本文旨在解决django rest framework (drf) 中使用自定义用户模型时常见的登录认证失败问题,特别是“user not found”错误。我们将深入探讨自定义用户模型的正确配置、序列化器的设计原则,并提供一个优化的api视图实现方案,确保`authenticate`函数被正确调用,从而实现稳定可靠的用户登录功能。
引言
在Django REST Framework (DRF) 中构建API时,自定义用户模型(Custom User Model)是常见的需求。然而,在实现用户登录认证功能时,开发者可能会遇到诸如“User not found”的错误,即使AUTH_USER_MODEL已正确配置且用户注册功能正常。本文将通过分析一个典型案例,提供一套清晰的解决方案和最佳实践,帮助您构建健壮的DRF用户认证系统。
理解自定义用户模型 (AppUser)
Django允许我们通过继承AbstractBaseUser和PermissionsMixin来创建高度定制化的用户模型。这提供了极大的灵活性,但也要求我们正确配置相关的管理器和设置。
模型定义 (account/models.py)
在我们的案例中,AppUser模型使用email作为USERNAME_FIELD,并自定义了CustomUserManager来处理用户创建。
# account/models.pyfrom django.contrib.auth.models import AbstractBaseUser, PermissionsMixinfrom django.contrib.auth.base_user import BaseUserManagerfrom django.utils.translation import gettext_lazy as _from django.db import modelsclass CustomUserManager(BaseUserManager): use_in_migrations = True def create_user(self, email, password=None, **extra_fields): if not email: raise ValueError('The Email must be set') email = self.normalize_email(email) user = self.model(email=email, **extra_fields) user.set_password(password) user.save(using=self._db) return user def create_superuser(self, email, password=None, **extra_fields): extra_fields.setdefault('is_staff', True) extra_fields.setdefault('is_superuser', True) # For AppUser, username is required, so we might need to pass it here or make it optional for superuser creation # For simplicity, assuming create_user handles it or we'll add it to REQUIRED_FIELDS if not email: raise ValueError('An email is required.') if not password: raise ValueError('A password is required.') user = self.create_user(email, password, **extra_fields) user.is_superuser = True user.is_staff = True # Ensure superusers are also staff user.save(using=self._db) return userclass AppUser(AbstractBaseUser, PermissionsMixin): user_id = models.AutoField(primary_key=True) email = models.EmailField(max_length=50, unique=True) username = models.CharField(max_length=50) # Note: username is required here is_staff = models.BooleanField(default=False) is_active = models.BooleanField(default=True) USERNAME_FIELD = 'email' REQUIRED_FIELDS = ['username'] # Required when creating a user via createsuperuser or custom management commands objects = CustomUserManager() def __str__(self): return self.username
注意事项:
USERNAME_FIELD 指定了用户登录时使用的唯一标识符(此处为email)。REQUIRED_FIELDS 列表中的字段在通过createsuperuser命令创建用户时是必需的(除了USERNAME_FIELD和password)。CustomUserManager 负责AppUser的创建逻辑,特别是create_user和create_superuser方法。
Django设置 (settings.py)
务必在settings.py中指定自定义用户模型:
# settings.pyAUTH_USER_MODEL = 'account.AppUser'
序列化器设计 (account/serializers.py)
序列化器的主要职责是验证输入数据的格式和结构,以及将Python对象序列化为JSON或从JSON反序列化为Python对象。认证逻辑本身应在视图层处理。
通义听悟
阿里云通义听悟是聚焦音视频内容的工作学习AI助手,依托大模型,帮助用户记录、整理和分析音视频内容,体验用大模型做音视频笔记、整理会议记录。
85 查看详情
用户注册序列化器
UserRegisterSerializer用于处理用户注册,它会调用CustomUserManager的create_user方法。
# account/serializers.pyfrom rest_framework import serializersfrom django.contrib.auth import get_user_modelUserModel = get_user_model()class UserRegisterSerializer(serializers.ModelSerializer): class Meta: model = UserModel fields = ['email', 'username', 'password'] extra_kwargs = {'password': {'write_only': True}} # 密码应只写 def create(self, validated_data): # 使用标准的create方法,而不是create_user user_obj = UserModel.objects.create_user( email=validated_data['email'], password=validated_data['password'], username=validated_data['username'] # 确保username也被传递 ) return user_obj
用户登录序列化器
UserLoginSerializer应仅负责验证登录凭据(邮箱和密码)的格式,而不执行实际的认证操作。认证操作应留给视图层的authenticate函数。
