管理認證系統最簡單的方法是通過管理界面。然而，當你需要絕對的控制權的時候，有一些低層 API 需要深入專研，我們將在下面的章節(jié)中討論它們。
創(chuàng)建用戶

使用 create_user 輔助函數創(chuàng)建用戶:

>>> from django.contrib.auth.models import User
>>> user = User.objects.create_user(username='john',
...         email='jlennon@beatles.com',
...         password='glass onion')

在這里， user 是 User 類的一個實例，準備用于向數據庫中存儲數據。（create_user()實際上沒有調用save()）。 create_user() 函數并沒有在數據庫中創(chuàng)建記錄，在保存數據之前，你仍然可以繼續(xù)修改它的屬性值。

>>> user.is_staff = True
>>> user.save()

修改密碼

你可以使用 set_password() 來修改密碼：

>>> user = User.objects.get(username='john')
>>> user.set_password('goo goo goo joob')
>>> user.save()

除非你清楚的知道自己在做什么，否則不要直接修改 password 屬性。 其中保存的是密碼的 加入salt的hash值 ，所以不能直接編輯。

一般來說， User 對象的 password 屬性是一個字符串，格式如下：

hashtype$salt$hash

這是哈希類型，salt和哈希本身，用美元符號（$）分隔。

hashtype 是 sha1 （默認）或者 md5 ，它是用來處理單向密碼哈希的算法。 Salt是一個用來加密原始密碼以創(chuàng)建哈希的隨機字符串，例如:

sha1$a1976$a36cc8cbf81742a8fb52e221aaeab48ed7f58ab4

User.set_password() 和 User.check_password() 函數在后臺處理和檢查這些值。

salt化得哈希值

一次 哈希 是一次單向的加密過程，你能容易地計算出一個給定值的哈希碼，但是幾乎不可能從一個哈希碼解出它的原值。

如果我們以普通文本存儲密碼,任何能進入數據庫的人都能輕易的獲取每個人的密碼。 使用哈希方式來存儲密碼相應的減少了數據庫泄露密碼的可能。

然而，攻擊者仍然可以使用 暴力破解 使用上百萬個密碼與存儲的值對比來獲取數據庫密碼。 這需要花一些時間，但是智能電腦驚人的速度超出了你的想象。

更糟糕的是我們可以公開地得到 rainbow tables （一種暴力密碼破解表）或預備有上百萬哈希密碼值的數據庫。 使用rainbow tables可以在幾秒之內就能搞定最復雜的一個密碼。

在存儲的hash值的基礎上，加入 salt 值（一個隨機值），增加了密碼的強度，使得破解更加困難。 因為每個密碼的salt值都不相同，這也限制了rainbow table的使用，使得攻擊者只能使用最原始的暴力破解方法。

加入salt值得hash并不是絕對安全的存儲密碼的方法，然而卻是安全和方便之間很好的折衷。
處理注冊

我們可以使用這些底層工具來創(chuàng)建允許用戶注冊的視圖。 最近每個開發(fā)人員都希望實現各自不同的注冊方法，所以Django把寫注冊視圖的工作留給了你。 幸運的是，這很容易。

作為這個事情的最簡化處理, 我們可以提供一個小視圖, 提示一些必須的用戶信息并創(chuàng)建這些用戶。 Django為此提供了可用的內置表單, 下面這個例子就使用了這個表單:

from django import forms
from django.contrib.auth.forms import UserCreationForm
from django.http import HttpResponseRedirect
from django.shortcuts import render_to_response

def register(request):
 if request.method == 'POST':
  form = UserCreationForm(request.POST)
  if form.is_valid():
   new_user = form.save()
   return HttpResponseRedirect("/books/")
 else:
  form = UserCreationForm()
 return render_to_response("registration/register.html", {
  'form': form,
 })

這個表單需要一個叫 registration/register.html 的模板。這個模板可能是這樣的：

{% extends "base.html" %}

{% block title %}Create an account{% endblock %}

{% block content %}
 <h1>Create an account</h1>

 <form action="" method="post">
  {{ form.as_p }}
  <input type="submit" value="Create the account">
 </form>
{% endblock %}

最新評論