Django:用户认证组件 & 中间件

Posted neozheng

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Django:用户认证组件 & 中间件相关的知识,希望对你有一定的参考价值。

用户认证组件

用户认证组件:
  功能:用session记录登陆验证状态
  前提:用户表:django自带的auth_user
  创建超级用户的命令: python manage.py createsuperuser

  API:

    (1)from django.contrib import auth (auth模块的方法)

      1. # 做验证:如果 验证成功 返回 user 对象(就是 auth_user 这张表中的一条记录对象),否则返回None
      user = auth.authenticate(username=username,password=psw)
      2. # 利用 session 信息注册一个用户登陆对象(在 django_session表中添加记录,并生成一个全局变量 request.user这个对象)
      auth.login(request,user)
      3. # 注销
      auth.logout(request)
    (2)from django.contrib.auth.models import User (User对象的方法;User等同于 auth_user这张表)
      4. request.user.is_authenticated # 是否通过验证 # request.user 就是 auth_user表中的一条记录(一个对象)
      5. 添加用户(注册功能)
      User.objects.create_user(username="",password="",...)
      User.objects.create_superuser(username="",password="",...)
    补充:
      匿名用户对象:见下面

    重点: request.user 这个全局变量(可在任何视图和模板中直接使用;这也是auth认证组件最大的优点:可利用 request.user 获取当前登陆人的所有信息)
       如果没有执行 auth.login(request,user),那么 request.user == AnonymousUser()
       如果执行了 auth.login(request,user),request.user == 当前用户对象

 

目录结构:

技术分享图片

urls.py

from django.contrib import admin
from django.urls import path

from app01 import views

urlpatterns = [
    path(admin/, admin.site.urls),
    path(rlogin/,views.login),
    path(rindex/,views.index),

    # 注销功能
    path(rlogout/,views.logout),
    # 注册功能
    path(rreg/,views.reg),
    # 认证装饰器
    path(r"order/",views.order)
]

views.py

from django.shortcuts import render,HttpResponse,redirect

# Create your views here.

from django.contrib import auth
# 引入 auth_user表
from django.contrib.auth.models import User

def login(request):

    if request.method == "POST":
        # 用 auth 模块注册 session
        username = request.POST.get("username")
        psw = request.POST.get("psw")

        # 如果 验证成功 返回 user 对象(就是 auth_user 这张表中的一条记录对象),否则返回None
        user = auth.authenticate(username=username,password=psw)  # 利用 auth.authenticate()这个接口去 auth_user 表中进行验证;返回一条记录对象
        if user:
            auth.login(request,user)  # 利用 auth.login(request,user) 这个接口去注册 session (把 user这个对象添加到了 django_session这个表的 session_data 中);这行代码执行的操作是: request.user = user;即 request 中添加了一个属性 user,其值为 user这个对象,以后在全局中都能通过 request.user 获取到 user 对象; request.user是个全局变量,不管是在视图函数中还是模板中都能直接调用
            # 如果没有进行 auth.login(),那就会以 匿名用户(AnonymousUser)的身份进行登陆
            # 通过 auth 进行session注册的好处:逻辑更严谨;例如,当 用户登陆信息更新时, django_session表中 不但 session_data 会更新,而且session_key也会更新为一个新的随机字符串
            return redirect("/index/")


            # 如果所有需要 is_authenticated为True的函数都加了 login_required() 装饰器,则需要用下面的方法动态的去获取 验证成功要跳转的页面
            # next_url = request.GET.get("next","/index/") # 认证成功后要跳转的页面;# 虽然此时为POST请求,但其 请求体中仍有 ?next="xxx"(表示验证成功后跳转的页面),所以仍可用 request.GET的方式获取该请求体
            # return redirect(next_url)


    return render(request,"login.html")

def index(request):
    print(request.user)
    print("request.user.username",request.user.username)  # request.user.username 获取 request.user 这个对象(记录)的username对应的值

    print("is_anonymous",request.user.is_anonymous)   # request.user.is_anonymous:判断是否为匿名用户

    # if request.user.is_anonymous: # 以匿名用户的身份登陆
    # 也可以用下面的方法去判断: is_authenticated
    if not request.user.is_authenticated:
        return redirect("/login/")


    return render(request,"index.html")

def logout(request):

    # 注销接口:auth.logout(request)
    auth.logout(request)  # 作用等同于: request.session.flush();# 会把 django_session 表中 相应的记录删除

    return redirect("/login/")

def reg(request):

    if request.method == "POST":
        username = request.POST.get("username")
        psw = request.POST.get("psw")

