django.contirb.auth-认证

最新推荐文章于 2021-02-22 01:26:37 发布
转载 最新推荐文章于 2021-02-22 01:26:37 发布 · 538 阅读 · 0
文章标签:

#python #auth #认证

本文深入解析Django的认证模块工作原理,包括中间件如何在请求中增加用户属性、session存储机制、用户对象属性及获取过程等,并介绍了典型登录流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

摘要  django自带了一个认证模块,它利用middlerware在request里增加了user属性,用来获取认证用户的信息。认证后台采用session存储。它自带的User模型,也可以支持自定义扩展。

首先看middleware的定义:

auth模块有两个middleware:AuthenticationMiddleware和SessionAuthenticationMiddleware。

AuthenticationMiddleware负责向request添加user属性

?
1
2
3
4
5
6
7
8
9
class  AuthenticationMiddleware( object ):
     def  process_request( self , request):
         assert  hasattr (request,  'session' ), (
             "The Django authentication middleware requires session middleware "
             "to be installed. Edit your MIDDLEWARE_CLASSES setting to insert "
             "'django.contrib.sessions.middleware.SessionMiddleware' before "
             "'django.contrib.auth.middleware.AuthenticationMiddleware'."
         )
         request.user  =  SimpleLazyObject( lambda : get_user(request))

可以看见AuthenticationMiddleware首先检查是否由session属性,因为它需要session存储用户信息。

user属性的添加,被延迟到了get_user()函数里。SimpleLazyObject是一种延迟的技术。


在来看SessionAuthenticationMiddleware的定义:

它负责session验证

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
class  SessionAuthenticationMiddleware( object ):
     """
     Middleware for invalidating a user's sessions that don't correspond to the
     user's current session authentication hash (generated based on the user's
     password for AbstractUser).
     """
     def  process_request( self , request):
         user  =  request.user
         if  user  and  hasattr (user,  'get_session_auth_hash' ):
             session_hash  =  request.session.get(auth.HASH_SESSION_KEY)
             session_hash_verified  =  session_hash  and  constant_time_compare(
                 session_hash,
                 user.get_session_auth_hash()
             )
             if  not  session_hash_verified:
                 auth.logout(request)

通过比较user的get_session_auth_hash方法,和session里面的auth.HASH_SESSION_KEY属性,判断用户的session是否正确。


至于request里面的user对象,由有什么属性,需要看看get_user()函数的定义。

?
1
2
3
4
def  get_user(request):
     if  not  hasattr (request,  '_cached_user' ):
         request._cached_user  =  auth.get_user(request)
     return  request._cached_user

显然get_user方法在request增加了_cached_user属性,用来作为缓存。

因为用户认证需要查询数据库,得到用户的信息,所以减少开销是有必要的。

注意,这种缓存只针对同一个request而言的,即在一个view中多次访问request.user属性。

每次http请求都是新的request。


再接着看auth.get_user()方法的定义,深入了解request.user这个对象:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
def  get_user(request):
     """
     Returns the user model instance associated with the given request session.
     If no user is retrieved an instance of `AnonymousUser` is returned.
     """
     from  .models  import  AnonymousUser
     user  =  None
     try :
         user_id  =  request.session[SESSION_KEY]
         backend_path  =  request.session[BACKEND_SESSION_KEY]
     except  KeyError:
         pass
     else :
         if  backend_path  in  settings.AUTHENTICATION_BACKENDS:
             backend  =  load_backend(backend_path)
             user  =  backend.get_user(user_id)
     return  user  or  AnonymousUser()


首先它会假设客户端和服务器已经建立session机制了,这个session中的SESSION_KEY属性,就是user的id号。

这个session的BACKEND_SESSION_KEY属性,就是指定使用哪种后台技术获取用户信息。最后使用backend.get_user()获取到user。如果不满足,就返回AnonymousUser对象。


从这个获取user的过程,首先有个前提,就是客户端与服务端得先建立session机制。那么这个session机制是怎么建立的呢?

这个session建立的过程在auth.login函数里:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
def  login(request, user):
     """
     Persist a user id and a backend in the request. This way a user doesn't
     have to reauthenticate on every request. Note that data set during
     the anonymous session is retained when the user logs in.
     """
     session_auth_hash  =  ''
     if  user  is  None :
         user  =  request.user
     if  hasattr (user,  'get_session_auth_hash' ):
         session_auth_hash  =  user.get_session_auth_hash()
 
     if  SESSION_KEY  in  request.session:
         if  request.session[SESSION_KEY] ! =  user.pk  or  (
                 session_auth_hash  and
                 request.session.get(HASH_SESSION_KEY) ! =  session_auth_hash):
             # To avoid reusing another user's session, create a new, empty
             # session if the existing session corresponds to a different
             # authenticated user.
             request.session.flush()
     else :
         request.session.cycle_key()
     request.session[SESSION_KEY]  =  user.pk
     request.session[BACKEND_SESSION_KEY]  =  user.backend
     request.session[HASH_SESSION_KEY]  =  session_auth_hash
     if  hasattr (request,  'user' ):
         request.user  =  user
     rotate_token(request)


