用户认证组件
用户认证组件:
功能:用session记录登陆验证状态
前提:用户表:django自带的auth_user
创建超级用户的命令: python manage.py createsuperuser
API:
(1)from django.contrib import auth (auth模块的方法)
1. # 做验证:如果 验证成功 返回 user 对象(就是 auth_user 这张表中的一条记录对象),否则返回None
user = auth.authenticate(username=username,password=psw)
2. # 利用 session 信息注册一个用户登陆对象(在 django_session表中添加记录,并生成一个全局变量 request.user这个对象)
auth.login(request,user)
3. # 注销
auth.logout(request)
(2)from django.contrib.auth.models import User (User对象的方法;User等同于 auth_user这张表)
4. request.user.is_authenticated # 是否通过验证 # request.user 就是 auth_user表中的一条记录(一个对象)
5. 添加用户(注册功能)
User.objects.create_user(username="",password="",...)
User.objects.create_superuser(username="",password="",...)
补充:
匿名用户对象:见下面
重点: request.user 这个全局变量(可在任何视图和模板中直接使用;这也是auth认证组件最大的优点:可利用 request.user 获取当前登陆人的所有信息)
如果没有执行 auth.login(request,user),那么 request.user == AnonymousUser()
如果执行了 auth.login(request,user),request.user == 当前用户对象
目录结构:
urls.py
from django.contrib import admin from django.urls import path from app01 import views urlpatterns = [ path('admin/', admin.site.urls), path(r'login/',views.login), path(r'index/',views.index), # 注销功能 path(r'logout/',views.logout), # 注册功能 path(r'reg/',views.reg), # 认证装饰器 path(r"order/",views.order) ]
views.py
from django.shortcuts import render,HttpResponse,redirect # Create your views here. from django.contrib import auth # 引入 auth_user表 from django.contrib.auth.models import User def login(request): if request.method == "POST": # 用 auth 模块注册 session username = request.POST.get("username") psw = request.POST.get("psw") # 如果 验证成功 返回 user 对象(就是 auth_user 这张表中的一条记录对象),否则返回None user = auth.authenticate(username=username,password=psw) # 利用 auth.authenticate()这个接口去 auth_user 表中进行验证;返回一条记录对象 if user: auth.login(request,user) # 利用 auth.login(request,user) 这个接口去注册 session (把 user这个对象添加到了 django_session这个表的 session_data 中);这行代码执行的操作是: request.user = user;即 request 中添加了一个属性 user,其值为 user这个对象,以后在全局中都能通过 request.user 获取到 user 对象; request.user是个全局变量,不管是在视图函数中还是模板中都能直接调用 # 如果没有进行 auth.login(),那就会以 匿名用户(AnonymousUser)的身份进行登陆 # 通过 auth 进行session注册的好处:逻辑更严谨;例如,当 用户登陆信息更新时, django_session表中 不但 session_data 会更新,而且session_key也会更新为一个新的随机字符串 return redirect("/index/") # 如果所有需要 is_authenticated为True的函数都加了 login_required() 装饰器,则需要用下面的方法动态的去获取 验证成功要跳转的页面 # next_url = request.GET.get("next","/index/") # 认证成功后要跳转的页面;# 虽然此时为POST请求,但其 请求体中仍有 ?next="xxx"(表示验证成功后跳转的页面),所以仍可用 request.GET的方式获取该请求体 # return redirect(next_url) return render(request,"login.html") def index(request): print(request.user) print("request.user.username",request.user.username) # request.user.username 获取 request.user 这个对象(记录)的username对应的值 print("is_anonymous",request.user.is_anonymous) # request.user.is_anonymous:判断是否为匿名用户 # if request.user.is_anonymous: # 以匿名用户的身份登陆 # 也可以用下面的方法去判断: is_authenticated if not request.user.is_authenticated: return redirect("/login/") return render(request,"index.html") def logout(request): # 注销接口:auth.logout(request) auth.logout(request) # 作用等同于: request.session.flush();# 会把 django_session 表中 相应的记录删除 return redirect("/login/") def reg(request): if request.method == "POST": username = request.POST.get("username") psw = request.POST.get("psw") # 注册功能 # User.objects.create(username=username,password=psw) # 不要用 User 去create();因为这个create 出来的记录是明文的 密码 user = User.objects.create_user(username=username,password=psw) # 应该用 create_user() 或者 create_superuser(); 这两种方法能将 password 变成 密文;返回值是插入的这条记录对象 return redirect("/login/") return render(request,"reg.html") # 要实现的效果:is_authenticated 为True时才能。