Django中的@login_required和@permission_irequired用法简介
@login_required
在django项目中,经常会看到下面这样的代码:
[python] view plaincopyprint?
from
django.contrib.auth.decorators
import
login_required
@login_required
def
my_view(request):
...
查看文本打印
from django.contrib.auth.decorators import login_required
@login_required
def my_view(request):
...
里面有一个@login_required标签。其作用就是告诉程序,使用这个方法是要求用户登录的。
1.如果用户还没有登录,默认会跳转到‘/accounts/login/’。这个值可以在settings文件中通过LOGIN_URL参数来设定。(后面还会自动加上你请求的url作为登录后跳转的地址,如:/accounts/login/?next=/polls/3/ 登录完成之后,会去请求/poll/3)
2.如果用户登录了,那么该方法就可以正常执行
如果LOGIN_URL使用默认值,那么在urls.py中还需要进行如下设置:(加入下面这句)
(r'^accounts/login/$', 'django.contrib.auth.views.login'),
这样的话,如果未登录,程序会默认跳转到“templates\registration\login.html”这个模板。
如果想换个路径,那就再加个template_name参数,如下:
查看文本打印
(r'^accounts/login/$', 'django.contrib.auth.views.login', {'template_name': 'myapp/login.html'}),
这样程序就会跳转到templates\myapp\login.html”
除了login这个有用的方法之外,auth模块还提供很多有用的方法,比如:
logout(request[, next_page, template_name, redirect_field_name])
password_change(request[, template_name, post_change_redirect, password_change_form])
password_change_done(request[, template_name])
password_reset(request[, is_admin_site, template_name, email_template_name, password_reset_form,token_generator, post_reset_redirect, from_email])
password_reset_done(request[, template_name])
用法示例:
(r'^change_passwd/$', 'django.contrib.auth.views.password_change',{
'template_name': 'change_passwd.html',
'post_change_redirect': '/',
}),
(r'^reset_passwd/$', 'django.contrib.auth.views.password_reset',{
'template_name': 'reset_passwd.html',
'email_template_name': 'reset_passwd_email.html',
'post_reset_redirect': '/reset_done/',
'from_email': '[email protected]',
}),
(r'^reset_confirm/(?P[0-9A-Za-z]{1,13})-(?P[0-9A-Za-z]{1,13}-[0-9A-Za-z]{1,20})/$',\
'django.contrib.auth.views.password_reset_confirm',{
'template_name': 'reset_confirm.html',
'post_reset_redirect': '/signin/',
}
),
(r'^reset_done/$', 'django.views.generic.simple.direct_to_template',{'template': 'message.html', 'extra_context': {
'msg': _(u'我们已将一封包含恢复密码步骤的邮件发到了您的邮箱,请查收'),
}}),
参考:
Django认证模块(auth) https://docs.djangoproject.com/en/1.3/topics/auth/
Django设置参数(setting)
https://docs.djangoproject.com/en/1.3/ref/settings/#std:setting-LOGIN_URL
@permission_required
我们已经实现了登录和注销功能,但是它还没有起作用。因为匿名用户还是可以通过直接输入url:http://localhost:8000/depotapp/product/list/ 访问到产品管理界面。这就好像你在门上加了把锁,却没有把窗户关上一样。所以我们还需要进行访问控制。
我们这里实现最简单的控制,非登录用户禁止访问产品管理界面。在Django里面,只需要在相应的视图函数前面增加@login_required修饰符即可:
查看文本打印
from django.contrib.auth.decorators import login_required
... ...
@login_required
def list_product(request):
list_items = Product.objects.all()
... ...
login_required实现了如下功能:
如果用户没有登录, 重定向到/accounts/login/,并且把当前绝对URL作为next参数用get方法传递过去;
如果用户已经登录, 正常地执行视图函数。
这样我们例子中需要的功能就实现了。但是这充其量是“登录限制”,而更常见的需求是“访问控制”,即区分已经登录的用户,对不同的视图有不同的访问权限。因为我们的例子中没有涉及到,所以只把相关的做法简单例举在下面。
1.访问控制功能通过Django的 request.user.has_perm() 来实现,该函数返回True或False,表示该用户是否有权限。而权限是auth 应用中定义的Permission类型;User与Permission是many-to-many的关系。
2. Django还提供了一个@permission_required修饰符,来限定view函数只有在User具有相应权限的情况下才能被访问。
3. Django对于每个模型类,自动增加add、change、delete三种权限,以便于权限控制。当然你也可以设定自己的权限