习笔记二 模型类,字段,选项,查询,关联,聚合函数,管理器, 一 字段属性和选项 1.1 模型类属性命名限制 1)不能是python的保留关键字. 2)不允许使用连续的下划线,这是由dj ...

  7. Django学习笔记(13)——Django的用户认证(Auth)组件,视图层和QuerySet API

    用户认证组件的学习 用户认证是通过取表单数据根数据库对应表存储的值做比对,比对成功就返回一个页面,不成功就重定向到登录页面.我们自己写的话当然也是可以的,只不过多写了几个视图,冗余代码多,当然我们也可 ...

  8. Python框架之Django学习笔记(十七)

    Django框架之表单(续二) 今天的这篇博客将是Django学习笔记博客的最后一篇,基本每周最少一篇的Django框架学习,坚持到今天也实属不易,当然了,这个框架的学习仅仅是Django框架的基础部 ...

  9. Django学习笔记(18)——BBS+Blog项目开发(2)主体思路及流程

    这篇博客主要完成一个BBS+Blog项目,那么主要是模仿博客园的博客思路,使用Django框架进行练习. 准备:项目需求分析 在做一个项目的时候,我们首先做的就是谈清楚项目需求,功能需求,然后才开始写 ...

随机推荐

  1. cscope和ctags自动更新

    1.写一个shell脚本,定时更新数据库文件,命名为auto_load_cscope.sh,在/usr/local/bin里设置软链接为autocs #!/bin/bash cd $1 while : ...

  2. Python机器学习(基础篇---监督学习(k近邻))

    K近邻 假设我们有一些携带分类标记的训练样本,分布于特征空间中,对于一个待分类的测试样本点,未知其类别,按照‘近朱者赤近墨者黑’,我们需要寻找与这个待分类的样本在特征空间中距离最近的k个已标记样本作为 ...

  3. SQL Server用表组织数据

    一.主键 主键作为表中的唯一标识,标识这一列不允许出现重复数据    如果两列或多列组合起来唯一标识表中的每一行,该主键叫“复合主键” 选择主键的原则     最少性      尽量选择单个键作为主键 ...

  4. mac下修改mysql默认字符集为utf8

    1.首先检查默认安装的字符集 mysql> show variables like '%char%'; +--------------------------+----------------- ...

  5. 微信小程序windowHeight的值在ios和android平台不一致问题解决办法

    开发中遇到一个业务需求,需要把页面顶部.底部固定,中间的scroll-view内部滚动.要满足这个需求,需要根据屏幕高度计算中间的scroll-view高度.结果悲催地发现,使用 wx.getSyst ...

  6. python基础---面向对象的概念

    1.面向对象 什么是面向过程?? 将一个复杂单位问题一步步小化,最终只需要完成一个人小的功能就可以了 比如:将大象放进冰箱要几步? 一共三步:打开冰箱,把大象塞进入,关门就可以了 优点:复杂度降低了, ...

  7. C# Ini、Json、Xml 封装类

    1.Ini是什么?(我对它的理解,用于存储用户配置信息的文件,该文件放在用户电脑...) INI文件是一个无固定标准格式的配置文件.它以简单的文字与简单的结构组成,常常使用在Windows操作系统,或 ...

  8. Classnotfoundexception 与 noClassDelfaultError的区别

    ClassNotFoundException 这个异常特别常见,就是class找不到异常,一般的问题就是: 1 调用class的forName方法时,找不到指定的类 2 ClassLoader 中的 ...

  9. SQL注入之Sqli-labs系列第四十七关,第四十八关,第四十九关(ORDER BY注入)

    0x1 源码区别点 将id变为字符型:$sql = "SELECT * FROM users ORDER BY '$id'"; 0x2实例测试 (1)and rand相结合的方式 ...

  10. 最近的AI

    虚拟币和AI  两个大类怎么兴起?