Django-认证系统
知识预览
- COOKIE 与 SESSION
- 用户认证
COOKIE 与 SESSION
概念
cookie不属于http协议范围,由于http协议无法保持状态,但实际情况,我们却又需要“保持状态”,因此cookie就是在这样一个场景下诞生。
cookie的工作原理是:由服务器产生内容,浏览器收到请求后保存在本地;当浏览器再次访问时,浏览器会自动带上cookie,这样服务器就能通过cookie的内容来判断这个是“谁”了。
cookie虽然在一定程度上解决了“保持状态”的需求,但是由于cookie本身最大支持4096字节,以及cookie本身保存在客户端,可能被拦截或窃取,因此就需要有一种新的东西,它能支持更多的字节,并且他保存在服务器,有较高的安全性。这就是session。
问题来了,基于http协议的无状态特征,服务器根本就不知道访问者是“谁”。那么上述的cookie就起到桥接的作用。
我们可以给每个客户端的cookie分配一个唯一的id,这样用户在访问时,通过cookie,服务器就知道来的人是“谁”。然后我们再根据不同的cookie的id,在服务器上保存一段时间的私密资料,如“账号密码”等等。
总结而言:cookie弥补了http无状态的不足,让服务器知道来的人是“谁”;但是cookie以文本的形式保存在本地,自身安全性较差;所以我们就通过cookie识别不同的用户,对应的在session里保存私密的信息以及超过4096字节的文本。
另外,上述所说的cookie和session其实是共通性的东西,不限于语言和框架
登陆应用
前几节的介绍中我们已经有能力制作一个登陆页面,在验证了用户名和密码的正确性后跳转到后台的页面。但是测试后也发现,如果绕过登陆页面。直接输入后台的url地址也可以直接访问的。这个显然是不合理的。其实我们缺失的就是cookie和session配合的验证。有了这个验证过程,我们就可以实现和其他网站一样必须登录才能进入后台页面了。
先说一下这种认证的机制。每当我们使用一款浏览器访问一个登陆页面的时候,一旦我们通过了认证。服务器端就会发送一组随机唯一的字符串(假设是123abc)到浏览器端,这个被存储在浏览端的东西就叫cookie。而服务器端也会自己存储一下用户当前的状态,比如login=true,username=hahaha之类的用户信息。但是这种存储是以字典形式存储的,字典的唯一key就是刚才发给用户的唯一的cookie值。那么如果在服务器端查看session信息的话,理论上就会看到如下样子的字典
{'123abc':{'login':true,'username:hahaha'}}
因为每个cookie都是唯一的,所以我们在电脑上换个浏览器再登陆同一个网站也需要再次验证。那么为什么说我们只是理论上看到这样子的字典呢?因为处于安全性的考虑,其实对于上面那个大字典不光key值123abc是被加密的,value值{'login':true,'username:hahaha'}在服务器端也是一样被加密的。所以我们服务器上就算打开session信息看到的也是类似与以下样子的东西
{'123abc':dasdasdasd1231231da1231231}
知道了原理,下面就来用代码实现。
Django实现的COOKIE
1、获取Cookie
1
2
3
4
5
6
|
request.COOKIES[ 'key' ]
request.get_signed_cookie(key, default = RAISE_ERROR, salt = '', max_age = None )
#参数:
default: 默认值
salt: 加密盐
max_age: 后台控制过期时间
|
2、设置Cookie
1
2
3
4
|
rep = HttpResponse(...) 或 rep = render(request, ...) 或 rep = redirect()
rep.set_cookie(key,value,...)
rep.set_signed_cookie(key,value,salt = '加密盐' ,...)
