[英]Why isn't my password being secured when using a custom user model in Django?
我正在嘗試在 Django 中構建自定義用戶模型。 我的models.py看起來像這樣:
class UserManager(BaseUserManager):
def _create_user(self, username, email, password, is_staff, is_superuser, **extra_fields):
now = timezone.now()
if not username:
raise ValueError(_('The given username must be set'))
if not email:
raise ValueError(_('The given email must be set'))
email = self.normalize_email(email)
user = self.model(
username=username, email=email,
is_staff=is_staff, is_active=False,
is_superuser=is_superuser, last_login=now,
date_joined=now, **extra_fields
)
user.set_password(password)
user.save(using=self._db)
return user
def create_user(self, username, email, password=None, **extra_fields):
return self._create_user(username, email, password, False, False, **extra_fields)
def create_superuser(self, username, email, password, **extra_fields):
user=self._create_user(username, email, password, True, True, **extra_fields)
user.is_active=True
user.save(using=self._db)
return user
class User(AbstractBaseUser, PermissionsMixin):
# Standard fields
username = models.CharField(_('username'), max_length=30, unique=True,
help_text=_('Required. 30 characters or fewer. Letters, numbers and @/./+/-/_ characters'),
validators=[
validators.RegexValidator(re.compile('^[\w.@+-]+$'), _('Enter a valid username.'), _('invalid'))
])
first_name = models.CharField(_('first name'), max_length=30, blank=True, null=True)
last_name = models.CharField(_('last name'), max_length=30, blank=True, null=True)
email = models.EmailField(_('email address'), max_length=255)
is_staff = models.BooleanField(_('staff status'), default=False,
help_text=_('Designates whether the user can log into this admin site.'))
is_active = models.BooleanField(_('active'), default=True,
help_text=_('Designates whether this user should be treated as active. Unselect this instead of deleting accounts.'))
date_joined = models.DateTimeField(_('date joined'), default=timezone.now)
# Custom fields
is_publisher = models.BooleanField(_('publisher status'), default=False)
# User manager
objects = UserManager()
USERNAME_FIELD = 'username'
REQUIRED_FIELDS = ['email']
class Meta:
verbose_name = _('user')
verbose_name_plural = _('users')
def get_full_name(self):
full_name = '%s %s' % (self.first_name, self.last_name)
return full_name.strip()
def get_short_name(self):
return self.first_name
def email_user(self, subject, message, from_email=None):
send_mail(subject, message, from_email, [self.email])
無論如何,如果我使用 createsuperuser 命令創建超級用戶,一切正常:用戶已創建,密碼已正確散列並受到保護。 但是,如果我從管理面板創建用戶,則創建的用戶的密碼會完全暴露。 此外,確認密碼字段沒有顯示,它在 Django 中使用的常規用戶模型中顯示。 我怎么解決這個問題?
另外,是的,我的 settings.py 中有 AUTH_USER_MODEL = 'myapp.User'。
您需要自定義 ModelForm 和 ModelAdmin 來創建/更新用戶模型項。
請參閱: 帶有管理站點的自定義用戶模型
def home(request): if request.method == 'POST': uf = UserForm(request.POST, prefix='user') upf = UserProfileForm(request.POST, prefix='userprofile') if uf.is_valid() * upf.is_valid(): userform = uf.save(commit=False) userform.password = make_password(uf.cleaned_data['password']) userform.save() messages.success(request, 'successful Registration', extra_tags='safe') else: uf = UserForm(prefix='user') return render_to_response('base.html', dict(userform=uf ), context_instance=RequestContext(request))
在您的 views.py 中嘗試使用它並在 forms.py 中嘗試從 django 表單中獲取密碼。 希望這有效
一個沒有自定義代碼的表單,直接訪問password
字段,直接寫在密碼字段上。 不會調用 createuser 或 createsuperuser ,因此永遠不會調用 set_password (默認情況下,ModelForm 在模型中調用save
時調用save
)。 回想一下,寫入用戶密碼並不會寫入安全密碼(這就是createuser
和createsuperuser
set_password
某處調用set_password
的原因)。 為此,請避免直接在字段上書寫,而是調用:
myuserinstance.set_password('new pwd')
# not this:
# myuserinstance.password = 'new pwd'
所以你必須在自定義表單中使用自定義邏輯。 詳見實現; 您會注意到這些表單具有調用 set_password 和 check_password 的自定義邏輯。 順便說一句,Django 中的默認 UserAdmin 分兩步創建用戶:user/password/password_confirm(這樣的密碼創建),然后是整個用戶數據。 有一個非常自定義的實現。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.