Selamat kembali, semua! Pada bahagian sebelumnya, kami mewujudkan proses pendaftaran pengguna yang selamat untuk aplikasi blog Django kami. Namun, selepas pendaftaran berjaya, kami dialihkan ke laman utama. Tingkah laku ini akan diubah suai sebaik sahaja kami melaksanakan pengesahan pengguna. Pengesahan pengguna memastikan bahawa hanya pengguna yang diberi kuasa boleh mengakses fungsi tertentu dan melindungi maklumat sensitif.
Dalam siri ini, kami sedang membina aplikasi blog yang lengkap, berpandukan Rajah Perhubungan Entiti (ERD) berikut. Untuk kali ini, tumpuan kami adalah pada menyediakan proses pengesahan pengguna yang selamat. Jika anda mendapati kandungan ini membantu, sila like, komen dan langgan untuk kekal dikemas kini apabila bahagian seterusnya dikeluarkan.
Ini ialah pratonton cara halaman log masuk kami akan kelihatan selepas kami melaksanakan fungsi log masuk. Jika anda belum membaca bahagian sebelumnya dalam siri ini, saya syorkan berbuat demikian, kerana tutorial ini adalah kesinambungan daripada langkah sebelumnya.
Baiklah, mari kita mulakan !!
Django dilengkapi dengan apl terbina dalam yang dipanggil contrib.auth, yang memudahkan pengendalian pengesahan pengguna untuk kami. Anda boleh menyemak fail blog_env/settings.py, di bawah INSTALLED_APPS, anda akan melihat bahawa pengesahan sudah disenaraikan.
# django_project/settings.py INSTALLED_APPS = [ # "django.contrib.admin", "django.contrib.auth", # <-- Auth app "django.contrib.contenttypes", "django.contrib.sessions", "django.contrib.messages", "django.contrib.staticfiles", ]
Apl pengesahan memberikan kami berbilang paparan pengesahan untuk mengendalikan log masuk, log keluar, penukaran kata laluan, tetapan semula kata laluan, dll. Ini bermakna fungsi pengesahan penting, seperti log masuk pengguna, pendaftaran dan kebenaran, sedia untuk digunakan tanpa perlu untuk membina segala-galanya dari awal.
Dalam tutorial ini, kami akan menumpukan semata-mata pada paparan log masuk dan log keluar, dan meliputi paparan yang lain dalam bahagian siri yang kemudian.
Mengikut pendekatan TDD kami, mari mulakan dengan membuat ujian untuk borang log masuk. Memandangkan kami belum membuat borang log masuk lagi, navigasi ke fail pengguna/forms.py dan buat kelas baharu yang diwarisi daripada AuthenticationForm.
# users/forms.py from django.contrib.auth import AuthenticationForm class LoginForm(AuthenticationForm):
Setelah borang ditakrifkan, kami boleh menambah kes ujian dalam pengguna/tests/test_forms.py untuk mengesahkan kefungsiannya.
# users/tests/test_forms.py # --- other code class LoginFormTest(TestCase): def setUp(self): self.user = User.objects.create_user( full_name= 'Tester User', email= 'tester@gmail.com', bio= 'new bio for tester', password= 'password12345' ) def test_valid_credentials(self): """ With valid credentials, the form should be valid """ credentials = { 'email': 'tester@gmail.com', 'password': 'password12345', 'remember_me': False } form = LoginForm(data = credentials) self.assertTrue(form.is_valid()) def test_wrong_credentials(self): """ With wrong credentials, the form should raise Invalid email or password error """ credentials = { 'email': 'tester@gmail.com', 'password': 'wrongpassword', 'remember_me': False } form = LoginForm(data = credentials) self.assertIn('Invalid email or password', str(form.errors['__all__'])) def test_credentials_with_empty_email(self): """ Should raise an error when the email field is empty """ credentials = { 'email': '', 'password': 'password12345', 'remember_me': False } form = LoginForm(data = credentials) self.assertFalse(form.is_valid()) self.assertIn('This field is required', str(form.errors['email'])) def test_credentials_with_empty_password(self): """ Should raise error when the password field is empty """ credentials = { 'email': 'tester@gmail.com', 'password': '', 'remember_me': False } form = LoginForm(data = credentials) self.assertFalse(form.is_valid()) self.assertIn('This field is required', str(form.errors['password']))
Ujian ini meliputi senario seperti log masuk yang berjaya dengan bukti kelayakan yang sah, log masuk gagal dengan bukti kelayakan yang tidak sah dan pengendalian mesej ralat dengan sewajarnya.
