Django 教程第八部分:用户认证和权限
在本教程中,我们将向您展示如何允许用户使用自己的账户登录您的网站,以及如何根据他们是否登录以及他们的权限来控制他们可以做什么和看到什么。作为此演示的一部分,我们将扩展LocalLibrary网站,添加登录和注销页面,以及用户和员工专属的查看已借图书的页面。
| 预备知识 | 完成所有之前的教程主题,直到并包括Django 教程第七部分:会话框架。 |
|---|---|
| 目标 | 了解如何设置和使用用户认证和权限。 |
概述
Django 提供了一个认证和授权(“权限”)系统,该系统建立在上一教程中讨论的会话框架之上,允许您验证用户凭据并定义每个用户被允许执行的操作。该框架包括用于用户和组的内置模型(一种一次性将权限应用于多个用户的通用方法)、指定用户是否可以执行任务的权限/标志、用于用户登录的表单和视图,以及用于限制内容的视图工具。
注意:根据 Django,认证系统旨在非常通用,因此不提供其他 Web 认证系统中的某些功能。某些常见问题的解决方案以第三方包的形式提供。例如,登录尝试的节流和针对第三方的认证(例如 OAuth)。
在本教程中,我们将向您展示如何在LocalLibrary网站中启用用户认证,创建您自己的登录和注销页面,向模型添加权限,并控制页面访问。我们将使用认证/权限来显示用户和图书管理员借阅图书的列表。
认证系统非常灵活,如果您愿意,可以从头开始构建您的 URL、表单、视图和模板,只需调用提供的 API 即可登录用户。但是,在本文中,我们将使用 Django 的“标准”认证视图和表单来处理我们的登录和注销页面。我们仍然需要创建一些模板,但这非常容易。
我们还将向您展示如何创建权限,以及如何在视图和模板中检查登录状态和权限。
启用认证
当我们创建骨架网站(在教程 2 中)时,认证已自动启用,因此您此时无需做任何事情。
注意: 当我们使用 django-admin startproject 命令创建应用程序时,所有必要的配置都已为我们完成。用户和模型权限的数据库表是在我们第一次调用 python manage.py migrate 时创建的。
配置在项目文件(django-locallibrary-tutorial/locallibrary/settings.py)的INSTALLED_APPS和MIDDLEWARE部分中设置,如下所示
INSTALLED_APPS = [
# …
'django.contrib.auth', # Core authentication framework and its default models.
'django.contrib.contenttypes', # Django content type system (allows permissions to be associated with models).
# …
MIDDLEWARE = [
# …
'django.contrib.sessions.middleware.SessionMiddleware', # Manages sessions across requests
# …
'django.contrib.auth.middleware.AuthenticationMiddleware', # Associates users with requests using sessions.
# …
创建用户和组
我们在教程 4 中查看Django 管理站点时已经创建了您的第一个用户(这是一个超级用户,使用命令python manage.py createsuperuser创建)。我们的超级用户已认证并拥有所有权限,因此我们需要创建一个测试用户来代表普通站点用户。我们将使用管理站点来创建我们的locallibrary组和网站登录,因为这是最快的方法之一。
注意:您也可以像下面这样以编程方式创建用户。例如,如果您正在开发一个接口以允许“普通”用户创建自己的登录(您不应该让大多数用户访问管理站点),则您必须这样做。
from django.contrib.auth.models import User
# Create user and save to the database
user = User.objects.create_user('myusername', 'myemail@crazymail.com', 'mypassword')
# Update fields and then save again
user.first_name = 'Tyrone'
user.last_name = 'Citizen'
user.save()
但请注意,强烈建议在项目启动时设置自定义用户模型,因为如果将来需要,您将能够轻松对其进行自定义。如果使用自定义用户模型,创建相同用户的代码将如下所示
# Get current user model from settings
from django.contrib.auth import get_user_model
User = get_user_model()
