我使用标准的Django视图password_reset_confirm()来重置用户的密码。用户在信件中跟随密码重置链接后,输入新密码,然后查看将他重定向到站点根目录:
urls.py
url(r'^password-reset/confirm/(?P<uidb64>[0-9A-Za-z_\-]+)/(?P<token>[0-9A-Za-z]{1,13}-[0-9A-Za-z]{1,20})/$',
'django.contrib.auth.views.password_reset_confirm', {
'template_name': 'website/auth/password_reset_confirm.html',
'post_reset_redirect': '/',
}, name='password_reset_confirm'),
Django重定向用户后,他未经过身份验证。我不希望他再次输入密码,相反,我想在设置新密码后立即对他进行身份验证。
为了实现此功能,我创建了一个委托视图。它包装标准的并处理其输出。因为标准视图仅在密码重置成功时重定向用户,所以我检查它返回的响应的状态代码,如果它是重定向,则再次从DB检索用户并验证他。
urls.py
url(r'^password-reset/confirm/(?P<uidb64>[0-9A-Za-z_\-]+)/(?P<token>[0-9A-Za-z]{1,13}-[0-9A-Za-z]{1,20})/$',
views.password_reset_confirm_delegate, {
'template_name': 'website/auth/password_reset_confirm.html',
'post_reset_redirect': '/',
}, name='password_reset_confirm'),
views.py
@sensitive_post_parameters()
@never_cache
def password_reset_confirm_delegate(request, **kwargs):
response = password_reset_confirm(request, **kwargs)
# TODO Other way?
if response.status_code == 302:
try:
uid = urlsafe_base64_decode(kwargs['uidb64'])
user = User.objects.get(pk=uid)
except (TypeError, ValueError, OverflowError, User.DoesNotExist):
pass
else:
user = authenticate(username=user.username, passwordless=True)
login(request, user)
return response
backends.py
class PasswordlessAuthBackend(ModelBackend):
"""Log in to Django without providing a password.
"""
def authenticate(self, username, passwordless=False):
if not passwordless:
return None
try:
return User.objects.get(username=username)
except User.DoesNotExist:
return None
def get_user(self, user_id):
try:
return User.objects.get(pk=user_id)
except User.DoesNotExist:
return None
settings.py
AUTHENTICATION_BACKENDS = (
'django.contrib.auth.backends.ModelBackend',
'website.backends.PasswordlessAuthBackend'
)
有没有更好的方法来做到这一点?
答案 0 :(得分:1)
由于password_reset_confirm
不是基于类的视图,因此您无法以任何重要方式对其进行干净地自定义,而无需借助中间件类型的技巧。因此,您正在做的事情似乎是目前最有效的方式。
如果django将request
传递给SetPasswordForm
(类似于DRF如何将request
传递给序列化程序),您可以覆盖表单的save()
以登录然而,那里的用户现在也是不可能的。
您还可以查看将auth实现为基于类的视图的其他第三方库。从快速谷歌搜索,最有希望的是:
auth.views
的完全替换。您可以覆盖form_valid
以验证用户身份。答案 1 :(得分:1)
启动Django 1.11,您可以使用基于类的视图来完成此操作。您需要覆盖password_reset_confirm网址以将post_reset_login=True
和success_url
传递给PasswordResetConfirmView:
urlpatterns += [
url(
r'^reset/(?P<uidb64>[0-9A-Za-z_\-]+)/(?P<token>[0-9A-Za-z]{1,13}-[0-9A-Za-z]{1,20})/$',
views.PasswordResetConfirmView.as_view(
post_reset_login=True,
success_url=reverse_lazy('studygroups_login_redirect')
),
name='password_reset_confirm'
),
]