首先它会判断是否存在与用户认证相关的session,如果有就清空数据,如果没有就新建。

然后再写如session的值:SESSION_KEY, BACKEND_SESSION_KEY, HASH_SESSION_KEY。


然后讲一下登录时,使用auth通常的做法:

?
1
2
3
4
5
6
7
8
9
from  django.contrib.auth  import  authenticate, login 
def  login_view(request):
     username  =  request.POST[ 'username' ]
     password  =  request.POST[ 'password' ]
     user  =  authenticate(username = username, password = password)
     if  user  is  not  None :
         login(request, user)
         # 转到成功页面
     else :         # 返回错误信息

一般提交通过POST方式提交,然后调用authenticate方法验证,成功后使用login创建session。


继续看看authenticate的定义:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
def  authenticate( * * credentials):
     """
     If the given credentials are valid, return a User object.
     """
     for  backend  in  get_backends():
         try :
             inspect.getcallargs(backend.authenticate,  * * credentials)
         except  TypeError:
             # This backend doesn't accept these credentials as arguments. Try the next one.
             continue
 
         try :
             user  =  backend.authenticate( * * credentials)
         except  PermissionDenied:
             # This backend says to stop in our tracks - this user should not be allowed in at all.
             return  None
         if  user  is  None :
             continue
         # Annotate the user object with the path of the backend.
         user.backend  =  "%s.%s"  %  (backend.__module__, backend.__class__.__name__)
         return  user
 
     # The credentials supplied are invalid to all backends, fire signal
     user_login_failed.send(sender = __name__,
             credentials = _clean_credentials(credentials))

它会去轮询backends,通过调用backend的authenticate方法认证。

注意它在后面更新了user的backend属性,表明此用户是使用哪种backend认证方式。它的值会在login函数里,被存放在session的BACKEND_SESSION_KEY属性里。

通过backend的authenticate方法返回的user,是没有这个属性的。


最后说下登录以后auth的用法。上面展示了登录时auth的用法,在登录以后,就会建立session机制。所以直接获取request的user属性,就可以判断用户的信息和状态。