# Create user from model and save to the database
user = User.objects.create_user('myusername', 'myemail@crazymail.com', 'mypassword')
# Update fields and then save again
user.first_name = 'Tyrone'
user.last_name = 'Citizen'
user.save()
有关更多信息,请参阅项目启动时使用自定义用户模型(Django 文档)。
下面我们将首先创建一个组,然后创建一个用户。尽管我们目前还没有为图书馆成员添加任何权限,但如果以后需要,一次性将它们添加到组中比单独添加到每个成员要容易得多。
启动开发服务器并在本地 Web 浏览器中导航到管理站点 (http://127.0.0.1:8000/admin/)。使用您的超级用户账户凭据登录站点。管理站点的顶层显示您的所有模型,按“Django 应用程序”排序。在认证和授权部分,您可以点击用户或组链接查看现有记录。
首先,让我们为我们的图书馆成员创建一个新组。
- 点击添加按钮(Group 旁边)创建一个新的Group;为该组输入名称“Library Members”。
- 我们不需要任何组权限,所以只需按下 SAVE(您将被带到组列表)。
现在让我们创建一个用户
-
导航回管理站点的主页
-
点击用户旁边的添加按钮打开添加用户对话框。
-
为您的测试用户输入适当的用户名和密码/密码确认
-
按下保存创建用户。
管理站点将创建新用户并立即将您带到“更改用户”屏幕,您可以在其中更改您的用户名并为用户模型的可选字段添加信息。这些字段包括名字、姓氏、电子邮件地址以及用户的状态和权限(只应设置活跃标志)。再往下您可以指定用户的组和权限,并查看与用户相关的重要日期(例如,他们的加入日期和上次登录日期)。
-
在组部分,从可用组列表中选择Library Member组,然后按下框之间的右箭头将其移到已选组框中。
-
我们不需要在这里做其他任何事情,所以再次选择保存,以转到用户列表。
就这样!现在您有了一个“普通图书馆成员”账户,您将能够用于测试(一旦我们实现了让他们登录的页面)。
注意:您应该尝试创建另一个图书馆成员用户。此外,为图书管理员创建一个组,并向该组添加一个用户!
设置认证视图
Django 提供了创建认证页面所需的一切,用于处理登录、注销和密码管理,开箱即用。这包括 URL 映射器、视图和表单,但不包括模板——我们需要自己创建!
在本节中,我们将展示如何将默认系统集成到 LocalLibrary 网站并创建模板。我们将它们放在主项目 URL 中。
注意:您不必使用任何这些代码,但您很可能希望使用它,因为它使事情变得容易得多。如果更改用户模型,您几乎肯定需要更改表单处理代码,但即使如此,您仍然可以使用库存视图函数。
注意:在这种情况下,我们可以合理地将认证页面(包括 URL 和模板)放在我们的 catalog 应用程序中。但是,如果我们有多个应用程序,最好将此共享登录行为分开,并使其在整个站点中可用,所以我们在此处展示了这一点!
项目 URLs
将以下内容添加到项目 urls.py 文件(django-locallibrary-tutorial/locallibrary/urls.py)的底部
# Add Django site authentication urls (for login, logout, password management)
urlpatterns += [
path('accounts/', include('django.contrib.auth.urls')),
]
导航到 http://127.0.0.1:8000/accounts/ URL(注意末尾的斜杠!)。Django 将显示一个错误,指出它找不到此 URL 的映射,并列出它尝试过的所有 URL。由此您可以看到一旦我们创建了模板将起作用的 URL。
注意:如上所示添加 accounts/ 路径会添加以下 URL,以及可用于反转 URL 映射的名称(方括号中给出)。您无需实现任何其他功能——上述 URL 映射会自动映射下面提及的 URL。
accounts/ login/ [name='login']
accounts/ logout/ [name='logout']
accounts/ password_change/ [name='password_change']
accounts/ password_change/done/ [name='password_change_done']
accounts/ password_reset/ [name='password_reset']
accounts/ password_reset/done/ [name='password_reset_done']
accounts/ reset/<uidb64>/<token>/ [name='password_reset_confirm']
accounts/ reset/done/ [name='password_reset_complete']
