管理認證系統(tǒng)最簡單的方法是通過管理界面。然而，當你需要絕對的控制權的時候，有一些低層 API 需要深入專研，我們將在下面的章節(jié)中討論它們。
創(chuàng)建用戶

使用 create_user 輔助函數(shù)創(chuàng)建用戶:

>>> from django.contrib.auth.models import User
>>> user = User.objects.create_user(username='john',
...         email='jlennon@beatles.com',
...         password='glass onion')

在這里， user 是 User 類的一個實例，準備用于向數(shù)據(jù)庫中存儲數(shù)據(jù)。（create_user()實際上沒有調(diào)用save()）。 create_user() 函數(shù)并沒有在數(shù)據(jù)庫中創(chuàng)建記錄，在保存數(shù)據(jù)之前，你仍然可以繼續(xù)修改它的屬性值。

>>> user.is_staff = True
>>> user.save()

修改密碼

你可以使用 set_password() 來修改密碼：

>>> user = User.objects.get(username='john')
>>> user.set_password('goo goo goo joob')
>>> user.save()

除非你清楚的知道自己在做什么，否則不要直接修改 password 屬性。 其中保存的是密碼的 加入salt的hash值 ，所以不能直接編輯。

一般來說， User 對象的 password 屬性是一個字符串，格式如下：

hashtype$salt$hash

這是哈希類型，salt和哈希本身，用美元符號（$）分隔。

hashtype 是 sha1 （默認）或者 md5 ，它是用來處理單向密碼哈希的算法。 Salt是一個用來加密原始密碼以創(chuàng)建哈希的隨機字符串，例如:

sha1$a1976$a36cc8cbf81742a8fb52e221aaeab48ed7f58ab4

User.set_password() 和 User.check_password() 函數(shù)在后臺處理和檢查這些值。

salt化得哈希值

一次 哈希 是一次單向的加密過程，你能容易地計算出一個給定值的哈希碼，但是幾乎不可能從一個哈希碼解出它的原值。

如果我們以普通文本存儲密碼,任何能進入數(shù)據(jù)庫的人都能輕易的獲取每個人的密碼。 使用哈希方式來存儲密碼相應的減少了數(shù)據(jù)庫泄露密碼的可能。

然而，攻擊者仍然可以使用 暴力破解 使用上百萬個密碼與存儲的值對比來獲取數(shù)據(jù)庫密碼。 這需要花一些時間，但是智能電腦驚人的速度超出了你的想象。

更糟糕的是我們可以公開地得到 rainbow tables （一種暴力密碼破解表）或預備有上百萬哈希密碼值的數(shù)據(jù)庫。 使用rainbow tables可以在幾秒之內(nèi)就能搞定最復雜的一個密碼。

在存儲的hash值的基礎上，加入 salt 值（一個隨機值），增加了密碼的強度，使得破解更加困難。 因為每個密碼的salt值都不相同，這也限制了rainbow table的使用，使得攻擊者只能使用最原始的暴力破解方法。

加入salt值得hash并不是絕對安全的存儲密碼的方法，然而卻是安全和方便之間很好的折衷。
處理注冊

我們可以使用這些底層工具來創(chuàng)建允許用戶注冊的視圖。 最近每個開發(fā)人員都希望實現(xiàn)各自不同的注冊方法，所以Django把寫注冊視圖的工作留給了你。 幸運的是，這很容易。

作為這個事情的最簡化處理, 我們可以提供一個小視圖, 提示一些必須的用戶信息并創(chuàng)建這些用戶。 Django為此提供了可用的內(nèi)置表單, 下面這個例子就使用了這個表單:

from django import forms
from django.contrib.auth.forms import UserCreationForm
from django.http import HttpResponseRedirect
from django.shortcuts import render_to_response

def register(request):
 if request.method == 'POST':
  form = UserCreationForm(request.POST)
  if form.is_valid():
   new_user = form.save()
   return HttpResponseRedirect("/books/")
 else:
  form = UserCreationForm()
 return render_to_response("registration/register.html", {
  'form': form,
 })

這個表單需要一個叫 registration/register.html 的模板。這個模板可能是這樣的：

{% extends "base.html" %}

{% block title %}Create an account{% endblock %}

{% block content %}
 <h1>Create an account</h1>

 <form action="" method="post">
  {{ form.as_p }}
  <input type="submit" value="Create the account">
 </form>
{% endblock %}

最新評論