Django4.1学习笔记2023-9-1使用 Django 的验证系统

官方地址：https://docs.djangoproject.com/zh-hans/4.1/topics/auth/default/

---------------有些内容之前已经介绍过，此页内容有部分需要结合之前所学内容------

在Django中，认证和授权是通过内置的认证系统来实现的。这个系统包括了用户管理、身份验证、会话管理等功能。开发者可以通过使用Django提供的视图和模板来处理用户的登录、注册、注销等操作。

下面是一些我在学习Django框架时学到的知识：

1. Django内置了认证系统，包括了用户管理、身份验证、会话管理等功能。开发者可以通过使用Django提供的视图和模板来处理用户的登录、注册、注销等操作。
2. Django提供了多种认证方式，包括了用户名/密码认证、电子邮件认证、手机号码认证等。开发者可以根据实际需求选择合适的认证方式。
3. Django内置了会话管理功能，可以帮助开发者管理用户会话。开发者可以使用Django提供的会话管理工具来存储和管理用户会话信息。
4. Django提供了多种权限控制机制，包括了基于角色的访问控制、基于属性的访问控制等。开发者可以根据实际需求选择合适的权限控制机制。
5. Django提供了多种视图和模板，可以帮助开发者处理用户的请求和响应。开发者可以使用Django提供的视图和模板来构建Web应用程序。

下面是一个简单的示例代码，演示了如何使用Django内置的认证系统进行用户登录：

from django.contrib.auth import authenticate, login

# 定义一个视图函数，用于处理用户登录请求
def user_login(request):
    if request.method == 'POST':
        # 获取用户提交的用户名和密码
        username = request.POST['username']
        password = request.POST['password']
        
        # 使用Django内置的认证系统进行用户认证
        user = authenticate(request, username=username, password=password)
        
        # 如果用户认证成功，则登录用户并返回响应
        if user is not None:
            login(request, user)
            return HttpResponse('登录成功！')
        else:
            return HttpResponse('用户名或密码错误！')
    else:
        # 如果请求方法不是POST，则返回一个空的表单页面
        return render(request, 'login.html')

在上面的代码中，我们首先导入了Django内置的authenticate和login函数。然后定义了一个名为user_login的视图函数，用于处理用户登录请求。在这个函数中，我们首先获取了用户提交的用户名和密码，然后使用authenticate函数进行用户认证。如果用户认证成功，则使用login函数登录用户并返回响应；否则返回一个错误提示页面。最后，我们使用render函数渲染了一个名为login.html的模板页面，用于显示登录表单。

下面是我学习Django框架时了解到的一些知识，以及一些样例代码和说明：

1. Django中的认证系统

Django内置了一个认证系统，可以用于处理用户的登录、注销、权限验证等功能。在Django中，认证是通过视图函数和模板来实现的。开发者需要定义一些视图函数，来处理用户的登录、注销、密码重置等操作，并使用模板来渲染登录表单、注销提示信息等页面。

2. Django中的用户模型

Django内置了一个用户模型（User Model），用于存储和管理用户的信息。这个模型包含了用户名、密码、电子邮件地址等字段，并且提供了一些方法，如is_authenticated、get_full_name、set_password等，可以帮助开发者进行用户验证和授权。

3. Django中的认证视图函数

Django内置了一些认证视图函数，可以用于处理用户的登录、注销、权限验证等操作。开发者只需要继承这些视图函数，并实现自己的逻辑即可。下面是一些常用的认证视图函数：

• login：用于处理用户登录请求，返回一个HttpResponse对象或重定向到指定的URL。
• logout：用于处理用户注销请求，清除用户的会话信息。
• password_change/password_change_done/password_reset/password_reset_done：用于处理用户密码修改请求，发送重置密码链接到用户的邮箱或者执行其他的密码重置操作。
• reset_password/password_reset_confirmation/password_reset_completed：用于处理用户密码重置确认请求，检查用户输入的旧密码是否正确。