现在尝试导航到登录 URL (http://127.0.0.1:8000/accounts/login/)。这将再次失败,但会显示一个错误,告诉我们缺少所需的模板 (registration/login.html) 在模板搜索路径中。您将在顶部黄色部分中看到以下几行:
Exception Type: TemplateDoesNotExist
Exception Value: registration/login.html
下一步是为模板创建一个名为“registration”的目录,然后添加 login.html 文件。
模板目录
我们刚刚添加的 URL(以及隐含的视图)期望在模板搜索路径中的某个地方的 /registration/ 目录中找到它们关联的模板。
对于本网站,我们将 HTML 页面放在 templates/registration/ 目录中。此目录应位于您的项目根目录中,即与 catalog 和 locallibrary 文件夹相同的目录。请立即创建这些文件夹。
注意:您的文件夹结构现在应如下所示
django-locallibrary-tutorial/ # Django top level project folder
catalog/
locallibrary/
templates/
registration/
要使 templates 目录对模板加载器可见,我们需要将其添加到模板搜索路径中。打开项目设置(/django-locallibrary-tutorial/locallibrary/settings.py)。
然后导入 os 模块(如果文件中还没有,请在文件顶部附近添加以下行)。
import os # needed by code below
按所示更新 TEMPLATES 部分的 'DIRS' 行
# …
TEMPLATES = [
{
# …
'DIRS': [os.path.join(BASE_DIR, 'templates')],
'APP_DIRS': True,
# …
登录模板
警告:本文提供的认证模板是 Django 演示登录模板的一个非常基本/略微修改的版本。您可能需要根据自己的使用情况进行定制!
创建一个名为 /django-locallibrary-tutorial/templates/registration/login.html 的新 HTML 文件,并为其添加以下内容
{% extends "base_generic.html" %}
{% block content %}
{% if form.errors %}
<p>Your username and password didn't match. Please try again.</p>
{% endif %}
{% if next %}
{% if user.is_authenticated %}
<p>Your account doesn't have access to this page. To proceed,
please login with an account that has access.</p>
{% else %}
<p>Please login to see this page.</p>
{% endif %}
{% endif %}
<form method="post" action="{% url 'login' %}">
{% csrf_token %}
<table>
<tr>
<td>{{ form.username.label_tag }}</td>
<td>{{ form.username }}</td>
</tr>
<tr>
<td>{{ form.password.label_tag }}</td>
<td>{{ form.password }}</td>
</tr>
</table>
<input type="submit" value="login">
<input type="hidden" name="next" value="{{ next }}">
</form>
{# Assumes you set up the password_reset view in your URLConf #}
<p><a href="{% url 'password_reset' %}">Lost password?</a></p>
{% endblock %}
此模板与我们之前看到的模板有一些相似之处——它扩展了我们的基本模板并覆盖了 content 块。其余代码是相当标准的表单处理代码,我们将在以后的教程中讨论。您现在需要知道的是,它将显示一个表单,您可以在其中输入用户名和密码,并且如果输入无效值,则在页面刷新时会提示您输入正确的值。
保存模板后,导航回登录页面(http://127.0.0.1:8000/accounts/login/),您应该会看到类似以下内容:
如果您使用有效凭据登录,您将被重定向到另一个页面(默认情况下,这将是 http://127.0.0.1:8000/accounts/profile/)。问题在于,默认情况下,Django 期望您登录后会被带到个人资料页面,这可能不是您的情况。由于您尚未定义此页面,您将收到另一个错误!
