Django学习之九: auth 认证组件

Django auth 认证组件

目录

• Django auth 认证组件
  • 配置使用auth组件及其中间件
  • request.user 可以直接在template模版中使用
  • auth组件常用api
    • 注意区别两个API判定 ‘是否认证’ 与 ‘是否认证成功的区别’
  • 获取认证model类
  • 认证检测装饰器@login_required
  • auth模块大大前提是，使用django的user model作为用户存储
  • 利用auth组件的登录视图函数：
  • 小结

Django提供的auth认证组件，提供了: 用户表的构建方式（用于满足符合auth组件）;提供了认证接口;提供了会话登录和会话注销的接口 ;提供了中间件将会话登录用户保存到request对对象中，这样可以很轻易的拿到登录用户，不用我们再从会话中获取用户id，再通过model获取到用户对象；对于认证接口要提供用户名和密码传入auth.authenticate(username,password)，认证成功，就可以得到认证用户对象。我们只需要根据认证结果是否有对象，来判定认证结果，来进行后面的操作。同时返回的用户对象传入auth.login(request, user)接口，调用接口，可以将用户登录信息记录到session中，并且如果添加了auth的一个中间件AuthenticationMiddleware，那么每次请求会在request.user中保存该登录的用户对象。如果没登陆request.user会保存一个anonymouseuser用户，这样就可以通过request.user的API来判定本次请求是否是某个用户登录状态。这点是auth组件关键点，这也是涉及到隐含session记录创建和auth中间件对request对象的操作。

配置使用auth组件及其中间件

1. 将auth app注册到installed_apps列表中。即将‘django.contrib.auth’添加到列表中。
2. 将contenttypes app注册到installed_apps列表中。即将‘django.contrib.contenttypes’添加到列表中。这是django的 content type system， 有关权限的。
3. 确保两个中间件添加到配置文件MIDDLEWARE列表中：
   1. 'django.contrib.sessions.middleware.SessionMiddleware'
   2. 'django.contrib.auth.middleware.AuthenticationMiddleware'
4. 设置auth组件使用的认证用户表即Model。默认会使用auth模块的 auth.User这个model.这个设置参数是AUTH_USER_MODEL='appname.UserModel' 这个值是app名字和模块名，中间使用点连接，不用指定模块名。这点要注意。
5. 注意自定义的认证model类，这个model类必须继承django.contrib.auth.models.AbstractUser类。该类提供了用户名和密码还有邮箱等字段。只需要自定义一些自己的字段就可以了。主要提供了：
   1. username
   2. password
   3. email
   4. first_name
   5. last_name
6. 定义自己的认证model类，实例：

from django.contrib.auth.models import AbstractUser
from django.db import models

class Users(AbstractUser):
    age = models.IntegerField(verbose_name='年龄', blank=True, null=True)
    telephone = models.CharField(verbose_name='手机号', max_length=32)
    address = models.CharField(verbose_name='住址', max_length=255)

    def __str__(self):
        return self.username  # username属性继承自AbstractUser

1. settings文件中对应的AUTH_USER_MODEL = 'appname.Users' ，appname就是model所在的app名称了。
2. 最后一个和是否已认证登录校验相关的配置：LOGIN_URL 该设置定义了登录url。用于auth组件提供的@login_required 装饰器，装饰器用于装饰view视图函数，当视图函数需要校验用户登录才能访问时，