为了不在每次视图函数中都自己写 认证代码的逻辑(避免重复),可利用 装饰器: login_required() # 利用装饰器 login_required() 时,需要在 settings.py 中设置 LOGIN_URL="/login/" (is_authenticated为False时所要跳转的 路径);而且在 login() 这个视图函数中需要动态的去 获取 登陆认证完之后所要跳转的路径(见login()) from django.contrib.auth.decorators import login_required @login_required # 登陆认证装饰器 def order(request): # 由于有 login_required() 这个装饰器,其内部不需要再写认证的逻辑;该装饰器实现的效果如下: # if not request.user.is_authenticated: # return redirect("/login/") return render(request,"order.html")
login.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <h3>登陆</h3> <form action="" method="post"> {% csrf_token %} 用户名 <input type="text" name="username"> 密码 <input type="password" name="psw"> <input type="submit"> </form> </body> </html>
index.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <h3>hello {{ request.user }}</h3> <a href="/logout/">注销</a> </body> </html>
reg.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <h3>注册</h3> <form action="" method="post"> {% csrf_token %} 用户名 <input type="text" name="username"> 密码 <input type="password" name="psw"> <input type="submit"> </form> </body> </html>
order.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <h3>order</h3> </body> </html>
User对象其它的方法:
1. check_password(passwd) 用户需要修改密码的时候 首先要让他输入原来的密码 ,如果给定的字符串通过了密码检查,返回 True 2. 修改密码: user = User.objects.get(username='') user.set_password(password='') user.save
AnonymousUser相关属性:
匿名用户 class models.AnonymousUser django.contrib.auth.models.AnonymousUser 类实现了django.contrib.auth.models.User 接口,但具有下面几个不同点: id 永远为None。 username 永远为空字符串。 get_username() 永远返回空字符串。 is_staff 和 is_superuser 永远为False。 is_active 永远为 False。 groups 和 user_permissions 永远为空。 is_anonymous() 返回True 而不是False。 is_authenticated() 返回False 而不是True。 set_password()、check_password()、save() 和delete() 引发 NotImplementedError。 New in Django 1.8: 新增 AnonymousUser.get_username() 以更好地模拟 django.contrib.auth.models.User。
补充:如果自己写的 用户信息表 想和 Django自带的 User表关联(或者说 扩展 User 表的字段),可用以下方法:
from django.contrib.auth.models import User class UserInfo(models.Model): user = models.OneToOneField(User,on_delete=models.CASCADE) # User 不要加 "" name = models.CharField(max_length=32) # 添加扩展字段
# 登陆验证时,要去 Django自带的 User 表验证
中间件
中间件顾名思义,是介于request与response处理之间的一道处理过程,相对比较轻量级,并且在全局上改变django的输入与输出。因为改变的是全局,所以需要谨慎实用,用不好会影响到性能。
如果你想修改请求,例如被传送到view中的HttpRequest对象。 或者你想修改view返回的HttpResponse对象,这些都可以通过中间件来实现。
可能你还想在view执行之前做一些操作,这种情况就可以用 middleware来实现。
Django默认的Middleware
:
MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', ]
自定义中间件:
中间件中一共有四个方法:
process_request
process_view
process_exception
process_response
process_request,process_response:(这两个用的最多;通常情况下 process_reqeust 没有返回值,但 process_response必须有返回值,返回值是视图函数返回的响应体 response)
当用户发起请求的时候会依次经过所有的的中间件,这个时候的请求是process_request,最后到达views的函数中,views函数处理后,在依次穿过中间件,这个时候是process_response,最后返回给请求者。
上述截图中的中间件都是django中的,我们也可以自己定义一个中间件,我们可以自己写一个类,但是必须继承MiddlewareMixin
需要导入
from django.utils.deprecation import MiddlewareMixin
in views:
def index(request): print("view函数...") return HttpResponse("OK")
in Mymiddlewares.py:
