Django權限系統auth模塊詳解

昨天我們為了登錄admin，通過命令創建了超級用戶，你是不是有個疑問——這創建的超級用戶的信息是存放在哪里了呢?

這就想到了我們映射數據庫時，django自動創建的一些表（這也是之前進行數據庫遷移時沒有提到的那些表）！！！

0.初接觸

如上圖就是Django自帶的auth系統對應的表，也就是存放了之前創建的超級用戶信息的表（也也就是之前沒有提及到的數據庫遷移生成的表~）

注意點：上面所示表中有多對多表關系生成的中間表，而Django很人性化的一點是：如果是多對多關系產生的中間表，其命名方式是主表在前，從表在后！比如auth_group_permissions表，其中auth_group就是主表，auth_permissions就是從表，如果要進行兩表關聯，則從auth_group到auth_permissions是正向！！!

從上圖表的名稱我們就能看出,

auth_user,auth_group,auth_permission分別

存放了用戶,用戶組,權限的信息表.

另外三張表就是多對多關系的中間表

1.Django權限系統auth模塊

auth模塊是Django提供的標準權限管理系統,可以提供用戶身份認證, 用戶組和權限管理這些功能，那么我們就可以使用它來完善我們之前的一些小型項目；

auth可以和admin模塊配合使用， 快速建立網站的管理系統；

在INSTALLED_APPS中添加’django.contrib.auth’使用該APP, auth模塊默認啟用。

User:User是auth模塊中維護用戶信息的關系模式(繼承了models.Model), 數據庫中該表被命名為auth_user（上篇文中創建的超級用戶信息就存儲在此表中哦！）。

Group:User對象中有一個名為groups的多對多字段， 多對多關系由auth_user_groups數據表維護。Group對象可以通過user_set反向查詢用戶組中的用戶。

Permission:Django的auth系統提供了模型級的權限控制， 即可以檢查用戶是否對某個數據表擁有增(add), 改(change), 刪(delete)權限。

2.Django權限系統auth模塊中的——User模型

（1）User表的SQL描述:

（我們可以查看此表，發現之前創建的超級用戶信息就在這哦！不過密碼是經過HASH加密了~）

User對象顧名思義即為表示用戶的對象，里面的屬性包括以上幾條：

創建好對象后，django會自動生成表，表名為auth_user，包含以上字段。

User模型常用屬性和方法如下:

（2）auth模塊提供了很多API管理用戶信息, 在有相關需求的時候我們可以導入User表進行操作,下面詳細講解auth認證系統的幾大常用功能:

from django.contrib.auth.models import User

①創建用戶：

User.objects.create_user(username, email, password)

（比如前面的注冊登錄小案例，我們可以通過更改入庫的代碼，來實現user用戶的創建~）

②認證用戶：

因為創建的user用戶的password是加密之后入庫的，無法直接對比來判斷用戶是否存在，所以Django就自帶了authenticate函數來進行用戶認證。

導入所用函數：

from django.contrib.auth import authenticate

使用：

user = authenticate(username=username, password=password)

認證用戶的密碼是否有效, 若有效則返回代表該用戶的user對象, 若無效則返回None（注意：該方法不檢查is_active標志位.）

（比如前面的注冊登錄小案例，我們可以通過更改原本查詢的代碼，來實現user用戶的認證~）

補充：現在前端驗證是否登錄的話直接user.username獲取即可！（如果登錄則會獲取到登錄的用戶的名字；未登錄則獲取不到。）

③登錄：

導入所用函數：

from django.contrib.auth import login

使用（login向session中添加SESSION_KEY, 便于對用戶進行跟蹤）：

login(request, user)

注意——login不進行認證,也不檢查is_active標志位, 所以一般和authenticate配合使用:

user = authenticate(username=username, password=password) if user is not None: if user.is_active: login(request, user)

（比如前面的注冊登錄小案例，我們可以通過更改原本設置session的代碼，來實現登錄~）

④登出：

導入所用函數：

from django.contrib.auth import logout

使用（logout會移除request中的user信息, 并刷新session）：

⑤只允許登錄的用戶訪問：

@login_required修飾器修飾的view函數會先通過session key檢查是否登錄, 已登錄用戶可以正常的執行操作, 未登錄用戶將被重定向到login_url指定的位置；

若未指定login_url參數, 則重定向到settings.LOGIN_URL。

導入使用的函數：

from django.contrib.auth.decorators import login_required

使用：

@login_required(login_url='/accounts/login/') def my_view(request): ...

按照常規邏輯來說——你沒登錄，網站給你跳轉到登錄頁面要求你登錄，那么在你登錄之后應該再給你跳轉回去之前的頁面。下面來帶你實現：

我們使用⑤發現，比如我們未登錄狀態下訪問一個頁面，它會立馬重定向到我們指定的登錄頁面。

現在有個需求，我們在登錄之后，能夠讓頁面回到我們先前訪問的那個頁面。觀察URL發現，跳轉到登錄頁面的URL里攜帶一個參數next，值為跳轉的源路徑。所以獲取一下即可！

（比如前面的注冊登錄小案例，我們只需要在登錄業務邏輯中進行判斷，如果可以獲取到index參數，那就說明我們是因為權限不夠沒有登錄而跳轉過來的；如果獲取不到Index參數，那就說明我們是正常登錄！）

⑥判斷用戶是否登錄：

is_authenticated

通過在視圖函數中利用User對象的is_authenticated方法進行判斷用戶是否登錄。如：

3.Django權限系統auth模塊中的——Group模型

django.contrib.auth.models.Group定義了用戶組的模型， 每個用戶組擁有id和name兩個字段， 該模型在數據庫被映射為auth_group數據表。