        # 注册功能
        # User.objects.create(username=username,password=psw)  # 不要用 User 去create();因为这个create 出来的记录是明文的 密码
        user = User.objects.create_user(username=username,password=psw)  # 应该用 create_user() 或者 create_superuser(); 这两种方法能将 password 变成 密文;返回值是插入的这条记录对象
        return redirect("/login/")

    return render(request,"reg.html")

# 要实现的效果:is_authenticated 为True时才能。为了不在每次视图函数中都自己写 认证代码的逻辑(避免重复),可利用 装饰器: login_required()
# 利用装饰器 login_required() 时,需要在 settings.py 中设置 LOGIN_URL="/login/" (is_authenticated为False时所要跳转的 路径);而且在 login() 这个视图函数中需要动态的去 获取 登陆认证完之后所要跳转的路径(见login())

from django.contrib.auth.decorators import login_required
@login_required   # 登陆认证装饰器
def order(request):

    # 由于有 login_required() 这个装饰器,其内部不需要再写认证的逻辑;该装饰器实现的效果如下:
    # if not request.user.is_authenticated:
    #     return redirect("/login/")

    return render(request,"order.html")

login.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

<h3>登陆</h3>
<form action="" method="post">
    {% csrf_token %}
    用户名 <input type="text" name="username">
    密码 <input type="password" name="psw">
    <input type="submit">
</form>

</body>
</html>

index.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

<h3>hello {{ request.user }}</h3>
<a href="/logout/">注销</a>

</body>
</html>

reg.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

<h3>注册</h3>
<form action="" method="post">
    {% csrf_token %}
    用户名 <input type="text" name="username">
    密码 <input type="password" name="psw">
    <input type="submit">
</form>

</body>
</html>

order.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h3>order</h3>
</body>
</html>

User对象其它的方法:

1. check_password(passwd)
        用户需要修改密码的时候 首先要让他输入原来的密码 ,如果给定的字符串通过了密码检查,返回 True

2.  修改密码:
        user = User.objects.get(username=‘‘)
        user.set_password(password=‘‘)
        user.save  

AnonymousUser相关属性:

匿名用户
    class models.AnonymousUser

    django.contrib.auth.models.AnonymousUser 类实现了django.contrib.auth.models.User 接口,但具有下面几个不同点:

    id 永远为None。
    username 永远为空字符串。
    get_username() 永远返回空字符串。
    is_staff 和 is_superuser 永远为False。
    is_active 永远为 False。
    groups 和 user_permissions 永远为空。
    is_anonymous() 返回True 而不是False。
    is_authenticated() 返回False 而不是True。
    set_password()、check_password()、save() 和delete() 引发 NotImplementedError。
    New in Django 1.8:
    新增 AnonymousUser.get_username() 以更好地模拟 django.contrib.auth.models.User。

 

中间件

中间件顾名思义,是介于request与response处理之间的一道处理过程,相对比较轻量级,并且在全局上改变django的输入与输出。因为改变的是全局,所以需要谨慎实用,用不好会影响到性能。

如果你想修改请求,例如被传送到view中的HttpRequest对象。 或者你想修改view返回的HttpResponse对象,这些都可以通过中间件来实现。

可能你还想在view执行之前做一些操作,这种情况就可以用 middleware来实现。

Django默认的Middleware

MIDDLEWARE = [
    django.middleware.security.SecurityMiddleware,
    django.contrib.sessions.middleware.SessionMiddleware,
    django.middleware.common.CommonMiddleware,
    django.middleware.csrf.CsrfViewMiddleware,
    django.contrib.auth.middleware.AuthenticationMiddleware,
    django.contrib.messages.middleware.MessageMiddleware,
    django.middleware.clickjacking.XFrameOptionsMiddleware,
]

自定义中间件:

中间件中一共有四个方法:

process_request

process_view

process_exception

process_response

 

process_request,process_response:(这两个用的最多;通常情况下 process_reqeust 没有返回值,但 process_response必须有返回值,返回值是视图函数返回的响应体 response)

当用户发起请求的时候会依次经过所有的的中间件,这个时候的请求是process_request,最后到达views的函数中,views函数处理后,在依次穿过中间件,这个时候是process_response,最后返回给请求者。

