Джанго: настройка @login_required декоратор
Я хочу начать частную бета-версию своего сайта. У меня есть страница-заставка, где пользователь может ввести код, чтобы затем получить доступ к остальной части сайта. В настоящее время все остальные страницы сайта (кроме страницы-заставки) состоят из серии переадресаций, которые устанавливаются путем входа пользователя в систему (через декоратор @login_required).
Я хочу, чтобы вошедшие в систему пользователи и люди, которые вводят код бета-тестера, имели доступ к остальной части сайта. Это означает, что я не могу просто использовать декоратор для всех моих просмотров.
Должен ли я изменить сам декоратор @login_required? Я более склонен сделать следующее (я добавил переменную сеанса, если пользователь вводит правильный код на заставке).
Это кажется разумным? Я бы не хотел повторять это для всех моих взглядов
4 ответа
Я хотел бы создать гостевую учетную запись и войти в систему людей, которые вводят код бета-тестера для этой учетной записи. Что-то в этом роде:
Как только ваша бета будет завершена, просто отключите заставку.
Я бы рекомендовал вместо этого использовать промежуточное программное обеспечение. Это облегчит удаление, когда вы выйдете из своей частной беты. Есть несколько примеров промежуточного программного обеспечения, необходимого для входа в систему на djangonsippets:
Я бы порекомендовал взять один из них и настроить его, чтобы включить в него логику бета-кода.
КАК повторно использовать (настроить) внутренний Django login_required
Документация Django 1.8
Этот раздел описывает использование аутентификации пользователя в Django с конфигурацией по умолчанию. Эта конфигурация покрывает требования большинства проектов, предоставляет надежный механизм работы с паролями и правами. Для проектов, которые требуют другой механизм авторизации, Django предоставляет возможность настроить механизм авторизации.
Django предоставляет возможности аутентификации и авторизации пользователей, обычно этот механизм называют системой аутентификации, т.к. эти функции связаны.
Объект пользователя¶
Основные атрибуты пользователя:
Создание пользователей¶
Самый простой способ создать пользователя – использовать метод create_user() :
Если вы используете интерфейс администратора Django, вы можете создать пользователя через UI.
Создание суперпользователя¶
Суперпользователя можно создать с помощью команды createsuperuser :
Смена пароля¶
Django не хранит пароль в открытом виде, хранится только хеш (смотрите раздел о работе с паролями). Поэтому не советуем менять пароль напрямую. Именно по этой причине пользователь создается через специальную функцию.
Пароль можно сменить несколькими способами:
Вы можете изменить пароль программно, используя метод set_password() :
Если вы используете интерфейс администратора Django, вы можете изменить пароль, используя админку.
Django также предоставляет представления и формы, которые можно использовать при создании страниц для смены пароля пользователем.
Аутентификация пользователей¶
Права доступа и авторизация¶
Django предоставляет простую систему проверки прав. Она позволяет добавлять права пользователю или группе пользователей.
Эта система используется админкой Django, но вы можете использовать её и в своем коде.
Админка использует проверку прав следующим образом:
При доступе к странице добавления объекта проверяется наличие права “add” для объектов этого типа.
При доступе к страницам просмотра списка объектов и изменения объекта проверяется наличие права “change” для объектов этого типа.
При удалении объекта проверяется наличие права “delete” для объектов этого типа.
Права доступа по умолчанию¶
Группы¶
Программное создание прав доступа¶
Кроме добавления своих прав доступа через класс Meta модели, вы также можете создать их напрямую. Например, создадим право доступа can_publish для модели BlogPost в приложении myapp :
Кеширование прав доступа¶
Аутентификация в запросах¶
Различить их можно с помощью метода is_authenticated() :
Как авторизовать пользователя¶
Следует отметить, что любые данные установленные в анонимной сессии будут сохранены в сессии пользователя после его авторизации.
Сначала вызывайте authenticate()
Как отменить авторизацию пользователя¶
Ограничение доступа для неавторизованных пользователей¶
Прямой путь¶
. или отображение сообщения об ошибке:
Декоратор login_required¶
Для краткости кода вы можете использовать декоратор login_required() :
Если пользователь авторизован, то выполняет код представления. В коде представления не требуется выполнять проверку авторизован ли пользователь или нет.