# account/serializers.py# ... (previous imports)class UserLoginSerializer(serializers.Serializer): email = serializers.EmailField() password = serializers.CharField(write_only=True) # 密码应只写 # 移除 validate 方法中的认证逻辑,将其移至视图 # def validate(self, data): # ... (此处的认证逻辑应移除)
登录API视图实现 (account/views.py)
这是解决“User not found”问题的关键部分。authenticate函数应该在API视图中被调用,并且其结果应该被正确处理。
# account/views.pyfrom django.contrib.auth import authenticate, login, logoutfrom rest_framework.authentication import SessionAuthenticationfrom rest_framework.views import APIViewfrom rest_framework.response import Responsefrom rest_framework import permissions, statusfrom .serializers import UserRegisterSerializer, UserLoginSerializer, UserSerializer# from .validations import custom_validation, validate_email, validate_password # 如果需要,保留自定义验证class UserRegister(APIView): permission_classes = (permissions.AllowAny,) def post(self, request): # clean_data = custom_validation(request.data) # 如果有自定义验证,可以先处理 serializer = UserRegisterSerializer(data=request.data) if serializer.is_valid(raise_exception=True): user = serializer.save() # 调用serializer的save方法,它会调用ModelSerializer的create方法 if user: return Response(UserSerializer(user).data, status=status.HTTP_201_CREATED) # 返回用户数据 return Response(serializer.errors, status=status.HTTP_400_BAD_REQUEST)class UserLogin(APIView): permission_classes = (permissions.AllowAny,) authentication_classes = (SessionAuthentication,) # 如果使用Session认证,请保留 def post(self, request): serializer = UserLoginSerializer(data=request.data) serializer.is_valid(raise_exception=True) # 仅验证数据格式 email = serializer.validated_data['email'] password = serializer.validated_data['password'] # 核心:在视图中调用 authenticate user = authenticate(request=request, email=email, password=password) if user is not None: if user.is_active: login(request, user) # 使用Django的login函数进行会话管理 # 返回成功响应,可以包含用户数据或成功消息 return Response({"message": "Login successful", "user": UserSerializer(user).data}, status=status.HTTP_200_OK) else: return Response({"non_field_errors": ["User account is not active."]}, status=status.HTTP_403_FORBIDDEN) else: # 用户不存在或密码不正确 return Response({"non_field_errors": ["Invalid credentials."]}, status=status.HTTP_400_BAD_REQUEST)class UserLogout(APIView): permission_classes = (permissions.AllowAny,) # 允许任何用户登出 authentication_classes = () # 登出通常不需要认证 def post(self, request): logout(request) return Response({"message": "Successfully logged out."}, status=status.HTTP_200_OK)class UserView(APIView): permission_classes = (permissions.IsAuthenticated,) authentication_classes = (SessionAuthentication,) def get(self, request): serializer = UserSerializer(request.user) return Response({'user': serializer.data}, status=status.HTTP_200_OK)
关键改进点:
authenticate位置: 将authenticate(request, email=email, password=password)调用从序列化器中移到UserLogin API视图的post方法中。这是因为authenticate是一个Django认证后端的功能,它应该在视图层被调用以处理实际的用户验证。序列化器职责: UserLoginSerializer现在只负责验证输入数据的格式(邮箱和密码是否有效),而不涉及具体的认证逻辑。错误处理: 根据authenticate的返回值(None或用户对象),提供清晰的错误消息,区分“无效凭据”和“用户账户未激活”等情况。会话管理: 成功认证后,调用login(request, user)来建立用户会话,这对于基于Session的认证至关重要。
总结与注意事项
分离关注点: 始终遵循DRF的最佳实践,将数据验证(序列化器)和业务逻辑(视图)清晰地分离。认证是业务逻辑的一部分,应在视图中处理。authenticate函数: Django的authenticate函数会遍历AUTHENTICATION_BACKENDS中定义的认证后端,尝试验证用户。对于AbstractBaseUser,通常默认的ModelBackend就能很好地工作。AUTH_USER_MODEL: 确保settings.py中AUTH_USER_MODEL的设置指向您的自定义用户模型。任何模型定义更改后,都需要运行python manage.py makemigrations和python manage.py migrate。密码处理: 在序列化器中,将password字段设置为write_only=True是一个良好的安全实践,防止密码在响应中被意外暴露。错误响应: 提供详细且友好的错误响应,帮助前端更好地处理认证失败的情况。例如,区分“用户不存在”和“密码错误”可以提高用户体验。
通过以上优化,您的Django REST Framework自定义用户模型登录认证系统将更加健壮、安全,并易于维护。
以上就是优化Django REST Framework自定义用户模型登录认证流程的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/594323.html
微信扫一扫 
支付宝扫一扫 