request.user 可以直接在template模版中使用

方便在模版系统中渲染登录用户的信息。前提是使用auth组件进行会话登录及其中间件。

auth组件常用api

1. auth.authenticate(username= login_name, password = pwd) 认证成功返回User对象，失败返回None.
2. auth.login(request, user) # 注意request是必须的，是请求对象，user是通过authenticate认证后得到的。作用会话登录，将登录信息保存到会话中。如果当前会话已经产生会flush。
3. request.user # 这个就是一个django.utils.functional.SimpleLazyObject对象，如果authenticate认证成功，返回的对象是model-user对象，也就是auth_user表对象；将该对象进过auth.login后，那么request.user就是相应的该用户；不然就是一个anonymous用户。通过request.user可以判定是否有用户登录。重要：request.user是一个全局变量，可以在视图和模版中使用。
4. auth.logout(request) 登出当前session中登录的用户，如果没有用户登录，也不会报错。登出后request.user就是annoymouse用户了。会清空会话。
5. reques.user.username可以判定是否有用户登录。不能使用request.user判定是否有用户登录，因为没有用户登录，这个也会返回一个annoymouse用户，只有访问其属性才会返回一些False值。所以通过request.user.* 的属性才能判定是否有用户登录的状态。
6. request.user.is_authenticated 判定是否登录返回True或False.
7. django.contrib.auth.get_user_model() 可以获取到当前auth组件使用的认证model类。

注意区别两个API判定 ‘是否认证’ 与 ‘是否认证成功的区别’

即 auth.authenticate() 与 request.user.is_authenticated 的使用场景和功能区别：

• 两者看上去都是认证有关系，但两种使用场景和目的是不同的。
• 前者 是 认证 ，其返回的结果是User_obj 或者 None，目的是判定认证是否成功，仅仅使用在登录认证view视图函数中。
• 后者 是 是否有用户登录， 其返回结果是True 或者False。目的是校验用户是否登录了，用于除了登录认证view与不校验用户登录的view。即需要校验用户登录状况才有后续操作的情景中。这个的前提是auth.authenticate和auth.login 两个登录过程操作。只有两者操作了，才有登录的判定。

获取认证model类

1. 通过django.contrib.auth.get_user_model()
2. 如果要在其它model类关联使用的认证model类，最好通过django.conf.settings.AUTH_USER_MODEL获取。这是最佳实践，关联认证model类。因为如果直接引用，万一改变了model认证类的化，还要来改变这里的代码。
3. 以上两种方式是可以互换的。

认证检测装饰器@login_required

导入语句： from django.contrib.auth.decorators import login_required

用法：用于装饰需要视图函数；使用了该装饰器的函数，会判定是否已登录用户，如果没有将重定向到settings.LOGIN_URL指定的url并带上一个next参数，next参数传入当前视图访问的绝对路径，已用于在登录后跳转的路径。这样，login视图在登录成功后的跳转，就可以从next提交的值获取，并设置一个获取不到的默认值为'index'首页就可以了。很方便的装饰器和其修改的next参数，其中next可用于模版中。

用法：

@login_required
def list_customer(request):
    """
    查看用户列表
    :param request:
    :return:
    """
    pass
    return HttpResponse('用户列表')

auth模块大大前提是，使用django的user model作为用户存储

如果要自定义，可以继承AbstractUser这个抽象model。这就涉及到了model的继承。抽象继承属于model继承的table_per_class模式。

user model提供了创建user object 的接口create_user()；修改密码的接口user.set_password()。这个操作普通model直接操作create,update数据不同，必须通过接口，因为密码是加密存储的。

利用auth组件的登录视图函数：

# 登录验证页面
def login(request):
    if request.method == 'POST':
        response = {
            'user': None,
            'msg': None,
        }
        login_name = request.POST.get('username')  # 因为使用的是ajax提交表单数据，对于表单数据的校验就放到前端吧.
        pwd = request.POST.get('password')
        valid_code = request.POST.get('valid_code')
        if valid_code.upper() == request.session['valid_code'].upper():  # 只做验证码校验和用户认证校验。
            user = auth.authenticate(username=login_name, password=pwd)
            if user:
                auth.login(request, user)  # 这样request.user 就会有当前登录对象
                response['user'] = user.username
                return JsonResponse(response)
            else:
                response['msg'] = '用户名或密码错误！'
                return JsonResponse(response)
        else:
            response['msg'] = '验证码错误！'
            return JsonResponse(response)
    return render(request, 'myblog/login.html')

小结

1. 感觉使用auth组件后，auth组件的耦合度太高了，不好扩展了。虽然提供的一些认证，登录会话等比较好用，但是想自己扩展就比较难。所以还是少用auth组件，使用自己的认证吧，可以利用auth提供的一些工具API, 到我们自己的认证代码中。如：密码的hash。