编程 Python

详解django.contirb.auth-认证

Posted in Python onJuly 16, 2018

首先看middleware的定义：

auth模块有两个middleware：AuthenticationMiddleware和SessionAuthenticationMiddleware。

AuthenticationMiddleware负责向request添加user属性

class AuthenticationMiddleware(object):
  def process_request(self, request):
    assert hasattr(request, 'session'), (
      "The Django authentication middleware requires session middleware "
      "to be installed. Edit your MIDDLEWARE_CLASSES setting to insert "
      "'django.contrib.sessions.middleware.SessionMiddleware' before "
      "'django.contrib.auth.middleware.AuthenticationMiddleware'."
    )
    request.user = SimpleLazyObject(lambda: get_user(request))

可以看见AuthenticationMiddleware首先检查是否由session属性，因为它需要session存储用户信息。

user属性的添加，被延迟到了get_user()函数里。SimpleLazyObject是一种延迟的技术。

在来看SessionAuthenticationMiddleware的定义：

它负责session验证

class SessionAuthenticationMiddleware(object):
  """
  Middleware for invalidating a user's sessions that don't correspond to the
  user's current session authentication hash (generated based on the user's
  password for AbstractUser).
  """
  def process_request(self, request):
    user = request.user
    if user and hasattr(user, 'get_session_auth_hash'):
      session_hash = request.session.get(auth.HASH_SESSION_KEY)
      session_hash_verified = session_hash and constant_time_compare(
        session_hash,
        user.get_session_auth_hash()
      )
      if not session_hash_verified:
        auth.logout(request)

通过比较user的get_session_auth_hash方法，和session里面的auth.HASH_SESSION_KEY属性，判断用户的session是否正确。

至于request里面的user对象，由有什么属性，需要看看get_user()函数的定义。

def get_user(request):
  if not hasattr(request, '_cached_user'):
    request._cached_user = auth.get_user(request)
  return request._cached_user

显然get_user方法在request增加了_cached_user属性，用来作为缓存。

因为用户认证需要查询数据库，得到用户的信息，所以减少开销是有必要的。

注意，这种缓存只针对同一个request而言的，即在一个view中多次访问request.user属性。

每次http请求都是新的request。

再接着看auth.get_user()方法的定义，深入了解request.user这个对象：

def get_user(request):
  """
  Returns the user model instance associated with the given request session.
  If no user is retrieved an instance of `AnonymousUser` is returned.
  """
  from .models import AnonymousUser
  user = None
  try:
    user_id = request.session[SESSION_KEY]
    backend_path = request.session[BACKEND_SESSION_KEY]
  except KeyError:
    pass
  else:
    if backend_path in settings.AUTHENTICATION_BACKENDS:
      backend = load_backend(backend_path)
      user = backend.get_user(user_id)
  return user or AnonymousUser()

首先它会假设客户端和服务器已经建立session机制了，这个session中的SESSION_KEY属性，就是user的id号。

这个session的BACKEND_SESSION_KEY属性，就是指定使用哪种后台技术获取用户信息。最后使用backend.get_user()获取到user。如果不满足，就返回AnonymousUser对象。

从这个获取user的过程，首先有个前提，就是客户端与服务端得先建立session机制。那么这个session机制是怎么建立的呢？

这个session建立的过程在auth.login函数里：

def login(request, user):
  """
  Persist a user id and a backend in the request. This way a user doesn't
  have to reauthenticate on every request. Note that data set during
  the anonymous session is retained when the user logs in.
  """
  session_auth_hash = ''
  if user is None:
    user = request.user
  if hasattr(user, 'get_session_auth_hash'):
    session_auth_hash = user.get_session_auth_hash()

  if SESSION_KEY in request.session:
    if request.session[SESSION_KEY] != user.pk or (
        session_auth_hash and
        request.session.get(HASH_SESSION_KEY) != session_auth_hash):
      # To avoid reusing another user's session, create a new, empty
      # session if the existing session corresponds to a different
      # authenticated user.
      request.session.flush()
  else:
    request.session.cycle_key()
  request.session[SESSION_KEY] = user.pk
  request.session[BACKEND_SESSION_KEY] = user.backend
  request.session[HASH_SESSION_KEY] = session_auth_hash
  if hasattr(request, 'user'):
    request.user = user
  rotate_token(request)

首先它会判断是否存在与用户认证相关的session，如果有就清空数据，如果没有就新建。

然后再写如session的值：SESSION_KEY， BACKEND_SESSION_KEY， HASH_SESSION_KEY。

然后讲一下登录时，使用auth通常的做法：

from django.contrib.auth import authenticate, login 
def login_view(request):
  username = request.POST['username']
  password = request.POST['password']
  user = authenticate(username=username, password=password)
  if user is not None:
    login(request, user)
    # 转到成功页面
  else:    # 返回错误信息

一般提交通过POST方式提交，然后调用authenticate方法验证，成功后使用login创建session。

继续看看authenticate的定义：

def authenticate(**credentials):
  """
  If the given credentials are valid, return a User object.
  """
  for backend in get_backends():
    try:
      inspect.getcallargs(backend.authenticate, **credentials)
    except TypeError:
      # This backend doesn't accept these credentials as arguments. Try the next one.
      continue

    try:
      user = backend.authenticate(**credentials)
    except PermissionDenied:
      # This backend says to stop in our tracks - this user should not be allowed in at all.
      return None
    if user is None:
      continue
    # Annotate the user object with the path of the backend.
    user.backend = "%s.%s" % (backend.__module__, backend.__class__.__name__)
    return user