打开项目设置(/django-locallibrary-tutorial/locallibrary/settings.py)并在底部添加以下文本。现在,当您登录时,您应该默认重定向到站点主页。
# Redirect to home URL after login (Default redirects to /accounts/profile/)
LOGIN_REDIRECT_URL = '/'
注销模板
如果您导航到注销 URL (http://127.0.0.1:8000/accounts/logout/),您将收到一个错误,因为 Django 5 不允许使用 GET 注销,只允许使用 POST。我们稍后会添加一个您可以用来注销的表单,但首先我们将创建用户注销后会跳转到的页面。
创建并打开 /django-locallibrary-tutorial/templates/registration/logged_out.html。复制以下文本:
{% extends "base_generic.html" %}
{% block content %}
<p>Logged out!</p>
<a href="{% url 'login'%}">Click here to login again.</a>
{% endblock %}
这个模板非常简单。它只是显示一条消息,通知您已注销,并提供一个链接,您可以按下该链接返回登录屏幕。屏幕渲染如下(注销后):
密码重置模板
默认的密码重置系统使用电子邮件向用户发送重置链接。您需要创建表单以获取用户的电子邮件地址、发送电子邮件、允许他们输入新密码,并记录整个过程何时完成。
以下模板可以用作起点。
密码重置表单
这是用于获取用户电子邮件地址(用于发送密码重置电子邮件)的表单。创建 /django-locallibrary-tutorial/templates/registration/password_reset_form.html,并为其添加以下内容:
{% extends "base_generic.html" %}
{% block content %}
<form action="" method="post">
{% csrf_token %}
{% if form.email.errors %}
{{ form.email.errors }}
{% endif %}
<p>{{ form.email }}</p>
<input type="submit" class="btn btn-default btn-lg" value="Reset password">
</form>
{% endblock %}
密码重置完成
此表单在收集您的电子邮件地址后显示。创建 /django-locallibrary-tutorial/templates/registration/password_reset_done.html,并为其添加以下内容:
{% extends "base_generic.html" %}
{% block content %}
<p>We've emailed you instructions for setting your password. If they haven't arrived in a few minutes, check your spam folder.</p>
{% endblock %}
密码重置电子邮件
此模板提供 HTML 电子邮件的文本,其中包含我们将发送给用户的重置链接。创建 /django-locallibrary-tutorial/templates/registration/password_reset_email.html,并为其添加以下内容:
Someone asked for password reset for email {{ email }}. Follow the link below:
{{ protocol }}://{{ domain }}{% url 'password_reset_confirm' uidb64=uid token=token %}
密码重置确认
此页面是您在点击密码重置电子邮件中的链接后输入新密码的地方。创建 /django-locallibrary-tutorial/templates/registration/password_reset_confirm.html,并为其添加以下内容:
{% extends "base_generic.html" %}
{% block content %}
{% if validlink %}
<p>Please enter (and confirm) your new password.</p>
<form action="" method="post">
{% csrf_token %}
<table>
<tr>
<td>{{ form.new_password1.errors }}
<label for="id_new_password1">New password:</label></td>
<td>{{ form.new_password1 }}</td>
</tr>
<tr>
<td>{{ form.new_password2.errors }}
<label for="id_new_password2">Confirm password:</label></td>
<td>{{ form.new_password2 }}</td>
</tr>
<tr>
<td></td>
<td><input type="submit" value="Change my password"></td>
</tr>
</table>
</form>
{% else %}
<h1>Password reset failed</h1>
<p>The password reset link was invalid, possibly because it has already been used. Please request a new password reset.</p>
{% endif %}
{% endblock %}
密码重置完成
这是最后一个密码重置模板,用于通知您密码重置已成功完成。创建 /django-locallibrary-tutorial/templates/registration/password_reset_complete.html,并为其添加以下内容:
{% extends "base_generic.html" %}
{% block content %}
<h1>The password has been changed!</h1>
<p><a href="{% url 'login' %}">log in again?</a></p>
{% endblock %}
测试新的认证页面
现在您已经添加了 URL 配置并创建了所有这些模板,认证页面(除了注销)现在应该可以正常工作了!
您可以通过首先尝试使用 URL http://127.0.0.1:8000/accounts/login/ 登录您的超级用户账户来测试新的认证页面。您将能够从登录页面中的链接测试密码重置功能。请注意,Django 只会将重置电子邮件发送到其数据库中已存储的地址(用户)!