По умолчанию, в параметре «next» строки запроса хранится путь, по которому должен быть перенаправлен пользователь в результате успешной аутентификации. Если вам потребуется использовать другое имя для этого параметра, то воспользуйтесь необязательным аргументом redirect_field_name декоратора login_required() :
Ограничение доступа для авторизованных пользователей с помощью дополнительной проверки¶
Для ограничения доступа пользователям на основе определённых прав или какой-либо другой проверке, вам следует выполнять те же действия, что описаны выше.
Декоратор permission_required¶
Довольно частой задачей является проверка наличия определённого права у пользователя. Для решения этой задачи Django предоставляет удобный декоратор permission_required() :
codename>» (т.е., polls.can_vote для права на модель в приложении polls ).
Проверка права в базовых представлениях¶
Сброс сессии при изменении пароля¶
Данная функция принимает текущий запрос и обновлённый объект пользователя из которого будет извлечён новый хэш сессии и соответственно обновляет хэш сессии. Пример использования:
Представления аутентификации¶
Django предоставляет несколько представлений, с помощью которых вы можете осуществлять управление авторизацией пользователей и их паролями. Представления используют ряд соответствующих форм, но вы можете передавать и свои формы.
Django не предоставляет стандартного шаблона для представлений аутентификации. Вы должны создать свой собственный шаблон для представлений, которые планируете использовать. Шаблонный контекст описан в каждом представлении, обратитесь к Все представления для аутентификации.
Использование представлений¶
Существует несколько разных методов для реализации данных представлений в вашем проекте. Самым простым способом будет подключение схемы URL из django.contrib.auth.urls в вашу схему, например:
Это действие добавить следующие шаблоны URL:
Представления добавляют имя для URL для упрощения ссылок на них. Обратитесь к документации на URL для получения детальной информации по использованию именованных шаблонов URL.
Если вам требуется больше контроля над вашими URL, вы можете указывать специальное представление в вашей схеме URL:
Все представления для аутентификации¶
Имя URL: login
Обратитесь к документации на URL для получения информации по использованию именованных шаблонов URL.
Необязательные аргументы:
current_app : Подсказка, указывающая на приложение к которому принадлежит текущее представление. Обратитесь к стратегии разрешения URL пространства имён для получения подробностей.
extra_context : Словарь с контекстными данными, которые будут добавлены в текущий контекст, перед его передачей в шаблон.
Вот, что делает представление django.contrib.auth.views.login :
next : URL, на который будет осуществлено перенаправление после успешной авторизации. Можно также передавать строку запроса.
Отмена авторизации пользователя.
Имя URL: logout
Необязательные аргументы:
next_page : URL, на который будет осуществлено перенаправление.
current_app : Подсказка, указывающая на приложение к которому принадлежит текущее представление. Обратитесь к стратегии разрешения URL пространства имён для получения подробностей.
extra_context : Словарь с контекстными данными, которые будут добавлены в текущий контекст, перед его передачей в шаблон.
Контекст шаблона:
title : Локализованная строка “Logged out”.
current_app : Подсказка, указывающая на приложение к которому принадлежит текущее представление. Обратитесь к стратегии разрешения URL пространства имён для получения подробностей.
extra_context : Словарь с контекстными данными, которые будут добавлены в текущий контекст, перед его передачей в шаблон.
Отменяет авторизацию пользователя, затем перенаправляет на страницу авторизации.
Имя URL: Значения по умолчанию нет
Необязательные аргументы:
current_app : Подсказка, указывающая на приложение к которому принадлежит текущее представление. Обратитесь к стратегии разрешения URL пространства имён для получения подробностей.
extra_context : Словарь с контекстными данными, которые будут добавлены в текущий контекст, перед его передачей в шаблон.
Позволяет пользователю изменить его пароль.
Имя URL: password_change
Необязательные аргументы:
post_change_redirect : URL, на который будет производится перенаправление после успешного изменения пароля.
current_app : Подсказка, указывающая на приложение к которому принадлежит текущее представление. Обратитесь к стратегии разрешения URL пространства имён для получения подробностей.
extra_context : Словарь с контекстными данными, которые будут добавлены в текущий контекст, перед его передачей в шаблон.
Контекст шаблона:
form : Форма для изменения пароля (обратитесь к password_change_form выше).
Страница, отображаемая после того, как пользователь изменил свой пароль.
Имя URL: password_change_done
Необязательные аргументы:
current_app : Подсказка, указывающая на приложение к которому принадлежит текущее представление. Обратитесь к стратегии разрешения URL пространства имён для получения подробностей.
extra_context : Словарь с контекстными данными, которые будут добавлены в текущий контекст, перед его передачей в шаблон.