Kelas AuthenticationForm menyediakan beberapa pengesahan asas secara lalai. Walau bagaimanapun, dengan Log Masuk kami, kami boleh menyesuaikan tingkah lakunya dan menambah sebarang peraturan pengesahan yang diperlukan untuk memenuhi keperluan khusus kami.
# django_project/settings.py INSTALLED_APPS = [ # "django.contrib.admin", "django.contrib.auth", # <-- Auth app "django.contrib.contenttypes", "django.contrib.sessions", "django.contrib.messages", "django.contrib.staticfiles", ]
Kami telah mencipta borang log masuk tersuai yang merangkumi medan berikut: e-mel, kata laluan dan ingat_saya. Kotak pilihan remember_me membolehkan pengguna mengekalkan sesi log masuk mereka merentas sesi penyemak imbas.
Memandangkan borang kami memanjangkan Borang Pengesahan, kami telah mengatasi beberapa gelagat lalai:
# users/forms.py from django.contrib.auth import AuthenticationForm class LoginForm(AuthenticationForm):
Memandangkan kita belum mempunyai paparan untuk log masuk, mari kita navigasi ke fail users/views.py dan buat kelas baharu yang diwarisi daripada Log Masuk apl auth
# users/tests/test_forms.py # --- other code class LoginFormTest(TestCase): def setUp(self): self.user = User.objects.create_user( full_name= 'Tester User', email= 'tester@gmail.com', bio= 'new bio for tester', password= 'password12345' ) def test_valid_credentials(self): """ With valid credentials, the form should be valid """ credentials = { 'email': 'tester@gmail.com', 'password': 'password12345', 'remember_me': False } form = LoginForm(data = credentials) self.assertTrue(form.is_valid()) def test_wrong_credentials(self): """ With wrong credentials, the form should raise Invalid email or password error """ credentials = { 'email': 'tester@gmail.com', 'password': 'wrongpassword', 'remember_me': False } form = LoginForm(data = credentials) self.assertIn('Invalid email or password', str(form.errors['__all__'])) def test_credentials_with_empty_email(self): """ Should raise an error when the email field is empty """ credentials = { 'email': '', 'password': 'password12345', 'remember_me': False } form = LoginForm(data = credentials) self.assertFalse(form.is_valid()) self.assertIn('This field is required', str(form.errors['email'])) def test_credentials_with_empty_password(self): """ Should raise error when the password field is empty """ credentials = { 'email': 'tester@gmail.com', 'password': '', 'remember_me': False } form = LoginForm(data = credentials) self.assertFalse(form.is_valid()) self.assertIn('This field is required', str(form.errors['password']))
Di bahagian bawah fail pengguna/tests/test_views.py tambahkan kes ujian ini
# users/forms.py # -- other code from django.contrib.auth.forms import UserCreationForm, UserChangeForm, AuthenticationForm # new line from django.contrib.auth import get_user_model, authenticate # new line # --- other code class LoginForm(AuthenticationForm): email = forms.EmailField( required=True, widget=forms.EmailInput(attrs={'placeholder': 'Email','class': 'form-control',}) ) password = forms.CharField( required=True, widget=forms.PasswordInput(attrs={ 'placeholder': 'Password', 'class': 'form-control', 'data-toggle': 'password', 'id': 'password', 'name': 'password', }) ) remember_me = forms.BooleanField(required=False) def __init__(self, *args, **kwargs): super(LoginForm, self).__init__(*args, **kwargs) # Remove username field if 'username' in self.fields: del self.fields['username'] def clean(self): email = self.cleaned_data.get('email') password = self.cleaned_data.get('password') # Authenticate using email and password if email and password: self.user_cache = authenticate(self.request, email=email, password=password) if self.user_cache is None: raise forms.ValidationError("Invalid email or password") else: self.confirm_login_allowed(self.user_cache) return self.cleaned_data class Meta: model = User fields = ('email', 'password', 'remember_me')
Kita perlu memastikan bahawa ujian ini gagal pada peringkat ini.
Dalam fail users/views.py di bahagian bawah fail tambahkan kod di bawah:
(.venv)$ python3 manage.py test users.tests.test_forms Found 9 test(s). Creating test database for alias 'default'... System check identified no issues (0 silenced). ......... ---------------------------------------------------------------------- Ran 9 tests in 3.334s OK Destroying test database for alias 'default'...