?
1
2
3
4
5
def  my_view(request):
     if  request.user.is_authenticated():
         # 认证的用户
     else :    
         # 匿名用户
django的session机制详解
卡萝尔的博客
04-04 1822
Session的初始化,保存,删除,验证前言运行环境Session的初始化(SessionMiddleware中间件)Session的验证(AuthenticationMiddleware中间件)Session对应数据库的数据加载、验证当前登录的User对象Session的保存,回写到客户端(SessionMiddleware中间件)Session的删除对于首次登录的用户 前言 面向需要验证用户合...
Django 报错 admin.E408 admin.E409 admin.E410
weixin_30547797的博客
09-27 1524
报错内容 ERRORS:?: (admin.E408) 'django.contrib.auth.middleware.AuthenticationMiddleware' must be in MIDDLEWARE in order to use the admin application.?: (admin.E409) 'django.contrib.messages.middlew...
ERRORS: ?: (admin.E408) 'django.contrib.auth.middleware.AuthenticationMiddleware' must be in MIDDLEW
微电子学与固体电子学-俞驰
03-06 6616
完整报错如下: Traceback (most recent call last): File "/usr/lib/python3.7/threading.py", line 926, in _bootstrap_inner self.run() File "/usr/lib/python3.7/threading.py", line 870, in run self._...
django 中间件 AuthenticationMiddleware 200318
鲸鱼编程-python全栈
03-24 1197
Django教程笔记:六、中间件middleware
alvine008的专栏
12-10 1万+
中间件介绍中间件顾名思义,是介于request与response处理之间的一道处理过程,相对比较轻量级,并且在全局上改变django的输入与输出。因为改变的是全局,所以需要谨慎实用,用不好会影响到性能。 每个中间件都会负责一个功能,例如,AuthenticationMiddleware,与sessions处理相关。激活中间件需要在settings.py配置文件中,配置MIDDLEWARE_CLAS
详解django.contirb.auth-认证
09-20
Django框架中,`django.contrib.auth` 是一个核心组件,专门用于处理用户认证和授权。这个模块提供了全面的功能,包括用户模型、权限管理、登录/登出逻辑以及中间件等。在这里,我们将深入探讨 `django.contrib....
Python库 | django_mail_auth-0.3.0-py2.py3-none-any.whl
03-18
`django_mail_auth` 是一个基于Python的Web开发框架Django的扩展库,专注于提供邮件验证和身份认证服务。这个库的版本是0.3.0,它支持Python 2和Python 3,因此文件名中的`py2.py3-none-any`表示它适用于这两个版本...
PyPI 官网下载 | django_iplant_auth-0.1.17-py2.py3-none-any.whl
02-14
总的来说,`django_iplant_auth`是一个针对Django框架的认证和授权工具,适用于需要强化用户管理和权限控制的Python Web应用。它简化了开发过程,提供了跨Python版本的兼容性,且易于安装和集成。通过阅读其文档和源...
PyPI 官网下载 | django_iplant_auth-0.1.9-py2.py3-none-any.whl
02-03
总结,`django_iplant_auth`是一个用于Django的扩展库,它实现了与iPlant/CyVerse平台的认证集成,便于科研领域的Web应用开发。用户可以从PyPI官网下载并使用,确保Python环境兼容,然后通过pip进行安装。对于开发...
session 修改密码python_django修改密码强制退出机制
weixin_31064353的博客
02-22 524
起因BUG出现系统升级django版本后经常出现自动退出登录问题复现系统升级django(大版本,如1.8、1.11和2.0)后,旧版与新版同时运行,同一各User用旧版authenticate验证后会导致新版中已登录User被退出。正常使用中的登陆、退出和会话保持登录from django.contrib.auth import authenticate, login , logoutdef l...
Django2.1.2创建工程后进入admin站点管理的时候报了:WSGIRequest' object has no attribute 'user 的错误
weixin_42345234的博客
11-06 4435
查stackoverflow和优快云,这是由于Django版本的问题,在1.10之前,中间件的key为MIDDLEWARE_CLASSES;在1.10之后,中间件的key为MIDDLEWARE。 项目的初始配置: MIDDLEWARE_CLASSES = ( 'django.contrib.sessions.middleware.SessionMiddleware', 'dj...
使用django开发遇到问题
吕秀军的博客
11-10 733
1、创建项目 1.1 安装Django :pip install Django 1.2 新建目录learning_log 1.2 进入目录learning_log, django-admin.py startproject learning_log . 【注】:后面那个“.”不能落下 2、python3无法安装MysqlDB,使用pymysql代替 2.1
Django框架全面讲解 -- 中间件(MiddleWare)
shentong1的专栏
12-18 2万+
django 中的中间件(middleware),在django中,中间件其实就是一个类,在请求到来和结束后,django会根据自己的规则在合适的时机执行中间件中相应的方法。在django项目的settings模块中,有一个 MIDDLEWARE_CLASSES 变量,其中每一个元素就是一个中间件,如下图。 与mange.py在同一目录下的文件夹 wupeiqi/middleware下的aut
Django中Middleware中间件
诚实可靠小郎君
05-22 801
1 Middleware中间件概述 django中间middleware实质就是一个类,django会根据自己的规则在合适的时机执行中 提前处理,此时中间件就上场了。 django在settings模块中,有一个MIDDLEWARE_CLASSES变量,其中每一个元素就是一个中间件。 在settings.py文件中: MIDDLEWARE = [ 'django.middl...
搭建微服务下统一认证授权服务,鉴权客户端大致流程(基于无状态)
BurukeYou
02-11 6984
1.简介 基于无状态令牌(jwt)的认证方案,服务端无需保存用户登陆状态 基于spring security框架 + oauth2协议 搭建 基于spring cloud nacos,服务调用使用RestTemplate 前置知识: jwt (也就是这里用到的token) 就是一大串加密的字符串,用户的登陆状态都保存在里面,但这种字符串里面的数据不能被修改,一但修改校验一定会出错....
request.user的由来以及web运行流程!
07-03 2874
首先前端发送请求,nginx 服务器的发送请求,WSGI接受请求,并且将请求发送给框架,然后调用中间件为请求的数据进行封装!也就是request.user的由来! 1),当Django运行在生产模式时,将不再提供静态文件的支持,需要将静态文件交给静态文件服务器。2),WSGI 的作用就是把 web 服务器和 web 框架 (Django) 连接起来 #我的模块是 books下的a...
微服务架构中的身份验证问题 :JSON Web Tokens( JWT)
热门推荐
灯塔的优快云博客
12-07 6万+
本文翻译自:http://www.svlada.com/jwt-token-authentication-with-spring-boot/ 场景介绍软件安全是一件很负责的问题,由于微服务系统中每个服务都要处理安全问题,所以在微服务场景下会更加复杂,一般我们会四种面向微服务系统的身份验证方案。 在传统的单体架构中,单个服务保存所有的用户数据,可以校验用户,并在认证成功后创建HTTP会话。在微服务架
?: (admin.E408) ‘django.contrib.auth.middleware.AuthenticationMiddleware‘
xt_2455的博客
12-05 1046
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Django SAML2 认证django_saml2_auth-2.2.1安装教程
django_saml2_auth是一款基于Python语言开发的、适用于Django框架的SAML2认证库。SAML(安全断言标记语言)是一种基于XML标准的开放标准数据格式,用于在参与者之间安全地交换身份验证和授权数据。 django_saml2_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值