Позволяет пользователю сбросить свой пароль, генерируя одноразовую ссылку, которая может быть использована для сброса пароля, и отправляя её на зарегистрированную электронную почто пользователя.
Пользователь, отмеченный флагом отменённого пароля (см. set_unusable_password() ), не может запросить сброс пароля. Так сделано, чтобы предотвратить неправильное использование при работе с внешними источниками аутентификации, например, с LDAP. Следует отметить, что они не получат никаких сообщений об ошибках, так как это вскрыло бы наличие аккаунта, и никакого сообщения на почту не будет отправлено.
Имя URL: password_reset
Необязательные аргументы:
post_reset_redirect : URL, на который будет произведено перенаправление после успешного запроса на сброс пароля.
current_app : Подсказка, указывающая на приложение к которому принадлежит текущее представление. Обратитесь к стратегии разрешения URL пространства имён для получения подробностей.
extra_context : Словарь с контекстными данными, которые будут добавлены в текущий контекст, перед его передачей в шаблон.
html_email_template_name : Путь до шаблона, который будет использоваться при генерации text/html блока электронного сообщения с ссылкой для сброса пароля. По умолчанию, сообщение в формате HTML не отправляется.
Не рекомендуется, начиная с версии 1.8: Аргумент is_admin_site устарел и будет удалён в Django 2.0.
Контекст шаблона:
form : Форма (смотрите password_reset_form выше) для сброса пароля пользователя.
Контекст шаблона электронной почты:
email : Псевдоним для user.email
protocol : http или https
uid : Первичный ключ пользователя, закодированный в base 64.
token : Токен для проверки корректности ссылки для сброса пароля.
Пример registration/password_reset_email.html (шаблон тела письма):
Такой же контекст используется для шаблона заголовка сообщения. Заголовок должен быть представлен одной строкой простого текста.
Имя URL: password_reset_done
Если предоставленный адрес электронной почты не существует в системе, пользователь не активирован или имеет деактивированный пароль, то пользователь будет перенаправляться на это представление, но никаких писем ему отправляться не будет.
Необязательные аргументы:
current_app : Подсказка, указывающая на приложение к которому принадлежит текущее представление. Обратитесь к стратегии разрешения URL пространства имён для получения подробностей.
extra_context : Словарь с контекстными данными, которые будут добавлены в текущий контекст, перед его передачей в шаблон.
Представляет форму для ввода нового пароля.
Имя URL: password_reset_confirm
Необязательные аргументы:
current_app : Подсказка, указывающая на приложение к которому принадлежит текущее представление. Обратитесь к стратегии разрешения URL пространства имён для получения подробностей.
extra_context : Словарь с контекстными данными, которые будут добавлены в текущий контекст, перед его передачей в шаблон.
Контекст шаблона:
form : Форма (см. set_password_form выше) для установки нового пароля для пользователя.
validlink : Булево значение. True, если ссылка (комбинация uidb64 и token ) корректна и не была ещё использована.
Представление, которое информирует пользователя об успешном изменении пароля.
Имя URL: password_reset_complete
Необязательные аргументы:
current_app : Подсказка, указывающая на приложение к которому принадлежит текущее представление. Обратитесь к стратегии разрешения URL пространства имён для получения подробностей.
extra_context : Словарь с контекстными данными, которые будут добавлены в текущий контекст, перед его передачей в шаблон.
Вспомогательные функции¶
Перенаправляет на страницу аутентификации и, в случае её успешного прохождения, затем перебрасывает на другой URL.
Обязательные аргументы:
next : URL на который происходит перенаправление после успешной авторизации.
Необязательные аргументы:
Встроенные формы¶
Если вы не желаете использовать встроенные представления, но и формы переписывать не хотите, то система аутентификации предоставляет несколько встроенных форм, расположенных в django.contrib.auth.forms :
Встроенные формы делают некоторые предположения о модели пользователя, с которой они работают. Если вы используете собственную модель пользователя, может потребоваться определить собственные формы для системы аутентификации. Больше информации можно получить в документации на использование встроенных форм аутентификации для собственной модели пользователя.
Форма, используемая в интерфейса администратора, для изменения пароля пользователя.
Принимает user в качестве первого неименованного параметра.
Форма для аутентификации пользователя.
Принимает request в качестве первого неименованного аргумента, который сохраняется в экземпляре формы для использования подклассами.
Например, позволяем всем пользователям проходить аутентификацию, невзирая на их статус активности:
Или позволяем только некоторым активным пользователям проходить аутентификацию:
Форма, через которую пользователь может менять свой пароль.