Dalam kod di atas, kami mencapai perkara berikut:
# -- other code from .forms import CustomUserCreationForm, LoginForm from django.contrib.auth import get_user_model, views # -- other code class CustomLoginView(views.LoginForm):
Untuk menyambungkan fungsi log masuk tersuai anda dan membenarkan pengguna mengakses halaman log masuk, kami akan mentakrifkan corak URL dalam fail pengguna/urls.py. Fail ini akan memetakan URL tertentu (/log_in/ dalam kes ini) kepada paparan yang sepadan (CustomLoginView). Selain itu, kami akan memasukkan laluan untuk kefungsian log keluar menggunakan LogoutView terbina dalam Django.
# django_project/settings.py INSTALLED_APPS = [ # "django.contrib.admin", "django.contrib.auth", # <-- Auth app "django.contrib.contenttypes", "django.contrib.sessions", "django.contrib.messages", "django.contrib.staticfiles", ]
Semuanya kelihatan teratur, tetapi kami harus menentukan tempat untuk mengubah hala pengguna apabila berjaya log masuk dan log keluar. Untuk melakukan ini, kami akan menggunakan tetapan LOGIN_REDIRECT_URL dan LOGOUT_REDIRECT_URL. Di bahagian bawah fail blog_app/settings.py anda, tambahkan baris berikut untuk mengubah hala pengguna ke halaman utama:
# users/forms.py from django.contrib.auth import AuthenticationForm class LoginForm(AuthenticationForm):
Sekarang kami mempunyai URL log masuk, mari kemas kini SignUpView kami dalam fail users/views.py untuk mengubah hala ke halaman log masuk apabila pendaftaran berjaya.
# users/tests/test_forms.py # --- other code class LoginFormTest(TestCase): def setUp(self): self.user = User.objects.create_user( full_name= 'Tester User', email= 'tester@gmail.com', bio= 'new bio for tester', password= 'password12345' ) def test_valid_credentials(self): """ With valid credentials, the form should be valid """ credentials = { 'email': 'tester@gmail.com', 'password': 'password12345', 'remember_me': False } form = LoginForm(data = credentials) self.assertTrue(form.is_valid()) def test_wrong_credentials(self): """ With wrong credentials, the form should raise Invalid email or password error """ credentials = { 'email': 'tester@gmail.com', 'password': 'wrongpassword', 'remember_me': False } form = LoginForm(data = credentials) self.assertIn('Invalid email or password', str(form.errors['__all__'])) def test_credentials_with_empty_email(self): """ Should raise an error when the email field is empty """ credentials = { 'email': '', 'password': 'password12345', 'remember_me': False } form = LoginForm(data = credentials) self.assertFalse(form.is_valid()) self.assertIn('This field is required', str(form.errors['email'])) def test_credentials_with_empty_password(self): """ Should raise error when the password field is empty """ credentials = { 'email': 'tester@gmail.com', 'password': '', 'remember_me': False } form = LoginForm(data = credentials) self.assertFalse(form.is_valid()) self.assertIn('This field is required', str(form.errors['password']))
Kami juga akan mengemas kini SignUpTexts kami, khususnya test_signup_correct_data(self), untuk mencerminkan tingkah laku baharu dan memastikan perubahan kami diuji dengan betul.
# users/forms.py # -- other code from django.contrib.auth.forms import UserCreationForm, UserChangeForm, AuthenticationForm # new line from django.contrib.auth import get_user_model, authenticate # new line # --- other code class LoginForm(AuthenticationForm): email = forms.EmailField( required=True, widget=forms.EmailInput(attrs={'placeholder': 'Email','class': 'form-control',}) ) password = forms.CharField( required=True, widget=forms.PasswordInput(attrs={ 'placeholder': 'Password', 'class': 'form-control', 'data-toggle': 'password', 'id': 'password', 'name': 'password', }) ) remember_me = forms.BooleanField(required=False) def __init__(self, *args, **kwargs): super(LoginForm, self).__init__(*args, **kwargs) # Remove username field if 'username' in self.fields: del self.fields['username'] def clean(self): email = self.cleaned_data.get('email') password = self.cleaned_data.get('password') # Authenticate using email and password if email and password: self.user_cache = authenticate(self.request, email=email, password=password) if self.user_cache is None: raise forms.ValidationError("Invalid email or password") else: self.confirm_login_allowed(self.user_cache) return self.cleaned_data class Meta: model = User fields = ('email', 'password', 'remember_me')
Kemudian buat fail pengguna/template/pendaftaran/login.html dengan editor teks anda dan sertakan kod berikut:
(.venv)$ python3 manage.py test users.tests.test_forms Found 9 test(s). Creating test database for alias 'default'... System check identified no issues (0 silenced). ......... ---------------------------------------------------------------------- Ran 9 tests in 3.334s OK Destroying test database for alias 'default'...
