Django权限系统auth模块
auth模块是Django提供的标准权限管理系统,可以提供用户身份认证, 用户组和权限管理。
auth可以和admin模块配合使用, 快速建立网站的管理系统。
在INSTALLED_APPS中添加’django.contrib.auth’使用该APP, auth模块默认启用.
User
- User是auth模块中维护用户信息的关系模式(继承了models.Model), 数据库中该表被命名为auth_user,User表的SQL描述:
CREATE TABLE "auth_user" (
"id" integer NOT NULL PRIMARY KEY AUTOINCREMENT,
"password" varchar(128) NOT NULL, "last_login" datetime NULL,
"is_superuser" bool NOT NULL,
"first_name" varchar(30) NOT NULL,
"last_name" varchar(30) NOT NULL,
"email" varchar(254) NOT NULL,
"is_staff" bool NOT NULL,
"is_active" bool NOT NULL,
"date_joined" datetime NOT NULL,
"username" varchar(30) NOT NULL UNIQUE
)
- auth模块提供了很多API管理用户信息, 在必要的时候我们可以导入User表进行操作, 比如其它表需要与User建立关联时。
from django.contrib.auth.models import User - 新建(建立user对象)用户:
user = User.objects.create_user(username, email, password) - 需要调用save()方法新用户才会写入数据库,
user.save(),auth模块不存储用户密码明文而是存储一个Hash值, 比如迭代使用Md5算法。 - 注意,值得一提的是User继承自AbstractUser,Django允许你通过修改setting.py文件中的 AUTH_USER_MODEL 设置覆盖默认的User模型,其值引用一个自定义的模型。又因为
class AbstractUser(AbstractBaseUser, PermissionsMixin):,还可以自己定制User的权限系统,最简单的方法是继承PermissionsMixin。
#settings.py
ALLOWED_HOSTS = []
...
AUTH_USER_MODEL="user.UserProfile"
#user.models.py
from django.contrib.auth.models import AbstractUser
class UserProfile(AbstractUser):
nickname = models.CharField(max_length=125,verbose_name="昵称",default="")
birthday = models.DateField(null = True,blank=True,verbose_name="生日")
email =models.EmailField(max_length=25,default="")
class Meta:
verbose_name="用户信息"
verbose_name_plural=verbose_name
authenticate和login及logout模块
- Django 提供内置的视图(view)函数用于处理登录和退出,Django提供两个函数来执行django.contrib.auth中的动作 : authenticate()和login()。认证给出的用户名和密码,使用 authenticate() 函数。它接受两个参数,用户名 username 和 密码 password ,并在密码对给出的用户名合法的情况下返回一个 User 对象。 如果密码不合法,authenticate()返回None。
- authenticate() 只是验证一个用户的证书而已。 而要登录一个用户,使用 login() 。该函数接受一个 HttpRequest 对象和一个 User 对象作为参数并使用Django的会话( session )框架把用户的ID保存在该会话中。
user_name = request.Post.get("username", "")
pass_word = request.Post.get("password", "")
user = authenticate(username=user_name, password=pass_word)
if user is not None:
login(requsest, user)
return render(requsest, 'index.html')
else:
return render(requsest, 'login.html', context={"msg": "密码错误"})
- 注销用户,在你的视图中使用django.contrib.auth.logout() 。 它接受一个HttpRequest对象并且没有返回值,所以,因为没有返回值,需要返回一个页面。
需要注意的是:即使用户没有登录, logout() 也不会抛出任何异常。
from django.contrib import auth
def logout_view(request):
auth.logout(request)
# Redirect to a success page.
return HttpResponseRedirect("/account/loggedout/")
只允许登录的用户访问
@login_required修饰器修饰的view函数会先通过session key检查是否登录, 已登录用户可以正常的执行操作, 未登录用户将被重定向到login_url指定的位置.若未指定login_url参数, 则重定向到settings.LOGIN_URL
from django.contrib.auth.decorators import login_required
@login_required(login_url='/accounts/login/')
def my_view(request):
...
- cookie与session的区别细节
Group
- django.contrib.auth.models.Group定义了用户组的模型, 每个用户组拥有id和name两个字段, 该模型在数据库被映射为
auth_group数据表。
- User对象中有一个名为groups的多对多字段, 多对多关系由auth_user_groups数据表维护。Group对象可以通过user_set反向查询用户组中的用户。我们可以通过创建删除Group对象来添加或删除用户组。
group = Group.objects.create(name=group_name)
group.save()
group.delete()
- 我们可以通过标准的多对多字段操作管理用户与用户组的关系:
用户加入用户组user.groups.add(group)或group.user_set.add(user)
用户退出用户组user.groups.remove(group)或group.user_set.remove(user)
用户退出所有用户组user.groups.clear()
用户组中所有用户退出组group.user_set.clear()
Permission
- Django的auth系统提供了模型级的权限控制, 即可以检查用户是否对某个数据表拥有增(add), 改(change), 删(delete)权限。
注意:auth系统无法提供对象级的权限控制, 即检查用户是否对数据表中某条记录拥有增改删的权限。如果需要对象级权限控制可以使用django-guardian.例如在博客系统中有一张article数据表管理博文, auth可以检查某个用户是否拥有对所有博文的管理权限, 但无法检查用户对某一篇博文是否拥有管理权限。 - user.has_perm方法用于检查用户是否拥有操作某个模型的权限,has_perm仅是进行权限检查, 即是用户没有权限它也不会阻止程序员执行相关操作。
user.has_perm('blog.add_article')
user.has_perm('blog.change_article')
user.has_perm('blog.delete_article')
上述语句检查用户是否拥有blog这个app中article模型的添加权限, 若拥有权限则返回True。
- permission_required修饰器可以代替has_perm并在用户没有相应权限时重定向到登录页或者抛出异常。
# permission_required(perm[, login_url=None, raise_exception=False])
@permission_required('blog.add_article')
def post_article(request):
pass
- 每个模型默认拥有增(add), 改(change), 删(delete)权限。在django.contrib.auth.models.Permission模型中保存了项目中所有权限。该模型在数据库中被保存为auth_permission数据表。每条权限拥有id ,name , content_type_id, codename四个字段。
参考链接
Django权限系统auth
Django 重写用户模型