首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 Python

详解django.contirb.auth-认证

Posted in Python onJuly 16, 2018

首先看middleware的定义:

auth模块有两个middleware:AuthenticationMiddleware和SessionAuthenticationMiddleware。

AuthenticationMiddleware负责向request添加user属性

class AuthenticationMiddleware(object):
  def process_request(self, request):
    assert hasattr(request, 'session'), (
      "The Django authentication middleware requires session middleware "
      "to be installed. Edit your MIDDLEWARE_CLASSES setting to insert "
      "'django.contrib.sessions.middleware.SessionMiddleware' before "
      "'django.contrib.auth.middleware.AuthenticationMiddleware'."
    )
    request.user = SimpleLazyObject(lambda: get_user(request))

可以看见AuthenticationMiddleware首先检查是否由session属性,因为它需要session存储用户信息。

user属性的添加,被延迟到了get_user()函数里。SimpleLazyObject是一种延迟的技术。

在来看SessionAuthenticationMiddleware的定义:

它负责session验证

class SessionAuthenticationMiddleware(object):
  """
  Middleware for invalidating a user's sessions that don't correspond to the
  user's current session authentication hash (generated based on the user's
  password for AbstractUser).
  """
  def process_request(self, request):
    user = request.user
    if user and hasattr(user, 'get_session_auth_hash'):
      session_hash = request.session.get(auth.HASH_SESSION_KEY)
      session_hash_verified = session_hash and constant_time_compare(
        session_hash,
        user.get_session_auth_hash()
      )
      if not session_hash_verified:
        auth.logout(request)

通过比较user的get_session_auth_hash方法,和session里面的auth.HASH_SESSION_KEY属性,判断用户的session是否正确。

至于request里面的user对象,由有什么属性,需要看看get_user()函数的定义。

def get_user(request):
  if not hasattr(request, '_cached_user'):
    request._cached_user = auth.get_user(request)
  return request._cached_user

显然get_user方法在request增加了_cached_user属性,用来作为缓存。

因为用户认证需要查询数据库,得到用户的信息,所以减少开销是有必要的。

注意,这种缓存只针对同一个request而言的,即在一个view中多次访问request.user属性。

每次http请求都是新的request。

再接着看auth.get_user()方法的定义,深入了解request.user这个对象:

def get_user(request):
  """
  Returns the user model instance associated with the given request session.
  If no user is retrieved an instance of `AnonymousUser` is returned.
  """
  from .models import AnonymousUser
  user = None
  try:
    user_id = request.session[SESSION_KEY]
    backend_path = request.session[BACKEND_SESSION_KEY]
  except KeyError:
    pass
  else:
    if backend_path in settings.AUTHENTICATION_BACKENDS:
      backend = load_backend(backend_path)
      user = backend.get_user(user_id)
  return user or AnonymousUser()

首先它会假设客户端和服务器已经建立session机制了,这个session中的SESSION_KEY属性,就是user的id号。

这个session的BACKEND_SESSION_KEY属性,就是指定使用哪种后台技术获取用户信息。最后使用backend.get_user()获取到user。如果不满足,就返回AnonymousUser对象。

从这个获取user的过程,首先有个前提,就是客户端与服务端得先建立session机制。那么这个session机制是怎么建立的呢?

这个session建立的过程在auth.login函数里:

def login(request, user):
  """
  Persist a user id and a backend in the request. This way a user doesn't
  have to reauthenticate on every request. Note that data set during
  the anonymous session is retained when the user logs in.
  """
  session_auth_hash = ''
  if user is None:
    user = request.user
  if hasattr(user, 'get_session_auth_hash'):
    session_auth_hash = user.get_session_auth_hash()

  if SESSION_KEY in request.session:
    if request.session[SESSION_KEY] != user.pk or (
        session_auth_hash and
        request.session.get(HASH_SESSION_KEY) != session_auth_hash):
      # To avoid reusing another user's session, create a new, empty
      # session if the existing session corresponds to a different
      # authenticated user.
      request.session.flush()
  else:
    request.session.cycle_key()
  request.session[SESSION_KEY] = user.pk
  request.session[BACKEND_SESSION_KEY] = user.backend
  request.session[HASH_SESSION_KEY] = session_auth_hash
  if hasattr(request, 'user'):
    request.user = user
  rotate_token(request)

首先它会判断是否存在与用户认证相关的session,如果有就清空数据,如果没有就新建。

然后再写如session的值:SESSION_KEY, BACKEND_SESSION_KEY, HASH_SESSION_KEY。

然后讲一下登录时,使用auth通常的做法:

from django.contrib.auth import authenticate, login 
def login_view(request):
  username = request.POST['username']
  password = request.POST['password']
  user = authenticate(username=username, password=password)
  if user is not None:
    login(request, user)
    # 转到成功页面
  else:    # 返回错误信息

一般提交通过POST方式提交,然后调用authenticate方法验证,成功后使用login创建session。

继续看看authenticate的定义:

def authenticate(**credentials):
  """
  If the given credentials are valid, return a User object.
  """
  for backend in get_backends():
    try:
      inspect.getcallargs(backend.authenticate, **credentials)
    except TypeError:
      # This backend doesn't accept these credentials as arguments. Try the next one.
      continue

    try:
      user = backend.authenticate(**credentials)
    except PermissionDenied:
      # This backend says to stop in our tracks - this user should not be allowed in at all.
      return None
    if user is None:
      continue
    # Annotate the user object with the path of the backend.
    user.backend = "%s.%s" % (backend.__module__, backend.__class__.__name__)
    return user