4. Django中的模板标签

Django提供了一些模板标签，可以方便地在模板中使用Python代码。比如{% if %}标签可以用来判断一个条件是否成立，{% for %}标签可以用来遍历一个序列，{% url %}标签可以用来生成一个URL等等。下面是一个简单的示例代码，演示了如何在模板中使用{% if %}标签来判断用户是否已经登录：

{% if user.is_authenticated %}
    <p>欢迎回来，{{ user.username }}！</p>
{% else %}
    <p>请先登录！</p>
    <a href="{% url 'login' %}">登录</a>
{% endif %}

在上面的代码中，我们首先判断用户是否已经登录，如果已经登录则显示欢迎信息；否则显示登录链接。其中，user是一个表示当前用户的变量，可以通过request.user获取。

结合oschina开源的Django项目，编写的一个详细的登录、登出项目的代码：

1. 首先，我们需要在settings.py文件中配置认证相关的设置。这里我们使用Django内置的用户模型（User Model），并启用了认证系统和密码哈希功能。

# settings.py

INSTALLED_APPS = [
    # ...
    'django.contrib.auth',
    'django.contrib.contenttypes',
    # ...
]

AUTHENTICATION_BACKENDS = [
    'django.contrib.auth.backends.ModelBackend',
]

AUTH_USER_MODEL = 'auth.User'

PASSWORD_HASHERS = [
    'django.contrib.auth.hashers.PBKDF2PasswordHasher',
    'django.contrib.auth.hashers.PBKDF2SHA1PasswordHasher',
    'django.contrib.auth.hashers.BCryptSHA256PasswordHasher',
    'django.contrib.auth.hashers.BCryptPasswordHasher',
]

2. 然后，我们需要定义一个视图函数，用于处理用户的登录请求。在这个函数中，我们首先检查用户是否已经登录，如果已经登录则直接返回一个HttpResponse对象；否则，我们调用Django内置的认证视图函数来处理登录请求，并重定向到指定的URL。

# views.py

from django.contrib.auth import authenticate, login
from django.http import HttpResponseRedirect
from django.shortcuts import render, redirect

def login_view(request):
    if request.method == 'POST':
        username = request.POST['username']
        password = request.POST['password']
        user = authenticate(request, username=username, password=password)
        if user is not None:
            login(request, user)
            return HttpResponseRedirect('/')
        else:
            return render(request, 'login.html', {'error': '用户名或密码错误！'})
    else:
        return render(request, 'login.html')

3. 接下来，我们需要定义一个视图函数，用于处理用户的登出请求。在这个函数中，我们调用Django内置的注销视图函数来清除用户的会话信息。

# views.py

from django.contrib.auth import logout
from django.http import HttpResponseRedirect
from django.shortcuts import render, redirect

def logout_view(request):
    logout(request)
    return HttpResponseRedirect('/')

4. 最后，我们需要定义两个模板文件，分别用于显示登录表单和登出提示信息。下面是一个示例代码，演示了如何在模板中使用Django内置的模板标签来实现这些功能：

<!-- login.html -->

<!DOCTYPE html>
<html>
<head>
    <title>登录</title>
</head>
<body>
    <h1>登录</h1>
    {% if error %}
        <p>{{ error }}</p>
    {% else %}
        <form method="post" action="{% url 'login' %}">
            {% csrf_token %}
            <label for="username">用户名：</label>
            <input type="text" name="username" required><br>
            <label for="password">密码：</label>
            <input type="password" name="password" required><br>
            <button type="submit">登录</button>
        </form>
    {% endif %}
</body>
</html>

<!-- logout.html -->

<!DOCTYPE html>
<html>
<head>
    <title>登出</title>
</head>
<body>
    <h1>登出</h1>
    <a href="{% url 'logout' %}">登出</a>
</body>
</html>

以上就是一个简单的登录、登出项目的代码。当然，在实际开发中，还需要考虑到更多的细节和安全问题，比如防止SQL注入、XSS攻击等。