请注意,您目前无法测试账户注销,因为注销请求必须以 POST 方式发送,而不是 GET 请求。
注意:密码重置系统要求您的网站支持电子邮件,这超出了本文的范围,因此此部分目前无法工作。为了允许测试,请在您的 settings.py 文件的末尾添加以下行。这将把所有发送的电子邮件记录到控制台(以便您可以从控制台复制密码重置链接)。
EMAIL_BACKEND = 'django.core.mail.backends.console.EmailBackend'
有关更多信息,请参阅发送电子邮件(Django 文档)。
针对认证用户进行测试
本节探讨我们如何根据用户是否登录来选择性地控制用户看到的内容。
在模板中测试
您可以使用 {{ user }} 模板变量在模板中获取当前登录用户的信息(当我们按照骨架教程设置项目时,此变量会默认添加到模板上下文中)。
通常,您会首先针对 {{ user.is_authenticated }} 模板变量进行测试,以确定用户是否有资格查看特定内容。为了演示这一点,接下来我们将更新我们的侧边栏,以便在用户注销时显示“登录”链接,在用户登录时显示“注销”链接。
打开基本模板(/django-locallibrary-tutorial/catalog/templates/base_generic.html),并将以下文本复制到 sidebar 块中,紧接在 endblock 模板标签之前。
<ul class="sidebar-nav">
…
{% if user.is_authenticated %}
<li>User: {{ user.get_username }}</li>
<li>
<form id="logout-form" method="post" action="{% url 'logout' %}">
{% csrf_token %}
<button type="submit" class="btn btn-link">Logout</button>
</form>
</li>
{% else %}
<li><a href="{% url 'login' %}?next={{ request.path }}">Login</a></li>
{% endif %}
…
</ul>
如您所见,我们使用 if / else / endif 模板标签根据 {{ user.is_authenticated }} 是否为真来有条件地显示文本。如果用户已认证,我们就知道我们有一个有效的用户,因此我们调用 {{ user.get_username }} 来显示他们的姓名。
我们使用 url 模板标签和 login URL 配置的名称来创建登录链接 URL。另请注意我们如何在 URL 末尾附加了 ?next={{ request.path }}。这样做是在链接 URL 的末尾添加一个包含当前页面地址 (URL) 的 URL 参数 next。用户成功登录后,视图将使用此 next 值将用户重定向回他们首次点击登录链接的页面。
注销模板代码有所不同,因为从 Django 5 开始,您必须使用一个带有按钮的表单,通过 POST 请求到 admin:logout URL 才能注销。默认情况下,这会渲染为一个按钮,但您可以将按钮样式化为链接。对于本例,我们使用 Bootstrap,因此我们通过应用 class="btn btn-link" 使按钮看起来像一个链接。您还需要将以下样式添加到 /django-locallibrary-tutorial/catalog/static/css/styles.css 中,以便将注销链接正确地放置在所有其他侧边栏链接旁边。
#logout-form {
display: inline;
}
#logout-form button {
padding: 0;
margin: 0;
}
尝试点击侧边栏中的登录/注销链接。您应该会被带到您在模板目录中定义的注销/登录页面。
在视图中测试
如果您正在使用基于函数的视图,限制对函数访问的最简单方法是将 login_required 装饰器应用于您的视图函数,如下所示。如果用户已登录,则您的视图代码将正常执行。如果用户未登录,这将重定向到项目设置中定义的登录 URL (settings.LOGIN_URL),并将当前绝对路径作为 next URL 参数传递。如果用户成功登录,他们将被返回到此页面,但此时已认证。
from django.contrib.auth.decorators import login_required
@login_required
def my_view(request):
# …
注意:您也可以通过测试 request.user.is_authenticated 手动执行类似操作,但装饰器要方便得多!
