Django 5实用指南(九)认证与权限控制

最新推荐文章于 2025-05-10 15:11:58 发布
最新推荐文章于 2025-05-10 15:11:58 发布
阅读量1.6w 收藏 12
点赞数 21
CC 4.0 BY-SA版权
文章标签: python django 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42998312/article/details/145687537

在任何Web应用程序中,用户认证和权限控制都是至关重要的部分。Django 提供了一个内置的用户认证系统,帮助开发者方便地实现用户的注册、登录、权限管理等功能。同时,Django 还提供了强大的权限控制功能,可以细粒度地控制用户对资源的访问权限。本章将详细讲解如何在 Django5 中实现用户认证、权限控制和管理。

9.1 用户认证系统

Django 提供了一个完善的认证系统,可以处理用户的注册、登录、登出、密码管理等常见功能。Django 自带的 django.contrib.auth 应用提供了用户认证所需的大部分功能。

9.1.1 创建用户模型

Django 默认的用户模型已经非常强大,能够处理大多数的认证需求。首先,我们来看一下如何使用 Django 默认的用户模型。

# views.py
from django.contrib.auth.models import User
from django.shortcuts import render
from django.http import HttpResponse

def create_user(request):
    # 创建用户
    user = User.objects.create_user(username="testuser", password="password123")

    return HttpResponse("User created successfully!")

create_user:这是 Django 提供的一个方法,用于创建一个新的用户,并确保密码被正确加密。

9.1.2 用户登录与登出

Django 提供了 authenticate 和 login 等函数,帮助实现用户登录功能。使用 logout 函数来登出用户。

# views.py
from django.contrib.auth import authenticate, login, logout
from django.shortcuts import render, redirect
from django.contrib.auth.models import User

def user_login(request):
    if request.method == "POST":

        username = request.POST["username"]

        password = request.POST["password"]

        user = authenticate(request, username=username, password=password)

        if user is not None:

            login(request, user)

            return redirect("home")  # 登录成功后跳转到主页

        else:

            return HttpResponse("Invalid credentials")

    return render(request, "login.html")

def user_logout(request):
    logout(request)

    return redirect("home")
  • authenticate:此函数验证用户名和密码,并返回一个有效的 User 对象。
  • login:此函数将用户登录到当前会话中。
  • logout:登出用户并清除会话信息。
9.1.3 密码管理

Django 提供了密码加密功能,在用户注册和修改密码时,Django 会自动加密密码。

# views.pyfrom django.contrib.auth.hashers import make_random_password, make_password
from django.contrib.auth.models import User

def change_password(request):
    user = User.objects.get(username="testuser")

    new_password = make_password("newpassword123")  # 密码加密

    user.password = new_password

    user.save()

    return HttpResponse("Password updated successfully!")

make_password:用于加密密码,确保密码安全。

9.2 用户权限与组

Django 提供了内置的权限系统,可以轻松地为用户分配权限和组,进而控制用户的访问权限。用户权限分为两种:模型权限和自定义权限。

9.2.1 使用模型权限

Django 默认会为每个模型提供三个基本的权限:添加、修改、删除。可以通过 User 或 Group 来赋予这些权限。

# models.pyfrom django.db import models

class Book(models.Model):
    title = models.CharField(max_length=200)

    author = models.CharField(max_length=100)

    class Meta:
        permissions = [
            ("can_view_book", "Can view book details"),

            ("can_edit_book", "Can edit book details")
        ]

permissions:在 Meta 内部定义自定义权限。

9.2.2 创建和分配权限

Django 提供了一个权限管理系统,可以通过 Permission 模型来创建和分配权限。

# admin.pyfrom django.contrib import admin
from .models import Book
from django.contrib.auth.models import Permission

@admin.register(Book)
class BookAdmin(admin.ModelAdmin):
    list_display = ('title', 'author')

    def get_permissions(self, request):
        permissions = super().get_permissions(request)

        permissions.append('can_view_book')  # 赋予用户查看书籍的权限

        return permissions

Permission:Permission 模型允许你为用户或组分配权限。

9.2.3 用户组与权限管理

可以通过用户组来方便地分配权限,而不必单独为每个用户配置权限。用户组可以是“管理员”、“编辑”等角色,每个角色可以拥有不同的权限。

# views.py
from django.contrib.auth.models import Group, User

def create_group_and_assign_permissions(request):
    group, created = Group.objects.get_or_create(name="Editors")

    if created:
        group.permissions.add(Permission.objects.get(codename="can_edit_book"))

    user = User.objects.get(username="testuser")

    user.groups.add(group)

    return HttpResponse("Group created and permissions assigned.")
  • Group:为用户创建一个组,并将该组与特定权限绑定。
  • permissions.add:为组分配权限。

9.3 权限控制

Django 提供了多种方式来控制视图的访问权限,例如通过装饰器、权限类等。

9.3.1 使用 @login_required 装饰器

使用 @login_required 装饰器来限制用户必须登录才能访问某个视图。

from django.contrib.auth.decorators import login_required

@login_required
def my_view(request):

    return HttpResponse("This is a protected view.")

