Django2.2使用内置验证系统authenticate处理未激活用户的授权

问题描述

用户登录验证的情况中，需要确认三种情况：

• 用户名或密码错误
• 用户名密码正确且已激活
• 用户名密码正确但未激活

在我们的视图中有如下代码：

user = authenticate(username=username, password=password)
if user is not None:
    if user.is_active:
        pass  # 用户激活
    else:
    	pass  # 用户名密码正确但是用户未激活
else:
    pass  # 用户名密码不正确

Django1.8使用内置的验证系统，只要用户名密码正确authenticate()就会返回用户对象，否则返回None，可以通过检查用户对象的is_active属性来判断用户是否激活。

Django2.2使用内置的验证系统，如果用户名密码都正确，但是用户属性is_active=0处于未激活状态，authenticate()就直接返回None，这就导致上述代码无法区分是用户名密码错误还是用户未激活。

解决方法

通过网络搜索以及查阅官方文档Django2.2未激活用户的授权，得出如下的解决办法：

在项目的配置文件settings.py中设置AUTHENTICATION_BACKENDS自定义验证：

AUTHENTICATION_BACKENDS = ['django.contrib.auth.backends.AllowAllUsersModelBackend']

添加此行代码后，在Django2.2中，上面代码无法判断用户激活的问题就可以解决了。