在Django中重置密码后验证用户

时间:2015-01-18 13:46:03

标签: django django-authentication

我使用标准的Django视图password_reset_confirm()来重置用户的密码。用户在信件中跟随密码重置链接后,输入新密码,然后查看将他重定向到站点根目录:

urls.py

url(r'^password-reset/confirm/(?P<uidb64>[0-9A-Za-z_\-]+)/(?P<token>[0-9A-Za-z]{1,13}-[0-9A-Za-z]{1,20})/$',
        'django.contrib.auth.views.password_reset_confirm', {
        'template_name': 'website/auth/password_reset_confirm.html',
        'post_reset_redirect': '/',
    }, name='password_reset_confirm'),

Django重定向用户后,他未经过身份验证。我不希望他再次输入密码,相反,我想在设置新密码后立即对他进行身份验证。

为了实现此功能,我创建了一个委托视图。它包装标准的并处理其输出。因为标准视图仅在密码重置成功时重定向用户,所以我检查它返回的响应的状态代码,如果它是重定向,则再次从DB检索用户并验证他。

urls.py

url(r'^password-reset/confirm/(?P<uidb64>[0-9A-Za-z_\-]+)/(?P<token>[0-9A-Za-z]{1,13}-[0-9A-Za-z]{1,20})/$',
        views.password_reset_confirm_delegate, {
        'template_name': 'website/auth/password_reset_confirm.html',
        'post_reset_redirect': '/',
    }, name='password_reset_confirm'),

views.py

@sensitive_post_parameters()
@never_cache
def password_reset_confirm_delegate(request, **kwargs):
    response = password_reset_confirm(request, **kwargs)
    # TODO Other way?
    if response.status_code == 302:
        try:
            uid = urlsafe_base64_decode(kwargs['uidb64'])
            user = User.objects.get(pk=uid)
        except (TypeError, ValueError, OverflowError, User.DoesNotExist):
            pass
        else:
            user = authenticate(username=user.username, passwordless=True)
            login(request, user)
    return response

backends.py

class PasswordlessAuthBackend(ModelBackend):
    """Log in to Django without providing a password.

    """
    def authenticate(self, username, passwordless=False):
        if not passwordless:
            return None
        try:
            return User.objects.get(username=username)
        except User.DoesNotExist:
            return None

    def get_user(self, user_id):
        try:
            return User.objects.get(pk=user_id)
        except User.DoesNotExist:
            return None

settings.py

AUTHENTICATION_BACKENDS = (
    'django.contrib.auth.backends.ModelBackend',
    'website.backends.PasswordlessAuthBackend'
)

有没有更好的方法来做到这一点?

2 个答案:

答案 0 :(得分:1)

Vanilla Django

由于password_reset_confirm不是基于类的视图,因此您无法以任何重要方式对其进行干净地自定义,而无需借助中间件类型的技巧。因此,您正在做的事情似乎是目前最有效的方式。

如果django将request传递给SetPasswordForm(类似于DRF如何将request传递给序列化程序),您可以覆盖表单的save()以登录然而,那里的用户现在也是不可能的。

第三方套餐

您还可以查看将auth实现为基于类的视图的其他第三方库。从快速谷歌搜索,最有希望的是:

答案 1 :(得分:1)

启动Django 1.11,您可以使用基于类的视图来完成此操作。您需要覆盖password_reset_confirm网址以将post_reset_login=Truesuccess_url传递给PasswordResetConfirmView

urlpatterns += [
 url(
   r'^reset/(?P<uidb64>[0-9A-Za-z_\-]+)/(?P<token>[0-9A-Za-z]{1,13}-[0-9A-Za-z]{1,20})/$',
    views.PasswordResetConfirmView.as_view(
      post_reset_login=True,
      success_url=reverse_lazy('studygroups_login_redirect')
    ),
    name='password_reset_confirm'
  ),
]