@login_required:只有经过身份验证的用户才能访问该视图。

9.3.2 使用 @permission_required 装饰器

使用 @permission_required 装饰器来限制用户必须拥有某个权限才能访问视图。

from django.contrib.auth.decorators import permission_required

@permission_required('myapp.can_edit_book')
def edit_book(request):

    return HttpResponse("You have the permission to edit books.")

@permission_required:确保用户拥有指定的权限后才能访问该视图。

9.3.3 使用 UserPassesTestMixin

UserPassesTestMixin 可以根据自定义的逻辑来限制视图的访问权限。

from django.contrib.auth.mixins import UserPassesTestMixin
from django.views.generic import View

class BookDetailView(UserPassesTestMixin, View):
    def test_func(self):

        return self.request.user.has_perm('myapp.can_view_book')

    def get(self, request):

        return HttpResponse("You can view this book.")

test_func:该方法用来定义访问权限的检查逻辑,只有返回 True 的用户才能访问视图。

9.4 用户密码重置

Django 提供了内置的密码重置功能,用户可以通过电子邮件重置密码。该功能由 Django 提供的 PasswordResetView 和相关的 URL 配置完成。

9.4.1 配置密码重置

首先,需要在 urls.py 文件中添加密码重置相关的 URL 配置:

from django.contrib.auth import views as auth_views

urlpatterns = [
    # 密码重置
    path('password_reset/', auth_views.PasswordResetView.as_view(), name='password_reset'),

    path('password_reset/done/', auth_views.PasswordResetDoneView.as_view(), name='password_reset_done'),

    path('reset/<uidb64>/<token>/', auth_views.PasswordResetConfirmView.as_view(), name='password_reset_confirm'),

    path('reset/done/', auth_views.PasswordResetCompleteView.as_view(), name='password_reset_complete'),

]
  • PasswordResetView:提供了一个表单,允许用户输入他们的电子邮件地址来重置密码。
9.4.2 自定义密码重置模板

Django 允许开发者自定义密码重置的模板,以便与应用的其他页面风格一致。

<!-- password_reset_form.html -->
<form method="post">

    {% csrf_token %}

    {{ form.as_p }}

    <button type="submit">Reset Password</button>
</form>

小结

本章介绍了 Django5 中用户认证和权限控制的实现方法,包括如何处理用户注册、登录、登出,如何为用户分配权限、使用组进行权限管理,以及如何保护视图和使用密码重置功能。通过灵活使用 Django5 提供的认证与权限控制系统,可以确保 Web 应用的安全性和用户操作的可控性。

