此文是總結Django官方網站裏面的Document的文章 User authentication in Django
http://www.djangoproject.com/documentation/authentication/
該模塊由
用戶(Users)
權限(Permissions)
組(Groups)
消息(Messages)
這些從字面上也都很好的理解,但是我對消息(Messages)還不是很理解…………
1、安裝
1)將'django.contrib.auth'添加到Setting.py的INSTALLED_APPS 中
2)安裝數據庫 manage.py syncdb.
其實用戶權限模塊是Django自己已經寫好的app,所以他也具有自身的Models,所以需要同步數據庫。
2、User
1)屬性
其中他包含User類,他具有以下字段
username,first_name,last_name,email,password,is_staff(是否具有進入網站管理權限),
is_active,is_superuser,last_login,date_joined.
這是Django自帶的User的基本的信息,如果你要使用該權限模塊,就必須要使用他的User類,
但是通常情況下,我們的用戶信息還會有其他的屬性,這時我們可以再增加一類來擴展,該類和User的關係是OneToOne。
如:
#這是china-django中的代碼
class Profile(models.Model): user = models.OneToOneField(User) blog = models.CharField(maxlength=128, blank=True) location = models.CharField(maxlength=128, blank=True) occupation = models.CharField(maxlength=64, blank=True) reward = models.IntegerField(default=0, blank=True) topic_count = models.IntegerField(default=0, blank=True) post_count = models.IntegerField(default=0, blank=True) class Admin: list_display = ('user', 'blog', 'location', 'occupation', 'reward', 'topic_count', 'post_count')
2)方法
這裏列舉幾個主要的方法
is_anonymous():是否爲匿名用戶,如果你已經login,則這個方法返回始終爲false.
is_authenticated():是否通過驗證,也就是通過用戶名和密碼判斷該用戶是否存在.
get_group_permissions():得到所有該用戶所屬組別的權限.
get_all_permissions():得到該用戶所有的權限.
has_perm(perm):判斷用戶是否具有特定權限,perm的格式是appname.codename.
email_user(subject, message, from_email=None):給某用戶發送郵件
3) AnonymousUser
AnonymousUser是繼承自User接口,但是和User有不同處:
id屬性爲None
is_anonymous() 返回始終爲True
is_authenticated() 返回始終爲False
has_perm() 返回始終爲False
set_password(), check_password(), save(), delete(), set_groups()和set_permissions() 都會觸發 NotImplementedError錯誤
3、User的驗證
1)登陸(Login)
from django.contrib.auth import authenticate, logindef my_view(request): username = request.POST['username'] password = request.POST['password'] user = authenticate(username=username, password=password) if user is not None: login(request, user) # Redirect to a success page. else: # Return an error message.
首先我們要驗證這個用戶,然後再登陸,登陸成功後,我們可以通過request.user 來得到當前登陸的用戶對象。
2)註銷(Logout)
from django.contrib.auth import logoutdef logout_view(request): logout(request) # Redirect to a success page.
