Django搭建博客（六）：为后台添加用户认证机制

一、auth模块

Django有一套自带的身份认证模块，可以通过 from django.contrib import auth引入。

在添加身份认证功能之前，我们先来了解一下 auth模块的工作原理。

假设我们现在有一个登录页面，在这个页面里可以输入账号和密码来进行登录。

当点击登录按钮时，会将这些信息发送到服务器端，假设我们有一个 login视图来处理登录事件。

当 login视图接收到客户端的信息时会调用 auth.authenticate来判断用户名和密码是否正确，正确则会返回一个 User对象，否则返回 None。

我们可以通过判断返回值是否为 None来判断密码是否正确，当返回值不是 None时我们进行进一步操作，否则重定向到登录页面。

但是即使密码正确也不能立即认为该账户时可用的，我们还要判断该账户是否是启用状态，简单来说就是 User对象的 is_active是否为 True，只有is_active为True的且密码正确的账号才能成功登录。

当我们判断一个账号可以登录时，调用 auth.login将该账户添加到已登录的列表里。

然后对于需要登录的页面，我们只需要在视图函数上加上auth.decorators.login_required修饰器即可

二、为博客后台添加身份认证

前面我们简单讲了一下如何使用 Django的 auth模块，现在让我们来把auth模块应用到我们的博客当中去。

首先我们先添加登录和登出的链接和视图函数：

from django.urls import re_path
from . import views


urlpatterns = [
    ... ...
    re_path(r'^accounts/login/{0,1}$', views.login, name='login'),
    re_path(r'^accounts/logout/{0,1}$', views.logout, name='logout'),
]

from django.shortcuts import render
from django.http import HttpResponseRedirect, HttpResponse
from django.contrib import auth
from django.contrib.auth.decorators import login_required
from django.urls import reverse
from .models import Post
from .forms import LoginForm, ArticleForm



def login(request):
    if request.method == 'GET':
        form = LoginForm()
        return render(
            request,
            'myblog/login.html',
            {'pagedata':
                 {'form': form},
            }
        )
    elif request.method == 'POST':
        form = LoginForm(request.POST)
        
        #判断表格内数据是否有效 有效则继续 否则重新登陆
        if form.is_valid():
            username, password = form.cleaned_data.values()
            #判断用户密码是否正确
            user = auth.authenticate(request, username=username, password=password)
            #如果用户密码正确返回管理页面 否则返回登录页面
            if user != None:
                #如果账号是激活状态 登录用户并返回管理页面
                if user.is_active:
                    auth.login(request, user)
                    return HttpResponseRedirect(reverse('article_list'))
            else:
                return render(
                    request,
                    'myblog/login.html',
                    {'pagedata':
                         {'form': form},
                    }
                )
        else:
            return render(
                request,
                'myblog/login.html',
                {'pagedata':
                     {'form': form},
                }
            )

#登出
def logout(request):
    auth.logout(request)
    return HttpResponseRedirect(reverse('index'))

整体的思路就是：

1. 先判断请求的方式
   1. 如果为 get请求，返回登录页面；
   2. 如果为 post请求
      1. 则验证账号和密码的有效性，
         1. 若账号和密码不匹配则返回登录页面重新登录
         2. 若账号和密码正确，在验证账号是否处于激活状态
            1. 是则将当前请求添加到已登陆列表中，然后返回后台管理页面
            2. 否则返回登录页面重新登录。

登出函数就十分简单了，直接将当前请求从已登陆列表中移除即可

细心的朋友可能注意到了，我们在代码里使用了 LoginForm、ArticleForm和 reverse。

其实这些都是用来提高我们代码的可维护性的，下一篇我们会用这些来简化我们的代码。

看完之后觉得还不错？... ... 你懂我意思吧.jpg