Kami akan menambah fungsi Lupa Kata Laluan kemudian dalam siri ini tetapi kini ia hanyalah pautan mati.
Sekarang, mari kami mengemas kini templat layout.html kami untuk memasukkan pautan log masuk, pendaftaran dan log keluar.
# -- other code from .forms import CustomUserCreationForm, LoginForm from django.contrib.auth import get_user_model, views # -- other code class CustomLoginView(views.LoginForm):
Dalam templat kami, kami menyemak sama ada pengguna itu disahkan. Jika pengguna log masuk, kami memaparkan pautan log keluar dan nama penuh pengguna. Jika tidak, kami menunjukkan pautan log masuk dan pendaftaran.
Sekarang mari jalankan semua ujian
# users/tests/test_views.py # -- other code class LoginTests(TestCase): def setUp(self): User.objects.create_user( full_name= 'Tester User', email= 'tester@gmail.com', bio= 'new bio for tester', password= 'password12345' ) self.valid_credentials = { 'email': 'tester@gmail.com', 'password': 'password12345', 'remember_me': False } def test_login_url(self): """User can navigate to the login page""" response = self.client.get(reverse('users:login')) self.assertEqual(response.status_code, 200) def test_login_template(self): """Login page render the correct template""" response = self.client.get(reverse('users:login')) self.assertTemplateUsed(response, template_name='registration/login.html') self.assertContains(response, '<a class="btn btn-outline-dark text-white" href="/users/sign_up/">Sign Up</a>') def test_login_with_valid_credentials(self): """User should be log in when enter valid credentials""" response = self.client.post(reverse('users:login'), self.valid_credentials, follow=True) self.assertEqual(response.status_code, 200) self.assertRedirects(response, reverse('home')) self.assertTrue(response.context['user'].is_authenticated) self.assertContains(response, '<button type="submit" class="btn btn-danger"><i class="bi bi-door-open-fill"></i> Log out</button>') def test_login_with_wrong_credentials(self): """Get error message when enter wrong credentials""" credentials = { 'email': 'tester@gmail.com', 'password': 'wrongpassword', 'remember_me': False } response = self.client.post(reverse('users:login'), credentials, follow=True) self.assertEqual(response.status_code, 200) self.assertContains(response, 'Invalid email or password') self.assertFalse(response.context['user'].is_authenticated)
Sekarang kami telah mengkonfigurasikan fungsi log masuk dan log keluar, tiba masanya untuk menguji segala-galanya dalam penyemak imbas web kami. Mari mulakan pelayan pembangunan
# django_project/settings.py INSTALLED_APPS = [ # "django.contrib.admin", "django.contrib.auth", # <-- Auth app "django.contrib.contenttypes", "django.contrib.sessions", "django.contrib.messages", "django.contrib.staticfiles", ]
Navigasi ke halaman pendaftaran dan masukkan kelayakan yang sah. Selepas pendaftaran berjaya, anda harus dialihkan ke halaman log masuk. Masukkan maklumat pengguna dalam borang log masuk, dan setelah log masuk, klik butang log keluar. Anda kemudiannya harus log keluar dan diubah hala ke halaman utama. Akhir sekali, sahkan bahawa anda tidak log masuk lagi dan pautan pendaftaran dan log masuk dipaparkan sekali lagi.
Semuanya berfungsi dengan sempurna, tetapi saya perhatikan bahawa apabila pengguna log masuk dan melawat halaman pendaftaran di http://127.0.0.1:8000/users/sign_up/, mereka masih mempunyai akses kepada borang pendaftaran. Sebaik-baiknya, sebaik sahaja pengguna log masuk, mereka sepatutnya tidak boleh mengakses halaman pendaftaran.
Tingkah laku ini boleh memperkenalkan beberapa kelemahan keselamatan ke dalam projek kami. Untuk menangani perkara ini, kami perlu mengemas kini SignUpView untuk mengubah hala mana-mana pengguna log masuk ke halaman utama.
Tetapi pertama-tama, mari kemas kini LoginTest kami untuk menambah ujian baharu yang merangkumi senario. Jadi dalam pengguna/tests/test_views.py tambahkan kod ini.