from django.utils.deprecation import MiddlewareMixin from django.shortcuts import HttpResponse class Md1(MiddlewareMixin): def process_request(self,request): print("Md1请求") def process_response(self,request,response): print("Md1返回") return response class Md2(MiddlewareMixin): def process_request(self,request): print("Md2请求") #return HttpResponse("Md2中断") def process_response(self,request,response): print("Md2返回") return response
结果:
# Md1请求 # Md2请求 # view函数... # Md2返回 # Md1返回
注意:如果当请求到达请求2的时候直接不符合条件返回,即return HttpResponse("Md2中断"),程序将把请求直接发给中间件2返回,然后依次返回到请求者,结果如下:
返回Md2中断的页面,后台打印如下:
# Md1请求 # Md2请求 # Md2返回 # Md1返回
流程图如下:
process_view:
process_view(self, request, callback, callback_args, callback_kwargs)
# callback表示对应的视图函数(如:views.index),callback_args, callback_kwargs 表示视图函数的参数
Mymiddlewares.py修改如下:
from django.utils.deprecation import MiddlewareMixin from django.shortcuts import HttpResponse class Md1(MiddlewareMixin): def process_request(self,request): print("Md1请求") #return HttpResponse("Md1中断") def process_response(self,request,response): print("Md1返回") return response def process_view(self, request, callback, callback_args, callback_kwargs): print("Md1view") class Md2(MiddlewareMixin): def process_request(self,request): print("Md2请求") return HttpResponse("Md2中断") def process_response(self,request,response): print("Md2返回") return response def process_view(self, request, callback, callback_args, callback_kwargs): print("Md2view")
结果如下:
# Md1请求 # Md2请求 # Md1view # Md2view # view函数... # Md2返回 # Md1返回
下图进行分析上面的过程:
当最后一个中间的process_request到达路由关系映射之后,返回到中间件1的process_view,然后依次往下,到达views函数,最后通过process_response依次返回到达用户。
process_view可以用来调用视图函数:
class Md1(MiddlewareMixin): def process_request(self,request): print("Md1请求") #return HttpResponse("Md1中断") def process_response(self,request,response): print("Md1返回") return response def process_view(self, request, callback, callback_args, callback_kwargs): # return HttpResponse("hello") response=callback(request,*callback_args,**callback_kwargs) return response
结果如下:
# Md1请求 # Md2请求 # view函数... # Md2返回 # Md1返回
注意:process_view如果有返回值,会越过其他的process_view以及视图函数,但是所有的process_response都还会执行。
process_exception:
process_exception(self, request, exception) # exception 表示错误信息
示例修改如下:
class Md1(MiddlewareMixin): def process_request(self,request): print("Md1请求") #return HttpResponse("Md1中断") def process_response(self,request,response): print("Md1返回") return response def process_view(self, request, callback, callback_args, callback_kwargs): # return HttpResponse("hello") # response=callback(request,*callback_args,**callback_kwargs) # return response print("md1 process_view...") def process_exception(self): print("md1 process_exception...") class Md2(MiddlewareMixin): def process_request(self,request): print("Md2请求") # return HttpResponse("Md2中断") def process_response(self,request,response): print("Md2返回") return response def process_view(self, request, callback, callback_args, callback_kwargs): print("md2 process_view...") def process_exception(self): print("md1 process_exception...")
结果如下:
# Md1请求 # Md2请求 # md1 process_view... # md2 process_view... # view函数... # # Md2返回 # Md1返回
流程图如下:
当views(视图函数)出现错误时才会执行 process_exception:
将md2的process_exception修改如下:
def process_exception(self,request,exception): print("md2 process_exception...") return HttpResponse("error")
结果如下:
# Md1请求 # Md2请求 # md1 process_view... # md2 process_view... # view函数... # md2 process_exception... # Md2返回 # Md1返回
注:自定义的中间件要添加到 settings.py的 MIDDLEWARE 列表中