编程 Python

详解django.contirb.auth-认证

Posted in Python onJuly 16, 2018

首先看middleware的定义：

auth模块有两个middleware：AuthenticationMiddleware和SessionAuthenticationMiddleware。

AuthenticationMiddleware负责向request添加user属性

class AuthenticationMiddleware(object):
  def process_request(self, request):
    assert hasattr(request, 'session'), (
      "The Django authentication middleware requires session middleware "
      "to be installed. Edit your MIDDLEWARE_CLASSES setting to insert "
      "'django.contrib.sessions.middleware.SessionMiddleware' before "
      "'django.contrib.auth.middleware.AuthenticationMiddleware'."
    )
    request.user = SimpleLazyObject(lambda: get_user(request))

可以看见AuthenticationMiddleware首先检查是否由session属性，因为它需要session存储用户信息。

user属性的添加，被延迟到了get_user()函数里。SimpleLazyObject是一种延迟的技术。

在来看SessionAuthenticationMiddleware的定义：

它负责session验证

class SessionAuthenticationMiddleware(object):
  """
  Middleware for invalidating a user's sessions that don't correspond to the
  user's current session authentication hash (generated based on the user's
  password for AbstractUser).
  """
  def process_request(self, request):
    user = request.user
    if user and hasattr(user, 'get_session_auth_hash'):
      session_hash = request.session.get(auth.HASH_SESSION_KEY)
      session_hash_verified = session_hash and constant_time_compare(
        session_hash,
        user.get_session_auth_hash()
      )
      if not session_hash_verified:
        auth.logout(request)

通过比较user的get_session_auth_hash方法，和session里面的auth.HASH_SESSION_KEY属性，判断用户的session是否正确。

至于request里面的user对象，由有什么属性，需要看看get_user()函数的定义。

def get_user(request):
  if not hasattr(request, '_cached_user'):
    request._cached_user = auth.get_user(request)
  return request._cached_user

显然get_user方法在request增加了_cached_user属性，用来作为缓存。

因为用户认证需要查询数据库，得到用户的信息，所以减少开销是有必要的。

注意，这种缓存只针对同一个request而言的，即在一个view中多次访问request.user属性。

每次http请求都是新的request。

再接着看auth.get_user()方法的定义，深入了解request.user这个对象：

def get_user(request):
  """
  Returns the user model instance associated with the given request session.
  If no user is retrieved an instance of `AnonymousUser` is returned.
  """
  from .models import AnonymousUser
  user = None
  try:
    user_id = request.session[SESSION_KEY]
    backend_path = request.session[BACKEND_SESSION_KEY]
  except KeyError:
    pass
  else:
    if backend_path in settings.AUTHENTICATION_BACKENDS:
      backend = load_backend(backend_path)
      user = backend.get_user(user_id)
  return user or AnonymousUser()

首先它会假设客户端和服务器已经建立session机制了，这个session中的SESSION_KEY属性，就是user的id号。

这个session的BACKEND_SESSION_KEY属性，就是指定使用哪种后台技术获取用户信息。最后使用backend.get_user()获取到user。如果不满足，就返回AnonymousUser对象。

从这个获取user的过程，首先有个前提，就是客户端与服务端得先建立session机制。那么这个session机制是怎么建立的呢？

这个session建立的过程在auth.login函数里：

def login(request, user):
  """
  Persist a user id and a backend in the request. This way a user doesn't
  have to reauthenticate on every request. Note that data set during
  the anonymous session is retained when the user logs in.
  """
  session_auth_hash = ''
  if user is None:
    user = request.user
  if hasattr(user, 'get_session_auth_hash'):
    session_auth_hash = user.get_session_auth_hash()

  if SESSION_KEY in request.session:
    if request.session[SESSION_KEY] != user.pk or (
        session_auth_hash and
        request.session.get(HASH_SESSION_KEY) != session_auth_hash):
      # To avoid reusing another user's session, create a new, empty
      # session if the existing session corresponds to a different
      # authenticated user.
      request.session.flush()
  else:
    request.session.cycle_key()
  request.session[SESSION_KEY] = user.pk
  request.session[BACKEND_SESSION_KEY] = user.backend
  request.session[HASH_SESSION_KEY] = session_auth_hash
  if hasattr(request, 'user'):
    request.user = user
  rotate_token(request)

首先它会判断是否存在与用户认证相关的session，如果有就清空数据，如果没有就新建。

然后再写如session的值：SESSION_KEY， BACKEND_SESSION_KEY， HASH_SESSION_KEY。

然后讲一下登录时，使用auth通常的做法：

from django.contrib.auth import authenticate, login 
def login_view(request):
  username = request.POST['username']
  password = request.POST['password']
  user = authenticate(username=username, password=password)
  if user is not None:
    login(request, user)
    # 转到成功页面
  else:    # 返回错误信息

一般提交通过POST方式提交，然后调用authenticate方法验证，成功后使用login创建session。

继续看看authenticate的定义：

def authenticate(**credentials):
  """
  If the given credentials are valid, return a User object.
  """
  for backend in get_backends():
    try:
      inspect.getcallargs(backend.authenticate, **credentials)
    except TypeError:
      # This backend doesn't accept these credentials as arguments. Try the next one.
      continue

    try:
      user = backend.authenticate(**credentials)
    except PermissionDenied:
      # This backend says to stop in our tracks - this user should not be allowed in at all.
      return None
    if user is None:
      continue
    # Annotate the user object with the path of the backend.
    user.backend = "%s.%s" % (backend.__module__, backend.__class__.__name__)
    return user