|
参数:
'''def set_cookie(self, key, 键value='', 值max_age=None, 超长时间expires=None, 超长时间path='/', Cookie生效的路径,浏览器只会把cookie回传给带有该路径的页面,这样可以避免将cookie传给站点中的其他的应用。/ 表示根路径,特殊的:根路径的cookie可以被任何url的页面访问domain=None, Cookie生效的域名你可用这个参数来构造一个跨站cookie。如, domain=".example.com"所构造的cookie对下面这些站点都是可读的:www.example.com 、 www2.example.com 和an.other.sub.domain.example.com 。如果该参数设置为 None ,cookie只能由设置它的站点读取。secure=False, 如果设置为 True ,浏览器将通过HTTPS来回传cookie。httponly=False 只能http协议传输,无法被JavaScript获取(不是绝对,底层抓包可以获取到也可以被覆盖)): pass'''
由于cookie保存在客户端的电脑上,所以,JavaScript和jquery也可以操作cookie。
1
2
3
|
<script src = '/static/js/jquery.cookie.js' >
< / script> $.cookie( "key" , value,{ path: '/' });
|
3 删除cookie
1
|
response.delete_cookie( "cookie_key" ,path = "/" ,domain = name)
|
cookie存储到客户端
优点:
数据存在在客户端,减轻服务器端的压力,提高网站的性能。
缺点:
安全性不高:在客户端机很容易被查看或破解用户会话信息
Django实现的SESSION
1、 基本操作
1
2
3
4
5
6
7
8
|
1 、设置Sessions值
request.session[ 'session_name' ] = "admin"
2 、获取Sessions值
session_name = request.session[ "session_name" ]
3 、删除Sessions值
del request.session[ "session_name" ]
4 、检测是否操作session值
if "session_name" is request.session :
|
2、 流程解析图
3、 示例
views:
template:
4、session存储的相关配置
(1)数据库配置(默认):
(2)缓存配置
(3)文件配置
用户认证
auth模块
1
|
from django.contrib import auth
|
django.contrib.auth中提供了许多方法,这里主要介绍其中的三个:
1 、authenticate()
提供了用户认证,即验证用户名以及密码是否正确,一般需要username password两个关键字参数
如果认证信息有效,会返回一个 User 对象。authenticate()会在User 对象上设置一个属性标识那种认证后端认证了该用户,且该信息在后面的登录过程中是需要的。当我们试图登陆一个从数据库中直接取出来不经过authenticate()的User对象会报错的!!
1
|
user = authenticate(username = 'someone' ,password = 'somepassword' )
|
2 、login(HttpRequest, user)
该函数接受一个HttpRequest对象,以及一个认证了的User对象
此函数使用django的session框架给某个已认证的用户附加上session id等信息。
1
2
3
4
5
6
7
8
9
10
11
12
13
|
from django.contrib.auth import authenticate, login
def my_view(request):
username = request.POST[ 'username' ]
password = request.POST[ 'password' ]
user = authenticate(username = username, password = password)
if user is not None :
login(request, user)
# Redirect to a success page.
...
else :
# Return an 'invalid login' error message.
...
|
3 、logout(request) 注销用户
1
2
3
4
5
|
from django.contrib.auth import logout
def logout_view(request):
logout(request)
# Redirect to a success page.
|
该函数接受一个HttpRequest对象,无返回值。当调用该函数时,当前请求的session信息会全部清除。该用户即使没有登录,使用该函数也不会报错。
4 、user对象的 is_authenticated()
要求:
1 用户登陆后才能访问某些页面,
2 如果用户没有登录就访问该页面的话直接跳到登录页面
3 用户在跳转的登陆界面中完成登陆后,自动访问跳转到之前访问的地址
方法1:
1
2
3
|
def my_view(request):
if not request.user.is_authenticated():
return redirect( '%s?next=%s' % (settings.LOGIN_URL, request.path))
|
方法2:
django已经为我们设计好了一个用于此种情况的装饰器:login_requierd()
1
2
3
4
5
|
from django.contrib.auth.decorators import login_required
@login_required
def my_view(request):
...
|
若用户没有登录,则会跳转到django默认的 登录URL '/accounts/login/ ' (这个值可以在settings文件中通过LOGIN_URL进行修改)。并传递 当前访问url的绝对路径 (登陆成功后,会重定向到该路径)。
User对象
User 对象属性:username, password(必填项)password用哈希算法保存到数据库
is_staff : 用户是否拥有网站的管理权限.
is_active : 是否允许用户登录, 设置为``False``,可以不用删除用户来禁止 用户登录
2.1 、is_authenticated()
如果是真正的 User 对象,返回值恒为 True 。 用于检查用户是否已经通过了认证。
通过认证并不意味着用户拥有任何权限,甚至也不检查该用户是否处于激活状态,这只是表明用户成功的通过了认证。 这个方法很重要, 在后台用request.user.is_authenticated()判断用户是否已经登录,如果true则可以向前台展示request.user.name
2.2 、创建用户
使用 create_user 辅助函数创建用户:
1
2
|
from django.contrib.auth.models import User
user = User.objects.create_user(username = ' ',password=' ',email=' ')
|
2.3 、check_password(passwd)
1
|
用户需要修改密码的时候 首先要让他输入原来的密码 ,如果给定的字符串通过了密码检查,返回 True
|
2.4 、修改密码
使用 set_password() 来修改密码
1
2
3
|
user = User.objects.get(username = '')
user.set_password(password = '')
user.save
|
2.5 、简单示例
注册:
修改密码:
转载于:https://www.cnblogs.com/wangmo/p/8422697.html
Django-认证系统相关推荐
- django 1.8 官方文档翻译:使用Django认证系统
使用Django认证系统 这篇文档解释默认配置下Django认证系统的使用.这些配置已经逐步可以满足大部分常见项目对的需要,可以处理范围非常广泛的任务,且具有一套细致的密码和权限实现.对于需要与默认配 ...
