本章着重总结Django的用户与认证
一. cookies
http(s)本身是无状态的,当前请求和下次请求之前无任何状态保持,为了存储状态,首先应运而生的是cookies。在Django中,每个request都包含了一个COOKIES对象,可以像字典一样使用它。
虽然cookies能解决了状态保持问题,但是引出了其他问题:
a. 浏览器不保证会存储,是否接受cookies在浏览器端用户可以控制;
b. cookies在浏览器中是可清除的,不可存储重要信息,否则可能发生不可恢复的问题;
c. http是明文传输,因此中间人容易拦截获取cookies并使用,不安全,容易被篡改;
二. session
为了解决cookies所带来的问题,session(会话)已然成为了web开发青睐的手段。在Django中,自带session框架解决了这个需求,存取每个用户的任意数据,该数据可存储在服务器端或者以文件等方式存储。
在Django中,sessions 功能是通过一个中间件(middleware)和一个模型(model)来实现的,为了使用session功能,需要确认以下(默认情况是打开):
a. 确认MIDDLEWARE(中间件) django.contrib.sessions.middleware.SessionMiddleware被添加在MIDDLEWARE
b. 确认 session app(系统) django.contrib.sessions被添加在INSTALLED_APPS
激活后,每个httpRequest都有一个session属性,是一个字典对象,每个session对象都是由一个随机的32位哈希串来标识
由于session是依赖cookies来设计的,session的有效期等需要进行一些设置,比如关闭浏览器失效还是有效期一个星期失效等,常用的如下:
1. SESSION_ENGINE 设置引擎,决定session保存在哪里,默认数据库
2. SESSION_COOKIE_NAME Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串
3. SESSION_COOKIE_PATH 保存的路径
4. SESSION_COOKIE_DOMAIN 保存的域名
5. SESSION_COOKIE_SECURE 是否https传输cookie
6. SESSION_COOKIE_AGE cookie的有效期
7. SESSION_EXPIRE_AT_BROWSER_CLOSE 是否关闭浏览器就失效
8. SESSION_SAVE_EVERY_REQUEST 是否每次请求都保存Session,默认修改之后才保存
三. 用户、认证与授权
auth模块(app)是Django提供的标准认证与授权系统,主要做2件事:
a. 认证用户,主要比对系统中是否存在该用户
b. 检查权限,主要确定用户是否有某些操作,即被授权某些操作
默认情况,应用到的中间件django.contrib.auth.middleware.AuthenticationMiddleware 和app 系统django.contrib.auth是打开的。User模型是auth模块中维护的用户信息关系模型。主要字段用户名、密码、邮箱等,可在auth/models.py中查看具体,继承关系如下
User----继承----> AbstractUser---->AbstractBaseUser和PermissionsMixin
其中AbstractBaseUser定义了对象字段和操作数据表的API,PermissionsMixin定义了权限相关内容
本次建系统的过程中,用户内置的User不够满足需求,采用了扩展AbstractUser的方式,怎么创建适合的User模型得看需求,这篇文章已经说得很清楚,可参考:http://www.cnblogs.com/yxi-liu/p/8684504.html
用户的认证
authenticate(),通过用户名称和密码进行用户的认证
login(request, user),该函数接受一个 HttpRequest 对象和一个 User 对象作为参数并使用Django的会话( session )框架把用户的ID保存在该会话中
logout(),实际就是清除了session中的user信息,它接受一个HttpRequest对象并且没有返回值,所以,因为没有返回值,需要返回一个页面。
from django.contrib.auth import login,logout,authenticate
user=authenticate(username=userName, password=password)
if user is not None and user.is_active:
login(request, user)#认证通过后,调用login方法,主要是设置session
说完了用户的问题,接下来说说权限与组
使用auth 原生或扩展的User,执行完migrate和makemigrations,即python3 manage.py migrate auth``python3 manage.py makemigrations auth后,会在数据库中生成3个表
auth_group:组,包括id和name
auth_group_permission: 组权限,包括id、group_id、permission_id
auth_permission: 权限信息,包括name、content_type_id和codename字段,codename主要是使用权限方法传入的参数,content_type_id与模型相关
permission总是与model对应的,如果一个object不是model的实例,我们无法为它创建
在创建model时,可通过元类的方式自定义权限
class Meta:
permissions =
(
("view_server", "can view server"),//(codename,name)
("change_server_status", "Can change the status of server"),
)
或者通过脚本的方式设置权限
#假设model为blog,app为blogs
from django.contrib.contenttypes.models import ContentType
from django.contrib.auth.models import Permission
content_type=ContentType.objects.get_for_model(blog)
permissions=Permission.objects.create(codename="can_edit_blog",name="edit blog ",content_type=content_type)
#以上权限可通过user_permissions或permission属性的Groups分配给一个User对象
user.user_permissions.add(permissions)
group=Group.objects.get(name='only_view_person')
user.groups.add(group)
#以上只是举例为用户添加权限,其他方法有clear()、set()、remove()
验证权限
user.has_perm('blogs.can_edit_blog')#或者使用装饰器@permission_required("blogs.can_edit_blog")装饰函数
#页面验证权限
{%if perms.blogs.can_edit_blog%}
网友评论