3)限制非法用戶訪問
最普通的方法是通過request.user.is_authenticated()來判斷
from django.http import HttpResponseRedirectdef my_view(request): if not request.user.is_authenticated(): return HttpResponseRedirect('/login/?next=%s' % request.path) # 
另外有一快捷的方法login_required
from django.contrib.auth.decorators import login_required@login_requireddef my_view(request): #
這樣當你訪問my_view的時候,就需要用戶需要通過驗證.若不通過則跳轉到
/accounts/login/?next=/polls/3/
並將當前訪問的頁面作爲他的一個參數,並且傳遞三個Context變量
form 一個FormWrapper 對象用來重構登陸表單
next 就是你訪問的當前頁面
site_name 當前站點名稱,在Setting.py中設置SITE_ID的值
另外,我們還需要在你的urls裏面配置/accounts/login路徑
下面有兩種兩種,不同的是使用不同的模版,第一種默認使用registration/login.html 模版,第二種方式是我們自定義模版
(r'^accounts/login/$', 'django.contrib.auth.views.login'),(r'^accounts/login/$', 'django.contrib.auth.views.login', {'template_name': 'myapp/login.html'}),
一個login.html模版的實例:
{% extends "base.html" %}{% block content %}{% if form.has_errors %}<p>Your username and password didn't match. Please try again.</p>{% endif %}<form method="post" action="."><table><tr><td><label for="id_username">Username:</label></td><td>{{ form.username }}</td></tr><tr><td><label for="id_password">Password:</label></td><td>{{ form.password }}</td></tr></table><input type="submit" value="login" /><input type="hidden" name="next" value="{{ next }}" /></form>{% endblock %}
4)用戶是否有權限訪問
當我們創建了一個帶有class Admin:內類的類後,會自動add, create 和 delete三種權限,不過我們也可以自己定義權限。
如下:
class USCitizen(models.Model): # class Meta: permissions = ( ("can_drive", "Can drive"), ("can_vote", "Can vote in elections"), ("can_drink", "Can drink alcohol"), )
這樣我們爲USCitizen類定義了三種自定義的權限,其中第一項是codename,第二項是discription。
當我們定義好權限後,我們可以通過user.has_perm來判斷是否具有權限
def my_view(request): if not (request.user.is_authenticated() and request.user.has_perm('polls.can_vote')): return HttpResponse("You can't vote in this poll.")
has_perm的參數應該是appname(packname) + . + codename
還有一種更簡便的方式,如下:
@user_passes_test(lambda u: u.has_perm('polls.can_vote'))
這樣如果該用戶沒有權限,則自動跳轉到/accounts/login/,也可以自定義跳轉
@user_passes_test(lambda u: u.has_perm('polls.can_vote'), login_url='/login/')
4、template中的用戶驗證
Users
{% if user.is_authenticated %} <p>Welcome, {{ user.username }}. Thanks for logging in.</p> {% else %} <p>Welcome, new user. Please log in.</p>{% endif %}
Permissions
{{ perms.foo }},一個已經登陸的用戶對foo的app只要有任何的權限,{{ perms.foo }}就會等於True,反之爲False
{{ perms.foo.can_vote }}, 這個很清楚了...
實例如下:
{% if perms.foo %} <p>You have permission to do something in the foo app.</p> {% if perms.foo.can_vote %} <p>You can vote!</p> {% endif %} {% if perms.foo.can_drive %} <p>You can drive!</p> {% endif %}{% else %} <p>You don't have permission to do anything in the foo app.</p>{% endif %}
5、authentication backends
Django中隊用戶的驗證都是通過自身的模塊,也可以使用其他的模塊。
默認的AUTHENTICATION_BACKENDS 是
('django.contrib.auth.backends.ModelBackend',)
我們可以自己寫一個不同的用戶驗證方式,但必須具有get_user 和authenticate方法
如:
from django.conf import settingsfrom django.contrib.auth.models import User, check_passwordclass SettingsBackend: """ Authenticate against the settings ADMIN_LOGIN and ADMIN_PASSWORD. Use the login name, and a hash of the password. For example: ADMIN_LOGIN = 'admin' ADMIN_PASSWORD = 'sha1$4e987$afbcf42e21bd417fb71db8c66b321e9fc33051de' """ def authenticate(self, username=None, password=None): login_valid = (settings.ADMIN_LOGIN == username) pwd_valid = check_password(password, settings.ADMIN_PASSWORD) if login_valid and pwd_valid: try: user = User.objects.get(username=username) except User.DoesNotExist: # Create a new user. Note that we can set password # to anything, because it won't be checked; the password # from settings.py will. user = User(username=username, password='get from settings.py') user.is_staff = True user.is_superuser = True user.save() return user return None def get_user(self, user_id): try: return User.objects.get(pk=user_id) except User.DoesNotExist: return None
這個時候我們需要修改Setting
AUTHENTICATION_BACKENDS = (
'sputnik.backends.ldapBackend.LDAPBackend',
)
這裏還有一片關於Authentication Backends的文章
LDAP Authentication in Django with Backends
全文結束,談不上總結,因爲缺少我的體會和心得,也談不上翻譯,因爲my englishi is Poor.
See You!!!