- django认证系统实现自定义权限管理的方法 - python
文章来源:嗨学网 敏而好学论坛www.piaodoo.com 欢迎大家相互学习 本文记录使用django自带的认证系统实现自定义的权限管理系统,包含组权限.用户权限等实现. 0x01. django认 ...
- django 1.8 官方文档翻译:13-1-2 使用Django认证系统
使用Django认证系统 这篇文档解释默认配置下Django认证系统的使用.这些配置已经逐步可以满足大部分常见项目对的需要,可以处理范围非常广泛的任务,且具有一套细致的密码和权限实现.对于需要与默认配 ...
- Django——认证系统(Day72)
阅读目录 COOKIE 与 SESSION 用户认证 COOKIE 与 SESSION 概念 cookie不属于http协议范围,由于http协议无法保持状态,但实际情况,我们却又需要"保持 ...
- Django默认用户认证系统和用户模型类
Django默认用户认证系统和用户模型类 1.Django默认用户认证系统 Django自带用户认证系统 Django认证系统位置 Django认证系统同时处理认证和授权 Django认证系统包含的内 ...
- django(权限、认证)系统—— 基于Authentication backends定制
django(权限.认证)系统-- 基于Authentication backends定制 在这篇文章中,我们进行最后关于DjangoPermission系统的探讨,来谈谈关于Permission系统 ...
- Django(part48)--用户认证系统
学习笔记,仅供参考 文章目录 用户认证系统 User模型类 auth基本模型操作 创建用户 删除用户 修改密码 检查密码是否正确 用户认证系统 Django自带一个用户认证系统,它处理用户账号.组.权 ...
- 【Django】认证系统
目录 #. auth模块 1. 认证 authenticate() 2. 登陆 login(HttpRequest, user) 3. 注销 logout(request) 4. 认证判断 is_au ...
- django用户认证系统——登录4
用户已经能够在我们的网站注册了,注册就是为了登录,接下来我们为用户提供登录功能.和注册不同的是,Django 已经为我们写好了登录功能的全部代码,我们不必像之前处理注册流程那样费劲了.只需几分钟的简单 ...
- Django 【认证系统】auth
本篇内容 介绍Django框架提供的auth 认证系统 方法: 方法名 备注 create_user 创建用户 authenticate 登录验证 login 记录登录状态 logout 退出用户登录 ...
最新文章
- 六步使用ICallbackEventHandler实现无刷新回调
- 只知道TF和PyTorch还不够,快来看看怎么从PyTorch转向自动微分神器JAX
- java 追加写入hdfs_java操作之HDFS-创建-删除目录-读写文件-追加写文件
- Spring Security OAuth2 Demo -- good
- LaTeX提问技巧——MWE
- 冒泡排序(数组)的一种实现
- [Miller-Rabin Pollard-rho]【学习笔记】
- 爬虫实战学习笔记_7 【实战】模拟下载页面视频(模板)
- Linux删除乱码文件
- APP天气预报界面设计灵感
- pythonplot画多图间隔,matplotlib实现一页多图
- “打工皇帝”唐骏的成功4+1理论
- 卸载阿里云服务器的mysql_阿里云服务器购买,双11领阿里云服务器优惠券!
- codeforce #165 div2
- 44特征02——相似对角化与方幂、代数重数与几何重数、可对角化的概念、相似对角化的条件、矩阵方幂的计算
- java.lang.ClassCastException: $Proxy8 cannot be cast to org.hihernate.lob.SerialzableClob
- c# picturebox 刷新_EmguCV控件Emgu.CV.UI.ImageBox及C# picturebox显示图片连续刷新出现闪烁问题...
- JAVA线程的生命周期
- 南财计算机专业学科评估,江苏软件工程专业大学排名:江苏哪些大学软件工程比较好?...
- 强化学习笔记一 N-armed bandit Problem
热门文章
- future java 多线程_Java多线程之Future与FutureTask
- dev的编辑器不支持getchar吗_“两头婚兴起”:你支持不娶不嫁,孩子随父姓也随母姓吗?...
- 电脑装机完没有efi_电脑装机如何选内存?看完这篇就全懂了
- python 死循环程序能占满cpu吗_运行tensorflow python程序,限制对GPU和CPU的占用操作...
- python 元类 type_Python 使用元类type创建类对象常见应用详解
- 光模块的正确安装方法和使用须知
- 【渝粤教育】电大中专药事管理与法规作业 题库
- 【渝粤教育】广东开放大学 财务管理 形成性考核 (58)
- 【渝粤教育】广东开放大学 地基与基础 形成性考核 (27)
- 2021年春季学期期末统一考试 国际公法 试题