  # The credentials supplied are invalid to all backends, fire signal
  user_login_failed.send(sender=__name__,
      credentials=_clean_credentials(credentials))

它会去轮询backends，通过调用backend的authenticate方法认证。

注意它在后面更新了user的backend属性，表明此用户是使用哪种backend认证方式。它的值会在login函数里，被存放在session的BACKEND_SESSION_KEY属性里。

通过backend的authenticate方法返回的user，是没有这个属性的。

最后说下登录以后auth的用法。上面展示了登录时auth的用法，在登录以后，就会建立session机制。所以直接获取request的user属性，就可以判断用户的信息和状态。

def my_view(request):
  if request.user.is_authenticated():
    # 认证的用户
  else:  
    # 匿名用户

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持三水点靠木。

详解django.contirb.auth-认证

- Author -

Thinking--

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

Python 相关文章推荐

解析Python中的变量、引用、拷贝和作用域的问题

Apr 07 Python

Python中利用xpath解析HTML的方法

May 14 Python

Python生成MD5值的两种方法实例分析

Apr 26 Python

python-pyinstaller、打包后获取路径的实例

Jun 10 Python

使用python爬取微博数据打造一颗“心”

Jun 28 Python

python celery分布式任务队列的使用详解

Jul 08 Python

Python多叉树的构造及取出节点数据(treelib)的方法

Aug 09 Python

Python3 pickle对象串行化代码实例解析

Mar 23 Python

python上传时包含boundary时的解决方法

Apr 08 Python

利用Python如何实时检测自身内存占用

May 09 Python

详解Python IO编程

Jul 24 Python

python缺失值的解决方法总结

Jun 09 Python

Python爬虫使用脚本登录Github并查看信息

Jul 16 #Python

django认证系统实现自定义权限管理的方法

Jul 16 #Python

Sanic框架路由用法实例分析

Jul 16 #Python

Sanic框架安装与简单入门示例

Jul 16 #Python

python 除法保留两位小数点的方法

Jul 16 #Python

Python自定义装饰器原理与用法实例分析

Jul 16 #Python

python 正确保留多位小数的实例

Jul 16 #Python

You might like

PHP的开合式多级菜单程序

2006/10/09 PHP

php转换颜色为其反色的方法

2015/04/27 PHP

Laravel 实现密码重置功能

2018/02/23 PHP

了解jQuery技巧来提高你的代码

2010/01/08 Javascript

分享精心挑选的23款美轮美奂的jQuery 图片特效插件

2012/08/14 Javascript

JS实现时间格式化的方式汇总

2013/10/16 Javascript

javascript实现了照片拖拽点击置顶的照片墙代码

2015/04/03 Javascript

JQuery中DOM事件合成用法实例分析

2015/06/13 Javascript

jquery简单实现幻灯片的方法

2015/08/03 Javascript

无需 Flash 使用 jQuery 复制文字到剪贴板

2016/04/26 Javascript

AngularJS 过滤器的简单实例

2016/07/27 Javascript

jQuery EasyUI API 中文帮助文档和扩展实例

2016/08/01 Javascript

BootstrapValidator不触发校验的实现代码

2016/09/28 Javascript

js仿微博动态栏功能

2017/02/22 Javascript

vue中使用ueditor富文本编辑器

2018/02/08 Javascript

vue+axios+element ui 实现全局loading加载示例

2018/09/11 Javascript

一步快速解决微信小程序中textarea层级太高遮挡其他组件

2019/03/04 Javascript

[40:04]Secret vs Infamous 2019国际邀请赛淘汰赛败者组 BO3 第二场 8.23

2019/09/05 DOTA

Python实现数通设备端口使用情况监控实例

2015/07/15 Python

Python3实现Web网页图片下载

2016/01/28 Python

Python简单连接MongoDB数据库的方法

2016/03/15 Python

Python文本相似性计算之编辑距离详解

2016/11/28 Python

python中列表和元组的区别

2017/12/18 Python

Python装饰器原理与用法分析

2018/04/30 Python

python并发爬虫实用工具tomorrow实用解析

2019/09/25 Python

python isinstance函数用法详解

2020/02/13 Python

域名注册、建站工具、网页主机、SSL证书：Dynadot

2017/01/06 全球购物

洲际酒店集团英国官网：IHG英国

2019/07/10 全球购物

Zooplus罗马尼亚：宠物食品和配件

2019/11/02 全球购物

DOUGLAS波兰：在线销售香水和化妆品

2020/07/05 全球购物

大学生个人简历自荐信

2015/03/06 职场文书

2015年英语教师工作总结

2015/05/20 职场文书

2016年寒假家长评语

2015/10/10 职场文书

Winsows11性能如何? win11性能测评多核竟比Win10差了10%

2021/11/21 数码科技

Java 使用类型为Object的变量指向任意类型的对象

2022/04/13 Java/Android

Python sklearn分类决策树方法详解

2022/09/23 Python