為什么在 Django 中使用自定義用戶模型時我的密碼沒有得到保護？

Question

我正在嘗試在 Django 中構建自定義用戶模型。 我的models.py看起來像這樣：

class UserManager(BaseUserManager):

    def _create_user(self, username, email, password, is_staff, is_superuser, **extra_fields):
        now = timezone.now()
        if not username:
            raise ValueError(_('The given username must be set'))
        if not email:
            raise ValueError(_('The given email must be set'))
        email = self.normalize_email(email)
        user = self.model(
            username=username, email=email,
            is_staff=is_staff, is_active=False,
            is_superuser=is_superuser, last_login=now,
            date_joined=now, **extra_fields
        )
        user.set_password(password)
        user.save(using=self._db)
        return user

    def create_user(self, username, email, password=None, **extra_fields):
        return self._create_user(username, email, password, False, False, **extra_fields)

    def create_superuser(self, username, email, password, **extra_fields):
        user=self._create_user(username, email, password, True, True, **extra_fields)
        user.is_active=True
        user.save(using=self._db)
        return user

class User(AbstractBaseUser, PermissionsMixin):
    # Standard fields
    username = models.CharField(_('username'), max_length=30, unique=True,
        help_text=_('Required. 30 characters or fewer. Letters, numbers and @/./+/-/_ characters'),
        validators=[
        validators.RegexValidator(re.compile('^[\w.@+-]+$'), _('Enter a valid username.'), _('invalid'))
    ])
    first_name = models.CharField(_('first name'), max_length=30, blank=True, null=True)
    last_name = models.CharField(_('last name'), max_length=30, blank=True, null=True)
    email = models.EmailField(_('email address'), max_length=255)
    is_staff = models.BooleanField(_('staff status'), default=False,
        help_text=_('Designates whether the user can log into this admin site.'))
    is_active = models.BooleanField(_('active'), default=True,
        help_text=_('Designates whether this user should be treated as active. Unselect this instead of deleting accounts.'))
    date_joined = models.DateTimeField(_('date joined'), default=timezone.now)

    # Custom fields
    is_publisher = models.BooleanField(_('publisher status'), default=False)

    # User manager
    objects = UserManager()

    USERNAME_FIELD = 'username'
    REQUIRED_FIELDS = ['email']

    class Meta:
        verbose_name = _('user')
        verbose_name_plural = _('users')

    def get_full_name(self):
        full_name = '%s %s' % (self.first_name, self.last_name)
        return full_name.strip()

    def get_short_name(self):
        return self.first_name

    def email_user(self, subject, message, from_email=None):
        send_mail(subject, message, from_email, [self.email])

無論如何，如果我使用 createsuperuser 命令創建超級用戶，一切正常：用戶已創建，密碼已正確散列並受到保護。 但是，如果我從管理面板創建用戶，則創建的用戶的密碼會完全暴露。 此外，確認密碼字段沒有顯示，它在 Django 中使用的常規用戶模型中顯示。 我怎么解決這個問題？

另外，是的，我的 settings.py 中有 AUTH_USER_MODEL = 'myapp.User'。

Answer 1

您需要自定義 ModelForm 和 ModelAdmin 來創建/更新用戶模型項。

請參閱： 帶有管理站點的自定義用戶模型

Answer 2

def home(request): if request.method == 'POST': uf = UserForm(request.POST, prefix='user') upf = UserProfileForm(request.POST, prefix='userprofile') if uf.is_valid() * upf.is_valid(): userform = uf.save(commit=False) userform.password = make_password(uf.cleaned_data['password']) userform.save() messages.success(request, 'successful Registration', extra_tags='safe') else: uf = UserForm(prefix='user') return render_to_response('base.html', dict(userform=uf ), context_instance=RequestContext(request))

在您的 views.py 中嘗試使用它並在 forms.py 中嘗試從 django 表單中獲取密碼。 希望這有效

Answer 3

一個沒有自定義代碼的表單，直接訪問password字段，直接寫在密碼字段上。 不會調用 createuser 或 createsuperuser ，因此永遠不會調用 set_password （默認情況下，ModelForm 在模型中調用save時調用save ）。 回想一下，寫入用戶密碼並不會寫入安全密碼（這就是createuser和createsuperuser set_password某處調用set_password的原因）。 為此，請避免直接在字段上書寫，而是調用：

myuserinstance.set_password('new pwd')
# not this:
# myuserinstance.password = 'new pwd'

所以你必須在自定義表單中使用自定義邏輯。 詳見實現； 您會注意到這些表單具有調用 set_password 和 check_password 的自定義邏輯。 順便說一句，Django 中的默認 UserAdmin 分兩步創建用戶：user/password/password_confirm（這樣的密碼創建），然后是整個用戶數據。 有一個非常自定義的實現。