  # The credentials supplied are invalid to all backends, fire signal
  user_login_failed.send(sender=__name__,
      credentials=_clean_credentials(credentials))

它会去轮询backends,通过调用backend的authenticate方法认证。

注意它在后面更新了user的backend属性,表明此用户是使用哪种backend认证方式。它的值会在login函数里,被存放在session的BACKEND_SESSION_KEY属性里。

通过backend的authenticate方法返回的user,是没有这个属性的。

最后说下登录以后auth的用法。上面展示了登录时auth的用法,在登录以后,就会建立session机制。所以直接获取request的user属性,就可以判断用户的信息和状态。

def my_view(request):
  if request.user.is_authenticated():
    # 认证的用户
  else:  
    # 匿名用户

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

详解django.contirb.auth-认证

- Author -

Thinking--

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

Python 相关文章推荐
python自带的http模块详解
Nov 06 Python
Python实现的将文件每一列写入列表功能示例【测试可用】
Mar 19 Python
python3+PyQt5使用数据库表视图
Apr 24 Python
Django读取Mysql数据并显示在前端的实例
May 27 Python
python爬虫正则表达式之处理换行符
Jun 08 Python
Python3随机漫步生成数据并绘制
Aug 27 Python
在PYQT5中QscrollArea(滚动条)的使用方法
Jun 14 Python
python3字符串操作总结
Jul 24 Python
Python高级编程之继承问题详解(super与mro)
Nov 19 Python
python3连接mysql获取ansible动态inventory脚本
Jan 19 Python
分布式全文检索引擎ElasticSearch原理及使用实例
Nov 14 Python
Python 详解通过Scrapy框架实现爬取CSDN全站热榜标题热词流程
Nov 11 Python
Python爬虫使用脚本登录Github并查看信息
Jul 16 #Python
django认证系统实现自定义权限管理的方法
Jul 16 #Python
Sanic框架路由用法实例分析
Jul 16 #Python
Sanic框架安装与简单入门示例
Jul 16 #Python
python 除法保留两位小数点的方法
Jul 16 #Python
Python自定义装饰器原理与用法实例分析
Jul 16 #Python
python 正确保留多位小数的实例
Jul 16 #Python
前后端分离(1) 反向代理(2) 防盗链(1) 负载均衡(6) 生成缩略图(1) 默认端口(3) shell(3) reload(1) http(6) 动静分离(1)
You might like
全国FM电台频率大全 - 8 黑龙江省
2020/03/11 无线电
PHP的FTP学习(一)[转自奥索]
2006/10/09 PHP
php 常用类汇总 推荐收藏
2010/05/13 PHP
Apache服务器无法使用的解决方法
2013/05/08 PHP
PHP和javascript常用正则表达式及用法实例
2014/07/01 PHP
php通过文件头判断格式的方法
2016/05/28 PHP
Laravel实现通过blade模板引擎渲染视图
2019/10/25 PHP
CL vs ForZe BO5 第三场 2.13
2021/03/10 DOTA
常用的几段javascript代码分享
2014/03/25 Javascript
jquery的ajax异步请求接收返回json数据实例
2014/06/16 Javascript
CSS3,HTML5和jQuery搜索框集锦
2014/12/02 Javascript
jQuery使用removeClass方法删除元素指定Class的方法
2015/03/26 Javascript
PHP结合jQuery实现的评论顶、踩功能
2015/07/22 Javascript
又一款MVVM组件 构建自己的Vue组件(2)
2017/03/13 Javascript
Node.js设置CORS跨域请求中多域名白名单的方法
2017/03/28 Javascript
关于Ajax的原理以及代码封装详解
2017/09/08 Javascript
解析Json字符串的三种方法日常常用
2018/05/02 Javascript
微信小程序实现点击卡片 翻转效果
2019/09/04 Javascript
快速解决layui弹窗按enter键不停弹窗的问题
2019/09/18 Javascript
Vue+Node服务器查询Mongo数据库及页面数据传递操作实例分析
2019/12/20 Javascript
Vue.js获取手机系统型号、版本、浏览器类型的示例代码
2020/05/10 Javascript
vue中touch和click共存的解决方式
2020/07/28 Javascript
如何手写一个简易的 Vuex
2020/10/10 Javascript
python备份文件的脚本
2008/08/11 Python
Python的一些用法分享
2012/10/07 Python
将Python的Django框架与认证系统整合的方法
2015/07/24 Python
Python cv2 图像自适应灰度直方图均衡化处理方法
2018/12/07 Python
PyTorch 1.0 正式版已经发布了
2018/12/13 Python
澳大利亚百货公司:David Jones
2018/02/08 全球购物
Richards网上商店:当代时尚,遍布巴西
2019/11/03 全球购物
Under Armour安德玛意大利官网:美国高端运动科技品牌
2020/01/16 全球购物
JYSK加拿大:购买家具、床垫、家居装饰等
2020/02/14 全球购物
哈曼俄罗斯官方网上商店:Harman.club
2020/07/24 全球购物
小型女装店的创业计划书
2014/01/09 职场文书
任命通知范文
2015/04/21 职场文书
代码解析React中setState同步和异步问题
2021/06/03 Javascript