# users/forms.py from django.contrib.auth import AuthenticationForm class LoginForm(AuthenticationForm):
Kini, kami boleh mengemas kini SignUpView kami
# users/tests/test_forms.py # --- other code class LoginFormTest(TestCase): def setUp(self): self.user = User.objects.create_user( full_name= 'Tester User', email= 'tester@gmail.com', bio= 'new bio for tester', password= 'password12345' ) def test_valid_credentials(self): """ With valid credentials, the form should be valid """ credentials = { 'email': 'tester@gmail.com', 'password': 'password12345', 'remember_me': False } form = LoginForm(data = credentials) self.assertTrue(form.is_valid()) def test_wrong_credentials(self): """ With wrong credentials, the form should raise Invalid email or password error """ credentials = { 'email': 'tester@gmail.com', 'password': 'wrongpassword', 'remember_me': False } form = LoginForm(data = credentials) self.assertIn('Invalid email or password', str(form.errors['__all__'])) def test_credentials_with_empty_email(self): """ Should raise an error when the email field is empty """ credentials = { 'email': '', 'password': 'password12345', 'remember_me': False } form = LoginForm(data = credentials) self.assertFalse(form.is_valid()) self.assertIn('This field is required', str(form.errors['email'])) def test_credentials_with_empty_password(self): """ Should raise error when the password field is empty """ credentials = { 'email': 'tester@gmail.com', 'password': '', 'remember_me': False } form = LoginForm(data = credentials) self.assertFalse(form.is_valid()) self.assertIn('This field is required', str(form.errors['password']))
Dalam kod di atas, kami mengatasi kaedah dispatch() SignUpView kami untuk mengubah hala mana-mana pengguna yang telah log masuk dan cuba mengakses halaman pendaftaran. Ubah hala ini akan menggunakan set LOGIN_REDIRECT_URL dalam fail settings.py kami, yang dalam kes ini, menghala ke halaman utama.
Okey! Sekali lagi, mari jalankan semua ujian kami untuk mengesahkan bahawa kemas kini kami berfungsi seperti yang diharapkan
# users/forms.py # -- other code from django.contrib.auth.forms import UserCreationForm, UserChangeForm, AuthenticationForm # new line from django.contrib.auth import get_user_model, authenticate # new line # --- other code class LoginForm(AuthenticationForm): email = forms.EmailField( required=True, widget=forms.EmailInput(attrs={'placeholder': 'Email','class': 'form-control',}) ) password = forms.CharField( required=True, widget=forms.PasswordInput(attrs={ 'placeholder': 'Password', 'class': 'form-control', 'data-toggle': 'password', 'id': 'password', 'name': 'password', }) ) remember_me = forms.BooleanField(required=False) def __init__(self, *args, **kwargs): super(LoginForm, self).__init__(*args, **kwargs) # Remove username field if 'username' in self.fields: del self.fields['username'] def clean(self): email = self.cleaned_data.get('email') password = self.cleaned_data.get('password') # Authenticate using email and password if email and password: self.user_cache = authenticate(self.request, email=email, password=password) if self.user_cache is None: raise forms.ValidationError("Invalid email or password") else: self.confirm_login_allowed(self.user_cache) return self.cleaned_data class Meta: model = User fields = ('email', 'password', 'remember_me')
Saya tahu banyak lagi yang perlu dicapai, tetapi mari kita luangkan sedikit masa untuk menghargai apa yang telah kita capai setakat ini. Bersama-sama, kami telah menyediakan persekitaran projek kami, menyambungkan pangkalan data PostgreSQL dan melaksanakan sistem pendaftaran dan log masuk pengguna yang selamat untuk aplikasi blog Django kami. Dalam bahagian seterusnya, kami akan menyelami membuat halaman profil pengguna, membolehkan pengguna mengedit maklumat mereka dan menetapkan semula kata laluan! Nantikan perkembangan yang lebih menarik sambil kami meneruskan perjalanan aplikasi blog Django kami!
Maklum balas anda sentiasa dihargai. Sila kongsi pendapat, soalan atau cadangan anda dalam ulasan di bawah. Jangan lupa like, tinggalkan komen dan langgan untuk mengikuti perkembangan terkini!
Atas ialah kandungan terperinci Panduan untuk Membina Apl Blog Lengkap dengan Django menggunakan Metodologi TDD dan PostgreSQL (Pengesahan Pengguna Bahagian Selamat. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!