  # The credentials supplied are invalid to all backends, fire signal
  user_login_failed.send(sender=__name__,
      credentials=_clean_credentials(credentials))

它会去轮询backends，通过调用backend的authenticate方法认证。

注意它在后面更新了user的backend属性，表明此用户是使用哪种backend认证方式。它的值会在login函数里，被存放在session的BACKEND_SESSION_KEY属性里。

通过backend的authenticate方法返回的user，是没有这个属性的。

最后说下登录以后auth的用法。上面展示了登录时auth的用法，在登录以后，就会建立session机制。所以直接获取request的user属性，就可以判断用户的信息和状态。

def my_view(request):
  if request.user.is_authenticated():
    # 认证的用户
  else:  
    # 匿名用户

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持三水点靠木。

详解django.contirb.auth-认证

- Author -

Thinking--

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

Python 相关文章推荐

Python实现Linux下守护进程的编写方法

Aug 22 Python

详解Python中映射类型（字典）操作符的概念和使用

Aug 19 Python

Python语言的面相对象编程方式初步学习

Mar 12 Python

python使用opencv读取图片的实例

Aug 17 Python

python scatter散点图用循环分类法加图例

Mar 19 Python

selenium+PhantomJS爬取豆瓣读书

Aug 26 Python

scikit-learn线性回归，多元回归，多项式回归的实现

Aug 29 Python

Pyqt5 关于流式布局和滚动条的综合使用示例代码

Mar 24 Python

python获取天气接口给指定微信好友发天气预报

Dec 28 Python

MATLAB 如何求取离散点的曲率最大值

Apr 16 Python

Python中的程序流程控制语句

Feb 24 Python

实例详解Python的进程,线程和协程

Mar 13 Python

Python爬虫使用脚本登录Github并查看信息

Jul 16 #Python

django认证系统实现自定义权限管理的方法

Jul 16 #Python

Sanic框架路由用法实例分析

Jul 16 #Python

Sanic框架安装与简单入门示例

Jul 16 #Python

python 除法保留两位小数点的方法

Jul 16 #Python

Python自定义装饰器原理与用法实例分析

Jul 16 #Python

python 正确保留多位小数的实例

Jul 16 #Python

You might like

php简单的会话类代码

2011/08/08 PHP

20个非常棒的Jquery实用工具国外文章

2010/01/01 Javascript

JQuery中的$.getJSON 使用说明

2011/03/10 Javascript

读jQuery之五（取DOM元素）

2011/06/20 Javascript

js键盘上下左右键怎么触发function(实例讲解)

2013/12/14 Javascript

javascript对JSON数据排序的3个例子

2014/04/12 Javascript

Javascript基础教程之JavaScript语法

2015/01/18 Javascript

JS中产生标识符方式的演变

2015/06/12 Javascript

jquery实现的V字形显示效果代码

2015/10/27 Javascript

JSONObject使用方法详解

2015/12/17 Javascript

Ionic实现页面下拉刷新(ion-refresher）功能代码

2016/06/03 Javascript

原生js实现可拖拽效果

2017/02/28 Javascript

Vue.js 事件修饰符的使用教程

2018/11/01 Javascript

JS实现电话号码的字母组合算法示例

2019/02/26 Javascript

微信小程序实现同一页面取值的方法分析

2019/04/30 Javascript

js实现点击图片在屏幕中间弹出放大效果

2019/09/11 Javascript

layuiAdmin循环遍历展示商品图片列表的方法

2019/09/16 Javascript

浅谈javascript事件环微任务和宏任务队列原理

2020/09/12 Javascript

js+for循环实现字符串自动转义的代码(把后面的字符替换前面的字符)

2020/12/24 Javascript

[56:41]iG vs Winstrike 2018国际邀请赛小组赛BO2 第二场

2018/08/17 DOTA

python用插值法绘制平滑曲线

2021/02/19 Python

python引用(import)某个模块提示没找到对应模块的解决方法

2019/01/19 Python

Python控制Firefox方法总结

2019/06/03 Python

python获取array中指定元素的示例

2019/11/26 Python

python实现PCA降维的示例详解

2020/02/24 Python

Python如何重新加载模块

2020/07/29 Python

详解pyqt5的UI中嵌入matplotlib图形并实时刷新(挖坑和填坑)

2020/08/07 Python

python如何实现DES加密

2020/09/21 Python

利用CSS3 动画绘画圆形动态时钟

2018/03/20 HTML / CSS

高档奢华时装在线目的地：FORWARD by elyse walker

2017/10/16 全球购物

采购主管工作职责

2013/12/12 职场文书

索桥的故事教学反思

2014/02/06 职场文书

财务总监岗位职责

2014/03/07 职场文书

有创意的广告词

2014/03/18 职场文书

2016年大学生暑期社会实践方案

2015/11/26 职场文书

redis客户端实现高可用读写分离的方式详解

2021/07/04 Redis