网络风云
关注
Django 权限认证(根据不同的用户,设置不同的显示和访问权限)
09-18
主要介绍了Django 权限认证(根据不同的用户,设置不同的显示和访问权限),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Django开发指南中文版
04-25
13. **权限组**:Django的权限系统允许你控制用户对特定资源的访问。了解如何设置权限和使用组来管理用户权限。 **中间件自定义功能** 14. **中间件**:中间件是Django中的一种特殊组件,可以在请求/响应生命...
Django权限控制
weixin_47035302的博客
05-30 1204
权限控制,RBAC介绍,开发中做权限控制,基于django的auth+admin+第三方美化 快速开发 djagno-vue-admin
Django设置权限管理
gongzairen的博客
07-20 5415
django实现不同用户访问不同的网页,只有拥有特定权限的用户才能访问对应的网页
django的权限角色管理(RBAC)
最新发布
Azx的博客
05-10 630
Django 中,、 和 是权限系统的核心组件。下面通过代码示例演示它们的 CRUD(创建、读取、更新、删除) 操作: 三、Permission 模型 CRUD 四、关联操作 1. 用户组的关联 2. 用户权限的直接关联 五、查询示例 1. 获取用户的所有权限 2. 检查用户是否有某个权限 3. 获取组的所有成员 六、特殊操作 1. 创建超级用户 2. 修改用户密码 *************** 模型关系图 ********
[Django]用户权限学习系列之权限管理界面实现
weixin_30768175的博客
06-28 203
本系列前三章: http://www.cnblogs.com/CQ-LQJ/p/5604331.htmlPermission权限基本操作指令 http://www.cnblogs.com/CQ-LQJ/p/5609690.htmlUser权限基本操作指令 http://www.cnblogs.com/CQ-LQJ/p/5620490.html设计自有权限管理系统设计思路 正文: ...
Django 用户权限
XWenXiang的博客
06-03 6681
用户权限,指的是一个帐户登录后,有些功能可以使用,有些功能无法使用,这就是管理员对其设置的权限,只有附合权限的人才可以使用对应的功能。权限就是权利的限制范围。比较常见的是VIP用户和非VIP用户之间的权限差距。用户的权限其实也可以理解为用户对路由访问的权限。我们设定一个用户不能访问某一个路由就相当于限制了用户的权限。那么如何限制用户访问路由,可以创建一个用户可以访问的路由表,查看用户请求的路由是否在该列表内即可。由于用户的数量很多,不能直接将用户和路由对应,可以创建一张用户身份表,表示某一个用户能访问的路由
django 中的访问控制
weixin_44818729的博客
05-28 439
访问控制 = 认证 + 授权 RBAC :role Based Access Control 基于角色的访问控制 用户 - - - 角色 - - - 权限 (至少三个实体五张表) \用户 - - - 用户组- - -角色 - - - 权限 - - -资源 (至少三个实体五张表) ACL: Access Control List 访问控制列表 ...
深入Django:用户认证权限控制实战指南
05-07 1082
要自定义登录或注册视图,可以创建一个类视图并定义。
Django API实用样式指南:设计灵活模式软件domains
### 知识点概览 #### 标题知识点 - **Django**: Django是一个高级的Python ...这份风格指南结合了Django的实践现代Web开发的现实,试图提供一个实用的、可扩展的框架,帮助开发者构建出既高效又易于维护的API服务。
Django+Vue实现的RBAC权限控制项目源码及部署指南
资源摘要信息: "本资源是一个基于Django框架和Vue前端技术的RBAC(Role-Based Access Control,基于角色的访问控制)模型权限控制系统项目。该系统采用了前后端分离的设计思路,包含了完整的源码、部署文档以及所有...
基于django的RBAC权限控制模块
07-05
这个是一个权限控制模块,使用python3写的,可以导入(permission)直接使用。写了一个中间件实现权限控制,可以在后台分配权限。具体使用方式看文件里的readme.md。
Django后台自定义页面、权限设置
11-18
最近工作开发主要利用Django搭建公司后台系统,在开发中遇到数据分页(django原生翻页),后台自定义页面、搜索功能(基于日期单搜索和日期项目名称多选项搜索)、数据显示(BootstrapTable翻页)、权限(控制表)等问题,在开发过程中有一点项目积累,若遇到相似问题,可下载参考,希望对学习Django中的你有所帮助
Django Web开发指南
10-10
12. **Django REST framework**: 对于构建API驱动的应用,Django REST framework是一个非常受欢迎的扩展,它提供了序列化、认证权限控制等功能,帮助快速构建符合RESTful标准的API。 13. **数据库优化**: Django...
Django REST API实现用户注册认证指南
它建立在Django框架之上,提供了许多功能,如序列化、权限控制、身份验证和版本控制等,极大地简化了RESTful API的开发。 知识点四:用户注册验证流程 用户注册通常涉及到收集用户信息(如电子邮件、用户名和密码...
Django中间件应用——访问频率控制
一越王超的博客
11-10 721
以下程序实现了应用Django中间控制网站访问频率。 import time from django.shortcuts import render, HttpResponse from django.utils.deprecation import MiddlewareMixin visit_dict = {} class Throttle(MiddlewareMixin): def process_request(self, request): # 获取IP
Django DRF实现用户数据权限控制
无笺札记
04-23 538
创建一个 IsOwner 权限类,检查请求用户是否为对象所有者:python# 确保只有所有者可以执行对象级别的操作(如详情、更新、删除)动态权限分配:通过 get_permissions 区分列表和详情操作的权限,允许列表访问但限制详情。数据过滤:使用 get_queryset 过滤数据,确保用户只能访问自己的条目,这是更安全的做法。选择方案取决于需求:允许列表显示所有数据:动态权限 + 不过滤 queryset,但需注意数据暴露。
基于Django的RBAC组件(角色的访问控制)基础版(一)
Apy
12-17 2293
关于RBAC RBAC是基于角色的访问控制(Role-Based Access Control )在 RBAC 中,权限角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。 RBAC实际上也就是 Who 、What、How之间的关系,也就是Who对What进...
django中的RBAC(基于角色的访问控制)设计
qq_37422923的博客
12-30 364
class User(models.Model): username = models.CharField(max_length=32) password = models.CharField(max_length=32) roles = models.ManyToManyField(to='Role') def __str__(self): r...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值