Сначала разберёмся, что вообще значит "аутентификация". Если говорить простыми словами, это механизм проверки, кто перед нами. Например, если веб-приложение — это элитный ресторан, то аутентификация — это швейцар, проверяющий ваше приглашение. А вот "авторизация" — это определение того, к каким зонам ресторана у вас есть доступ: в VIP-зал, на кухню или в кладовку.
В Django всё устроено достаточно элегантно: аутентифицироваться можно буквально "из коробки". Но как это работает? За кулисами стоит мощная встроенная система, которая управляет пользователями, их данными и процессами их входа, выхода и регистрации. В этой лекции мы разберём основные концепции и возможности этой системы.
Основные концепции аутентификации
Отличие между аутентификацией и авторизацией
Часто эти два термина путают, поэтому важно закрепить отличие:
- Аутентификация — это подтверждение личности пользователя. Например, ввод логина и пароля.
- Авторизация — это предоставление прав доступа. Например, можно ли этому пользователю смотреть страницу аналитики или редактировать базу данных.
Django "из коробки" предоставляет аутентификацию. Авторизацию можно настраивать вручную с помощью декораторов, middleware и кастомных прав.
Встроенная система аутентификации в Django
Django включает мощную встроенную систему, которая по сути экономит вам массу времени (и нервов). Используя её, вы получаете:
- Готовую модель пользователя (User) для хранения информации о пользователе.
- Удобные функции для аутентификации — вход, выход, проверка авторизации.
- Средства для проверки паролей и их безопасного хранения (с использованием хэшей).
Модель пользователя: User
Django встроил довольно универсальную модель пользователя, User, которая находится в модуле django.contrib.auth.models. Вот основные её поля:
username, password, email, first_name, last_name
Дополнительно, у неё есть методы, которыми вы будете пользоваться чаще всего:
is_authenticated— проверяет, залогинен пользователь или нет.set_password(raw_password)— шифрует и сохраняет пароль в безопасном формате.check_password(raw_password)— проверяет, соответствует ли введённый пароль тому, что в базе.
Вы можете проверить всё прямо через shell:
$ python manage.py shell
Попробуем создать пользователя:
from django.contrib.auth.models import User
# Создание пользователя
user = User.objects.create_user(username='john_doe', password='securepassword123', email='john@example.com')
# Проверка созданного пользователя
print(user.username) # john_doe
print(user.is_authenticated) # False (пока не вошёл)
# Проверка пароля
print(user.check_password('securepassword123')) # TrueОсобенности встроенной системы аутентификации
Система аутентификации в Django выгодно выделяется своим дизайном:
- Поддержка сессий: когда пользователь входит в систему, его данные сохраняются в сессии. Вы можете управлять этим через
SESSION_COOKIE_AGEв настройках. - Бэкенды аутентификации: Django позволяет определять свой способ проверки данных (например, если нужно аутентифицировать пользователей через внешние API или LDAP).
- Менеджеры пользователей: модель
Userиспользует специальный менеджер,UserManager, который содержит удобные методы для создания пользователей (create_user()иcreate_superuser()).
Архитектура системы аутентификации
Давайте немного углубимся в то, как всё это работает внутри. Когда пользователь входит в систему, Django взаимодействует с несколькими ключевыми элементами:
Модель пользователя (User).
- Это база данных, где хранятся все учетные записи.
Аутентификационные бэкенды (Authentication Backends).
- Это "механизмы", которые проверяют, соответствует ли введённый пароль указанному пользователю.
- Django по умолчанию использует
ModelBackend, который работает с модельюUser.
Менеджеры пользователей.
- Менеджеры — это специальные классы, которые содержат удобные методы для управления пользователями (например, быстрое создание суперпользователя).
Middleware для аутентификации.
- Middleware обрабатывает аутентификацию на уровне запросов (например, решает, доступен ли текущему пользователю запрашиваемый ресурс).
Всё это хорошо иллюстрируется следующей схемой:
[HTTP-запрос] -> [Middleware] -> [Authentication Backend] -> [User Model]
Пример работы с аутентификационным бэкендом
Скажем, вы хотите использовать авторизацию по email, а не по username. Для этого вам нужно настроить кастомный бэкенд. Вот пример:
from django.contrib.auth.backends import BaseBackend
from django.contrib.auth.models import User
class EmailBackend(BaseBackend):
def authenticate(self, request, username=None, password=None, **kwargs):
try:
user = User.objects.get(email=username)
if user.check_password(password):
return user
except User.DoesNotExist:
return None
def get_user(self, user_id):
try:
return User.objects.get(pk=user_id)
except User.DoesNotExist:
return NoneДобавьте этот бэкенд в настройки AUTHENTICATION_BACKENDS:
AUTHENTICATION_BACKENDS = ['path.to.EmailBackend']
Теперь ваш вход в систему будет проверять email вместо username.
Настройка сессий
Django использует сессии для хранения информации о вошедшем пользователе. Каждый раз, когда пользователь проходит аутентификацию, создаётся сессионный файл. Настроить сессии можно в settings.py. Например:
# Время жизни сессии в секундах (одна неделя)
SESSION_COOKIE_AGE = 7 * 24 * 60 * 60Практическое применение навыков
Теперь вы можете понять, какие возможности предлагает система аутентификации и как её использовать. Эти знания пригодятся вам в:
- Построении защищённых веб-приложений. От простой страницы логина до сложных систем с правами доступа.
- Создании кастомных решений для бизнеса. Например, поддержка входа через соцсети или API.
- Прохождении собеседований. Вопросы на тему аутентификации — довольно популярная штука.
Осталось только воплотить всё это в коде, и вы будете готовы углубляться в создание страниц входа, регистрации и других крутых штук, которые мы разберём в следующих лекциях!
ПЕРЕЙДИТЕ В ПОЛНУЮ ВЕРСИЮ