同样,在您的基于类的视图中限制对已登录用户访问的最简单方法是派生自 LoginRequiredMixin。您需要将此混合器首先在超类列表中声明,在主视图类之前。
from django.contrib.auth.mixins import LoginRequiredMixin
class MyView(LoginRequiredMixin, View):
# …
这与 login_required 装饰器具有完全相同的重定向行为。您还可以指定一个备用位置来重定向未认证的用户 (login_url),以及一个 URL 参数名称而不是 next 来插入当前绝对路径 (redirect_field_name)。
class MyView(LoginRequiredMixin, View):
login_url = '/login/'
redirect_field_name = 'redirect_to'
欲了解更多详情,请查看Django 文档此处。
示例 — 列出当前用户的图书
既然我们知道如何将页面限制给特定用户,那么让我们创建一个视图,显示当前用户已借阅的图书。
不幸的是,我们还没有任何用户借书的方式!所以在创建图书列表之前,我们首先需要扩展 BookInstance 模型以支持借书概念,并使用 Django 管理应用程序向我们的测试用户借出一些图书。
模型
首先,我们必须使书籍实例 (BookInstance) 能够被用户借出(我们已经有 status 和 due_back 日期,但我们还没有这个模型与特定用户之间的关联)。我们将使用 ForeignKey(一对多)字段创建一个。我们还需要一个简单的机制来测试借出的书籍是否逾期。
打开 catalog/models.py,并从 django.conf 导入 settings(将其添加在文件顶部之前的导入行下方,以便后续使用这些设置的代码可以使用它们)
from django.conf import settings
接下来,将 borrower 字段添加到 BookInstance 模型中,将键的用户模型设置为 AUTH_USER_MODEL 设置的值。由于我们没有使用自定义用户模型覆盖该设置,因此这映射到 django.contrib.auth.models 中的默认 User 模型。
borrower = models.ForeignKey(settings.AUTH_USER_MODEL, on_delete=models.SET_NULL, null=True, blank=True)
注意:以这种方式导入模型可以减少您以后发现需要自定义用户模型时所需的工作。本教程使用默认模型,因此您可以直接导入 User 模型,代码如下:
from django.contrib.auth.models import User
borrower = models.ForeignKey(User, on_delete=models.SET_NULL, null=True, blank=True)
在这里,我们添加一个属性,可以从我们的模板中调用,以判断特定图书实例是否逾期。虽然我们可以在模板本身中计算,但如下所示使用属性将更有效率。
在文件顶部附近添加此内容
from datetime import date
现在将以下属性定义添加到 BookInstance 类中
注意:以下代码使用 Python 的 bool() 函数,该函数评估一个对象或表达式的结果对象,并返回 True,除非结果是“假值”,在这种情况下返回 False。在 Python 中,如果一个对象是假值(评估为 False),则它为空(如 []、()、{})、0、None 或它本身是 False。
@property
def is_overdue(self):
"""Determines if the book is overdue based on due date and current date."""
return bool(self.due_back and date.today() > self.due_back)
注意:我们在进行比较之前,首先验证 due_back 是否为空。一个空的 due_back 字段会导致 Django 抛出错误而不是显示页面:空值是不可比较的。这不是我们希望用户体验到的!
现在我们已经更新了模型,我们需要对项目进行新的迁移,然后应用这些迁移。
python3 manage.py makemigrations
python3 manage.py migrate
管理员
现在打开 catalog/admin.py,并将 borrower 字段添加到 BookInstanceAdmin 类的 list_display 和 fieldsets 中,如下所示。这将使该字段在管理部分可见,从而允许我们在需要时将 User 分配给 BookInstance。
@admin.register(BookInstance)
class BookInstanceAdmin(admin.ModelAdmin):
list_display = ('book', 'status', 'borrower', 'due_back', 'id')
list_filter = ('status', 'due_back')
fieldsets = (
(None, {
'fields': ('book', 'imprint', 'id')
}),
('Availability', {
'fields': ('status', 'due_back', 'borrower')
}),
)
借阅一些书籍
现在可以向特定用户借书了,去借出一些 BookInstance 记录吧。将它们的 borrowed 字段设置为您的测试用户,将 status 设置为“借出”,并将到期日期设置在将来和过去。
注意:我们不会详细说明这个过程,因为您已经知道如何使用管理站点!