Форма для генерации и отправки одноразовой ссылки для сброса пользовательского пароля.
Форма, которая позволяет пользователю изменять свой пароль без ввода старого пароля.
Форма, используемая в интерфейсе администратора для изменения информации о пользователе и его списка прав.
Форма для создания нового пользователя.
Аутентификационные данные в шаблонах¶
Пользователи¶
Права¶
Таким образом вы можете проверять права в шаблонном выражении :
Управление пользователями в интерфейсе администратора¶
Создание пользователей¶
Вы должны видеть сылку на “Пользователи” в разделе “Auth” на главной странице интерфейса администратора. Страница “Добавить пользователя” отличается от других страниц интерфейса, так как она требует, чтобы вы ввели имя пользователя и пароль перед тем как дать вам возможность редактировать остальные поля модели.
Также следует отметить, что если вам нужен пользоватедль, который бы позволил создавать пользователей с помощью интерфейса администратора, вам следует дать ему право на добавление пользователей и право на изменение пользователей (т.е., права “Добавить пользователя” и “Изменить пользователя”). Если пользователь обладает правом создания пользователей, но не имеет права на их редактирование, тогда он не сможет создавать пользователей. Почему? Потому что, если у вас есть право на создание пользователей, у вас есть возможность создать суперпользователей, которые могут в свою очередь, изменять других пользователей. Таким образом, Django требует наличие прав на добавление и изменение пользователей в целях безопасности.
Продумайте как вы позволяете управлять правами. Если вы предоставите обычному пользователю право на редактирование пользователей, это будет означать то же самое, что и предоставление ему прав суперпользователя, так как он сможет повысить права пользователей, включая себя!
Изменение паролей¶
Пароли пользователей не отображаются на интерфейсе администратора (и не сохраняются в базе данных), но отображаются детали хранилища пароля. Рядом с этой информацией находится ссылка на форму изменения пароля, которая позволяет администраторам изменять пароли пользователей.
Переводы пользователей
Добавлены профессиональными переводчиками и компаниями и на основе веб-страниц и открытых баз переводов.
Английский
Русский
Информация
Английский
Русский
Последнее обновление: 2018-02-21
Частота использования: 1
Качество:
Английский
Русский
Последнее обновление: 2018-02-21
Частота использования: 1
Качество:
Английский
Русский
Нет необходимости во входе
Последнее обновление: 2011-10-23
Частота использования: 1
Качество:
Английский
Русский
не требует регистрации
Последнее обновление: 2018-02-21
Частота использования: 1
Качество:
Английский
actions (login required)
Русский
Последнее обновление: 2018-02-21
Частота использования: 1
Качество:
Английский
actions (login required)
Русский
actions (login required)
Последнее обновление: 2018-02-21
Частота использования: 1
Качество:
Английский
Русский
Последнее обновление: 2013-06-20
Частота использования: 7
Качество:
Источник: Translated.com
Английский
Русский
Последнее обновление: 2018-02-21
Частота использования: 5
Качество:
Источник: Translated.com
Английский
Русский
Последнее обновление: 2018-02-21
Частота использования: 4
Качество:
Источник: Translated.com
Английский
Русский
Последнее обновление: 2018-02-21
Частота использования: 2
Качество:
Источник: Translated.com
Английский
Русский
Последнее обновление: 2018-02-21
Частота использования: 1
Качество:
Источник: Translated.com
Английский
Русский
Последнее обновление: 2018-02-21
Частота использования: 1
Качество:
Источник: Translated.com
Английский
Русский
Последнее обновление: 2018-02-21
Частота использования: 1
Качество:
Источник: Translated.com
Английский
Русский
Последнее обновление: 2018-02-21
Частота использования: 1
Качество:
Источник: Translated.com
Английский
Русский
Последнее обновление: 2018-02-21
Частота использования: 1
Качество:
Источник: Translated.com
Английский
Русский
Последнее обновление: 2018-02-21
Частота использования: 1
Качество:
Источник: Translated.com
Английский
Русский
Последнее обновление: 2018-02-21
Частота использования: 1
Качество:
Источник: Translated.com
Английский
Русский
Последнее обновление: 2018-02-21
Частота использования: 1
Качество:
Источник: Translated.com
Английский
Русский
Последнее обновление: 2018-02-21
Частота использования: 1
Качество:
Источник: Translated.com
Английский
Русский
Последнее обновление: 2018-02-21
Частота использования: 1
Качество:
Источник: Translated.com
Получите качественный перевод благодаря усилиям
4,401,923,520 пользователей
Сейчас пользователи ищут:
MyMemory — крупнейшая в мире память переводов. Она была создана на основе систем памяти переводов Европейского Союза, Организации Объединенных Наций и ведущих специализированных многоязычных сайтов из разных отраслей.