User對象中有一個名為groups的多對多字段， 多對多關系由auth_user_groups數據表維護。Group對象可以通過user_set反向查詢用戶組中的用戶。

我們可以通過創建刪除Group對象來添加或刪除用戶組:

導入使用的函數：

from django.contrib.auth.models import Group

（1）添加用戶組——add

group = Group.objects.create(name=group_name) group.save()

（2）刪除用戶組——del

group.delete()

我們可以通過標準的多對多字段操作管理用戶與用戶組的關系:

注意：下述的user是獲取到的user實例，group也是獲取到的group實例。比如：

user = User.objects.get(id=1)

group = Group.objects.get(id=1)

用戶加入用戶組：user.groups.add(group)或group.user_set.add(user)

用戶退出用戶組：user.groups.remove(group)或group.user_set.remove(user)

用戶退出所有用戶組：user.groups.clear()

用戶組中所有用戶退出組：group.user_set.clear()

4.Django權限系統auth模塊中的——Permission模型

Django的auth系統提供了模型級的權限控制， 即可以檢查用戶是否對某個數據表擁有增(add), 改(change), 刪(delete)權限。

auth系統無法提供對象級的權限控制， 即檢查用戶是否對數據表中某條記錄擁有增改刪的權限。如果需要對象級權限控制可以使用django-guardian。假設在博客系統中有一張article數據表管理博文， auth可以檢查某個用戶是否擁有對所有博文的管理權限， 但無法檢查用戶對某一篇博文是否擁有管理權限。

查看數據庫中auth_permission這張表,在里面有所有的表的一些操作權限,這些是在表創建的同是添加進來的數據（你會發現對應表的權限的名字是由其模型類名構成的！）

知識補給站：

每個模型默認擁有增(add), 改(change), 刪(delete)權限。在django.contrib.auth.models.Permission模型中保存了項目中所有權限。

該模型在數據庫中被保存為auth_permission數據表。每條權限擁有id ,name , content_type_id, codename四個字段。

①檢查用戶權限：

user.has_perm方法用于檢查用戶是否擁有操作某個模型的權限:

user.has_perm(‘blog.add_article’)

user.has_perm(‘blog.change_article’)

user.has_perm(‘blog.delete_article’)

上述語句檢查用戶是否擁有blog這個app中article模型的添加權限， 若擁有權限則返回True。

has_perm僅是進行權限檢查, 即用戶沒有權限它也不會阻止用戶執行相關操作。

②permission_required裝飾器——設置權限:

permission_required修飾器可以代替has_perm并在用戶沒有相應權限時重定向到登錄頁或者拋出異常。

@permission_required(appname.codename(權限名稱))

給名為blog的app當中的博客添加視圖設置權限：

from django.contrib.auth.decorators import permission_required @permission_required('blog.add_blogmodel') # 給對應的視圖設置權限，讓除了超級用戶之外的用戶喪失設置的權限！可以依此方法設置任意四種權限！ def add_get_post(request): ...

這樣的話只有被設置擁有此權限的用戶才可訪問此視圖函數對應的前端頁面（注意:如果是超級用戶是擁有所有權限的）。

哪怕你登錄了普通用戶會發現也訪問失敗，它會自動給你跳轉到你settings.py文件中設置的權限不足而跳轉到的頁面里！（此處為登錄頁面。）

③管理用戶權限——單用戶管理&&分組管理：

第一個：單用戶管理！

User和Permission通過多對多字段user.user_permissions關聯，在數據庫中由auth_user_user_permissions數據表維護。

添加權限: user.user_permissions.add(permission)

刪除權限: user.user_permissions.delete(permission)

清空權限: user.user_permissions.clear()

通過觀察auth_permission權限表可知：如果你要給指定用戶添加某個權限，那實現的方法就是通過用戶信息表auth_user和權限信息表auth_permissons由于多對多關系產生的中間表auth_user_user_permissions的操作來完成，即讓指定的用戶與要添加的權限產生關系！（多對多表關系的添加）

①注意：要導入權限表！

②圖個方便，直接找個視圖在里面進行操作：

③現在如果訪問博客添加頁面，哪怕你登錄了普通用戶（id為1）會發現也可以訪問，這就說明咱給這個普通用戶成功添加了添加權限！

第二個：分組管理！

用戶擁有他所在用戶組的權限， 使用用戶組管理權限是一個更方便的方法。Group中包含多對多字段permissions， 在數據庫中由auth_group_permissions數據表維護。

添加權限: group.permissions.add(permission)

刪除權限: group.permissions.delete(permission)

清空權限: group.permissions.clear()

如何理解？試想上面給少數用戶添加權限不是很麻煩，但是如果要給好多的用戶添加權限豈不是很麻煩，所以又了給組添加權限的概念。我們可以將刪除權限設置成一個組；查看權限設置成一個組…如果來了幾十個需要添加查看權限的用戶，只需將它們都扔進查看權限那個組即可！而且如果以后要對擁有查看權限的用戶的權限進行改動或者升級，這樣也非常方便！

組信息表的結構：

①注意：導入組信息表

②通過觀察組信息表的結構創建組：

③為新創建的組添加權限（此處是添加了添加權限！）：

④舉例將一個用戶扔進組中，說明如何將用戶放進具有權限的組中：

⑤現在如果訪問博客添加頁面，哪怕你登錄了普通用戶（id為3）會發現也可以訪問，這就說明咱給這個普通用戶成功添加了添加權限！

Django 數據庫

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。