借阅视图
现在我们将为获取当前用户已借阅的所有图书列表添加一个视图。我们将使用我们熟悉的通用类列表视图,但这次我们还将导入并派生自 LoginRequiredMixin,这样只有登录用户才能调用此视图。我们还将选择声明一个 template_name,而不是使用默认值,因为我们最终可能会有几个不同的 BookInstance 记录列表,具有不同的视图和模板。
将以下内容添加到 catalog/views.py
from django.contrib.auth.mixins import LoginRequiredMixin
class LoanedBooksByUserListView(LoginRequiredMixin,generic.ListView):
"""Generic class-based view listing books on loan to current user."""
model = BookInstance
template_name = 'catalog/bookinstance_list_borrowed_user.html'
paginate_by = 10
def get_queryset(self):
return (
BookInstance.objects.filter(borrower=self.request.user)
.filter(status__exact='o')
.order_by('due_back')
)
为了将我们的查询限制为仅当前用户的 BookInstance 对象,我们如上所示重新实现了 get_queryset()。请注意,“o”是“on loan”的存储代码,我们按 due_back 日期排序,以便最早的项目首先显示。
借阅图书的 URL 配置
现在打开 /catalog/urls.py 并添加一个指向上述视图的 path()(您可以将以下文本复制到文件末尾)。
urlpatterns += [
path('mybooks/', views.LoanedBooksByUserListView.as_view(), name='my-borrowed'),
]
借阅图书的模板
现在,对于此页面,我们只需要添加一个模板。首先,创建模板文件 /catalog/templates/catalog/bookinstance_list_borrowed_user.html 并为其添加以下内容:
{% extends "base_generic.html" %}
{% block content %}
<h1>Borrowed books</h1>
{% if bookinstance_list %}
<ul>
{% for bookinst in bookinstance_list %}
<li class="{% if bookinst.is_overdue %}text-danger{% endif %}">
<a href="{% url 'book-detail' bookinst.book.pk %}">{{ bookinst.book.title }}</a> ({{ bookinst.due_back }})
</li>
{% endfor %}
</ul>
{% else %}
<p>There are no books borrowed.</p>
{% endif %}
{% endblock %}
此模板与我们之前为 Book 和 Author 对象创建的模板非常相似。这里唯一的“新”内容是我们检查了模型中添加的方法 (bookinst.is_overdue),并使用它来更改逾期项目的颜色。
当开发服务器运行时,您现在应该能够在浏览器中通过 http://127.0.0.1:8000/catalog/mybooks/ 查看登录用户的列表。尝试在用户登录和注销两种情况下进行操作(在第二种情况下,您应该被重定向到登录页面)。
将列表添加到侧边栏
最后一步是将此新页面的链接添加到侧边栏。我们将其放在显示登录用户其他信息的同一部分。
打开基础模板(/django-locallibrary-tutorial/catalog/templates/base_generic.html)并在侧边栏中如下所示的位置添加“我的借阅”行。
<ul class="sidebar-nav">
{% if user.is_authenticated %}
<li>User: {{ user.get_username }}</li>
<li><a href="{% url 'my-borrowed' %}">My Borrowed</a></li>
<li>
<form id="logout-form" method="post" action="{% url 'admin:logout' %}">
{% csrf_token %}
<button type="submit" class="btn btn-link">Logout</button>
</form>
</li>
{% else %}
<li><a href="{% url 'login' %}?next={{ request.path }}">Login</a></li>
{% endif %}
</ul>
它看起来怎么样?