Мы относимся к Translated, так что, если вам нужны услуги профессионального перевода, посетите наш основной сайт.
Ошибка сервера 401: что это за ошибка и как ее исправить
Появление сообщения об ошибке 401 Unauthorized Error («отказ в доступе») при открытии страницы сайта означает неверную авторизацию или аутентификацию пользователя на стороне сервера при обращении к определенному url-адресу. Чаще всего она возникает при ошибочном вводе имени и/или пароля посетителем ресурса при входе в свой аккаунт. Другой причиной являются неправильные настройки, допущенные при администрировании web-ресурса. Данная ошибка отображается в браузере в виде отдельной страницы с соответствующим описанием. Некоторые разработчики интернет-ресурсов, в особенности крупных порталов, вводят собственную дополнительную кодировку данного сбоя:
Попробуем разобраться с наиболее распространенными причинами возникновения данной ошибки кода HTTP-соединения и обсудим способы их решения.
Причины появления ошибки сервера 401 и способы ее устранения на стороне пользователя
При доступе к некоторым сайтам (или отдельным страницам этих сайтов), посетитель должен пройти определенные этапы получения прав:
Большинство пользователей сохраняют свои данные по умолчанию в истории браузеров, что позволяет быстро идентифицироваться на наиболее часто посещаемых страницах и синхронизировать настройки между устройствами. Данный способ удобен для серфинга в интернете, но может привести к проблемам с безопасностью доступа к конфиденциальной информации. При наличии большого количества авторизованных регистрационных данных к различным сайтам используйте надежный мастер-пароль, который закрывает доступ к сохраненной в браузере информации.
Наиболее распространенной причиной появления ошибки с кодом 401 для рядового пользователя является ввод неверных данных при посещении определенного ресурса. В этом и других случаях нужно попробовать сделать следующее:
Некоторые крупные интернет-ресурсы с большим количеством подписчиков используют дополнительные настройки для обеспечения безопасности доступа. К примеру, ваш аккаунт может быть заблокирован при многократных попытках неудачной авторизации. Слишком частые попытки законнектиться могут быть восприняты как действия бота. В этом случае вы увидите соответствующее сообщение, но можете быть просто переадресованы на страницу с кодом 401. Свяжитесь с администратором сайта и решите проблему.
Иногда простая перезагрузка проблемной страницы, выход из текущей сессии или использование другого веб-браузера полностью решают проблему с 401 ошибкой авторизации.
Устранение ошибки 401 администратором веб-ресурса
Для владельцев сайтов, столкнувшихся с появлением ошибки отказа доступа 401, решить ее порою намного сложнее, чем обычному посетителю ресурса. Есть несколько рекомендаций, которые помогут в этом:
Где в поле /oldpage.html прописывается адрес проблемной страницы, а в http://site.com/newpage.html адрес страницы авторизации.
Таким образом вы перенаправите пользователей со всех страниц, которые выдают ошибку 401, на страницу начальной авторизации.
Хотя ошибка 401 и является проблемой на стороне клиента, ошибка пользователя на стороне сервера может привести к ложному требованию входа в систему. К примеру, сетевой администратор разрешит аутентификацию входа в систему всем пользователям, даже если это не требуется. В таком случае сообщение о несанкционированном доступе будет отображаться для всех, кто посещает сайт. Баг устраняется внесением соответствующих изменений в настройки.
Дополнительная информация об ошибке с кодом 401
Веб-серверы под управлением Microsoft IIS могут предоставить дополнительные данные об ошибке 401 Unauthorized в виде второго ряда цифр:
Более подробную информацию об ошибке сервера 401 при использовании обычной проверки подлинности для подключения к веб-узлу, который размещен в службе MS IIS, смотрите здесь.
Следующие сообщения также являются ошибками на стороне клиента и относятся к 401 ошибке:
Как видим, появление ошибки авторизации 401 Unauthorized не является критичным для рядового посетителя сайта и чаще всего устраняется самыми простыми способами. В более сложной ситуации оказываются администраторы и владельцы интернет-ресурсов, но и они в 100% случаев разберутся с данным багом путем изменения настроек или корректировки html-кода с привлечением разработчика сайта.