技术分享图片

上述截图中的中间件都是django中的,我们也可以自己定义一个中间件,我们可以自己写一个类,但是必须继承MiddlewareMixin

需要导入

from django.utils.deprecation import MiddlewareMixin

技术分享图片

in views:

def index(request):

    print("view函数...")
    return HttpResponse("OK")

in Mymiddlewares.py:

from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import HttpResponse

class Md1(MiddlewareMixin):

    def process_request(self,request):
        print("Md1请求")
 
    def process_response(self,request,response):
        print("Md1返回")
        return response

class Md2(MiddlewareMixin):

    def process_request(self,request):
        print("Md2请求")
        #return HttpResponse("Md2中断")
    def process_response(self,request,response):
        print("Md2返回")
        return response

结果:

# Md1请求
# Md2请求
# view函数...
# Md2返回
# Md1返回

注意:如果当请求到达请求2的时候直接不符合条件返回,即return HttpResponse("Md2中断"),程序将把请求直接发给中间件2返回,然后依次返回到请求者,结果如下:

返回Md2中断的页面,后台打印如下:

# Md1请求
# Md2请求
# Md2返回
# Md1返回

流程图如下:

技术分享图片

process_view:

process_view(self, request, callback, callback_args, callback_kwargs)
# callback表示对应的视图函数(如:views.index),callback_args, callback_kwargs 表示视图函数的参数

Mymiddlewares.py修改如下:

from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import HttpResponse

class Md1(MiddlewareMixin):

    def process_request(self,request):
        print("Md1请求")
        #return HttpResponse("Md1中断")
    def process_response(self,request,response):
        print("Md1返回")
        return response

    def process_view(self, request, callback, callback_args, callback_kwargs):
        print("Md1view")

class Md2(MiddlewareMixin):

    def process_request(self,request):
        print("Md2请求")
        return HttpResponse("Md2中断")
    def process_response(self,request,response):
        print("Md2返回")
        return response

    def process_view(self, request, callback, callback_args, callback_kwargs):
        print("Md2view")

结果如下:

# Md1请求
# Md2请求
# Md1view
# Md2view
# view函数...
# Md2返回
# Md1返回

下图进行分析上面的过程:

技术分享图片

当最后一个中间的process_request到达路由关系映射之后,返回到中间件1的process_view,然后依次往下,到达views函数,最后通过process_response依次返回到达用户。

process_view可以用来调用视图函数:

class Md1(MiddlewareMixin):

    def process_request(self,request):
        print("Md1请求")
        #return HttpResponse("Md1中断")
    def process_response(self,request,response):
        print("Md1返回")
        return response

    def process_view(self, request, callback, callback_args, callback_kwargs):

        # return HttpResponse("hello")

        response=callback(request,*callback_args,**callback_kwargs)
        return response

结果如下:

# Md1请求
# Md2请求
# view函数...
# Md2返回
# Md1返回

注意:process_view如果有返回值,会越过其他的process_view以及视图函数,但是所有的process_response都还会执行。

 

process_exception:

process_exception(self, request, exception)
# exception 表示错误信息

示例修改如下:

class Md1(MiddlewareMixin):

    def process_request(self,request):
        print("Md1请求")
        #return HttpResponse("Md1中断")
    def process_response(self,request,response):
        print("Md1返回")
        return response

    def process_view(self, request, callback, callback_args, callback_kwargs):

        # return HttpResponse("hello")

        # response=callback(request,*callback_args,**callback_kwargs)
        # return response
        print("md1 process_view...")

    def process_exception(self):
        print("md1 process_exception...")



class Md2(MiddlewareMixin):

    def process_request(self,request):
        print("Md2请求")
        # return HttpResponse("Md2中断")
    def process_response(self,request,response):
        print("Md2返回")
        return response
    def process_view(self, request, callback, callback_args, callback_kwargs):
        print("md2 process_view...")

    def process_exception(self):
        print("md1 process_exception...")

结果如下:

# Md1请求
# Md2请求
# md1 process_view...
# md2 process_view...
# view函数...
# 
# Md2返回
# Md1返回

流程图如下:

当views(视图函数)出现错误时才会执行 process_exception:

技术分享图片

将md2的process_exception修改如下:

 def process_exception(self,request,exception):

        print("md2 process_exception...")
        return HttpResponse("error")

结果如下:

# Md1请求
# Md2请求
# md1 process_view...
# md2 process_view...
# view函数...
# md2 process_exception...
# Md2返回
# Md1返回

注:自定义的中间件要添加到 settings.py的  MIDDLEWARE 列表中





















以上是关于Django:用户认证组件 & 中间件的主要内容,如果未能解决你的问题,请参考以下文章

Django之路

rest framework认证组件和django自带csrf组件区别详解

Django - 学习目录

Django之用户认证Auth组件

Django 框架

Django 用户认证(Auth)组件