当任何用户登录时,他们将在侧边栏中看到我的借阅链接,并且图书列表将如下所示(第一本书没有到期日期,这是一个我们希望在以后的教程中修复的 bug!)。
Permissions
权限与模型相关联,并定义具有该权限的用户可以对模型实例执行的操作。默认情况下,Django 会自动为所有模型授予添加、更改和删除权限,这些权限允许具有这些权限的用户通过管理站点执行相关操作。您可以为模型定义自己的权限,并将其授予特定用户。您还可以更改与同一模型的不同实例相关联的权限。
在视图和模板中测试权限与测试认证状态非常相似(实际上,测试权限也会测试认证)。
模型
权限的定义是在模型的 class Meta 部分,使用 permissions 字段。您可以在元组中指定任意数量的权限,每个权限本身都在一个嵌套元组中定义,其中包含权限名称和权限显示值。例如,我们可能定义一个权限,允许用户标记一本书已归还,如下所示:
class BookInstance(models.Model):
# …
class Meta:
# …
permissions = (("can_mark_returned", "Set book as returned"),)
然后我们可以在管理站点中将权限分配给“图书管理员”组。
打开 catalog/models.py,并如上所示添加权限。您需要重新运行迁移(调用 python3 manage.py makemigrations 和 python3 manage.py migrate)以适当更新数据库。
模板
当前用户的权限存储在名为 {{ perms }} 的模板变量中。您可以使用相关 Django“应用程序”中的特定变量名称来检查当前用户是否具有特定权限——例如,如果用户具有此权限,则 {{ perms.catalog.can_mark_returned }} 将为 True,否则为 False。我们通常使用模板 {% if %} 标签来测试权限,如下所示:
{% if perms.catalog.can_mark_returned %}
<!-- We can mark a BookInstance as returned. -->
<!-- Perhaps add code to link to a "book return" view here. -->
{% endif %}
视图
权限可以在函数视图中使用 permission_required 装饰器测试,也可以在基于类的视图中使用 PermissionRequiredMixin 测试。模式与登录认证相同,当然,您可能需要添加多个权限。
函数视图装饰器
from django.contrib.auth.decorators import permission_required
@permission_required('catalog.can_mark_returned')
@permission_required('catalog.can_edit')
def my_view(request):
# …
用于基于类的视图的权限必需混合器。
from django.contrib.auth.mixins import PermissionRequiredMixin
class MyView(PermissionRequiredMixin, View):
permission_required = 'catalog.can_mark_returned'
# Or multiple permissions
permission_required = ('catalog.can_mark_returned', 'catalog.change_book')
# Note that 'catalog.change_book' is permission
# Is created automatically for the book model, along with add_book, and delete_book
注意:上述行为有一个小的默认差异。对于登录用户,如果发生权限违规,默认情况下
@permission_required重定向到登录屏幕(HTTP 状态 302)。PermissionRequiredMixin返回 403(HTTP 状态 Forbidden)。
通常您会希望 PermissionRequiredMixin 的行为:如果用户已登录但没有正确的权限,则返回 403。要为函数视图执行此操作,请使用 @login_required 和 @permission_required 并设置 raise_exception=True,如下所示:
from django.contrib.auth.decorators import login_required, permission_required
@login_required
@permission_required('catalog.can_mark_returned', raise_exception=True)
def my_view(request):
# …
示例
我们不会在这里更新 LocalLibrary;也许在下一个教程中!
挑战自我
在本文前面,我们向您展示了如何为当前用户创建一个页面,列出他们借阅的图书。现在的挑战是创建一个类似的页面,该页面仅对图书管理员可见,显示所有已借阅的图书,并包含每个借阅者的姓名。
您应该能够遵循与其他视图相同的模式。主要区别在于您需要将视图限制为仅图书管理员。您可以通过用户是否是工作人员来做到这一点(函数装饰器:staff_member_required,模板变量:user.is_staff),但我们建议您改用 can_mark_returned 权限和 PermissionRequiredMixin,如上一节所述。
警告:请记住不要使用您的超级用户进行基于权限的测试(即使尚未定义权限,超级用户的权限检查也始终返回 true!)。相反,创建一个图书管理员用户,并添加所需的功能。
完成后,您的页面应该看起来像下面的截图。
总结
出色的工作——您现在已经创建了一个网站,图书馆成员可以登录并查看自己的内容,而图书管理员(具有正确权限)可以查看所有已借阅的图书及其借阅者。目前我们仍然只是查看内容,但是当您想要开始修改和添加数据时,将使用相同的原则和技术。
在我们的下一篇文章中,我们将探讨如何使用 Django 表单收集用户输入,然后开始修改一些存储数据。
另见
- Django 中的用户认证 (Django 文档)
- 使用(默认)Django 认证系统 (Django 文档)
- 类视图简介 > 装饰类视图 (Django 文档)