Использование системы аутентификации пользователя¶

Когда пользователь входит в систему, идентификатор пользователя и серверная часть, которая использовалась для аутентификации, сохраняются в сеансе пользователя. Это позволяет тому же серверу аутентификации получать данные пользователя при будущем запросе. Серверная часть аутентификации для сохранения в сеансе выбирается следующим образом:

1. Используйте значение необязательного аргумента backend, если он предусмотрен.

2. Используйте значение атрибута user.backend, если он присутствует. Это позволяет объединить authenticate() и login(): authenticate() устанавливает атрибут user.backend для возвращаемого пользовательского объекта.

3. Используйте backend в AUTHENTICATION_BACKENDS, если он только один.

4. В противном случае вызовите исключение.

В случаях 1 и 2 значение аргумента backend или атрибута user.backend должно быть строкой пути импорта, разделенной точками (например, в AUTHENTICATION_BACKENDS), а не фактическим серверным классом.

Прямой путь¶

Самым простым способом ограничить доступ к страницам является использование метода request.user.is_authenticated() и, при необходимости, перенаправление на страницу авторизации:

from django.conf import settings
from django.shortcuts import redirect


def my_view(request):
    if not request.user.is_authenticated:
        return redirect(f"{settings.LOGIN_URL}?next={request.path}")
    # ...

… или отображение сообщения об ошибке:

from django.shortcuts import render


def my_view(request):
    if not request.user.is_authenticated:
        return render(request, "myapp/login_error.html")
    # ...

Декоратор login_required¶

login_required(redirect_field_name='next', login_url=None)¶

Для краткости кода вы можете использовать декоратор login_required():

from django.contrib.auth.decorators import login_required


@login_required
def my_view(request): ...

Функция login_required() делает следующее:

• Если пользователь не авторизован, то перенаправляет его на URL, указанный в параметре конфигурации settings.LOGIN_URL, передавая текущий абсолютный путь в запросе. Например: /accounts/login/?next=/polls/3/.

• Если пользователь авторизован, то выполняет код представления. В коде представления не требуется выполнять проверку авторизован ли пользователь или нет.

По умолчанию, в параметре "next" строки запроса хранится путь, по которому должен быть перенаправлен пользователь в результате успешной аутентификации. Если вам потребуется использовать другое имя для этого параметра, то воспользуйтесь необязательным аргументом redirect_field_name декоратора login_required():

from django.contrib.auth.decorators import login_required


@login_required(redirect_field_name="my_redirect_field")
def my_view(request): ...

Следует отметить, что если вы воспользуетесь аргументом redirect_field_name, то вам скорее всего потребуется внести изменения в ваш шаблон авторизации, так как переменная контекста шаблона, которая содержит путь перенаправления, будет использовать значение аргумента redirect_field_name в качестве своего ключа, а не стандартное значение "next".

Декоратор login_required() также принимает необязательный аргумент login_url. Например:

from django.contrib.auth.decorators import login_required


@login_required(login_url="/accounts/login/")
def my_view(request): ...

Следует отметить, что если вы не укажите аргумент login_url, то вам потребуется проверить параметр конфигурации settings.LOGIN_URL и ваше представление для авторизации соответственно настроены. Например, пользуясь стандартным поведением, добавьте следующие строки к вашей схеме URL:

from django.contrib.auth import views as auth_views

path("accounts/login/", auth_views.LoginView.as_view()),

Параметр конфигурации settings.LOGIN_URL также принимает имена представлений и именованные шаблоны URL. Это позволяет вам свободно переносить ваше представление для авторизации пользователя внутри схемы URL без необходимости изменения настроек.

Миксин LoginRequiredMixin¶

При использовании CBV представлений, вы можете получить поведение аналогичное login_required, используя примесь LoginRequiredMixin. Эта примесь должна быть указана в самом начале списка наследования.

class LoginRequiredMixin¶

Если представление использует эту примесь, все запросы от неаутентифицированных пользователей будут перенаправлены на страницу аутентификации или будет показана ошибка HTTP 403 Forbidden, это зависит от параметра raise_exception.

Вы можете установить любой из параметров AccessMixin для управления обработкой неаутентифицированных пользователей:

from django.contrib.auth.mixins import LoginRequiredMixin


class MyView(LoginRequiredMixin, View):
    login_url = "/login/"
    redirect_field_name = "redirect_to"

Декоратор login_not_required¶

Когда установлен LoginRequiredMiddleware, все представления по умолчанию требуют аутентификации. В некоторых представлениях, таких как представление входа в систему, может потребоваться отключить это поведение.

login_not_required()¶

Разрешает неаутентифицированные запросы к этому представлению, если установлено LoginRequiredMiddleware.

Ограничение доступа для авторизованных пользователей с помощью дополнительной проверки¶

Для ограничения доступа пользователям на основе определённых прав или какой-либо другой проверке, вам следует выполнять те же действия, что описаны выше.

Самым простым способом будет выполнение вашей проверки над request.user прямо в представлении. Например, эта проверка в представлении проверяет, что пользователь имеет адрес электронной почты на требуемом домене и, если это не так, перенаправляет его на страницу авторизации:

from django.shortcuts import redirect


def my_view(request):
    if not request.user.email.endswith("@example.com"):
        return redirect("/login/?next=%s" % request.path)
    # ...

user_passes_test(test_func, login_url=None, redirect_field_name='next')¶

Для удобства вы можете использовать декоратор user_passes_test, который выполняет перенаправление в случае, если проверяющая функция возвращает False:

from django.contrib.auth.decorators import user_passes_test


def email_check(user):
    return user.email.endswith("@example.com")


@user_passes_test(email_check)
def my_view(request): ...

Декоратор user_passes_test() принимает обязательный аргумент: функцию, которая принимает объект User и возвращает True, если пользователю разрешён доступ к просмотру страницы. Следует отметить, что декоратор user_passes_test() не выполняет автоматически проверку, что User прошёл авторизацию.

Декоратор user_passes_test() принимает для необязательных аргумента:

login_url

Позволяет определеть URL на который будут перенаправляться пользователя, которые нее смогут пройти проверку. Это может быть страница авторизации или по умолчанию это будет значение параметра конфигурации settings.LOGIN_URL, если вы не указали никакого значения.

redirect_field_name

Аналогично декоратору login_required(). Присвоение значения None удаляет соответствующее поле из URL, что может вам потребоваться при перенаправлении пользователей, которые не прошли проверку, на страницу отличную от страницы авторизации.

Например:

@user_passes_test(email_check, login_url="/login/")
def my_view(request): ...

Changed in Django 5.1:

Была добавлена ​​поддержка переноса асинхронных функций представления и использования асинхронных тестовых вызовов.

class UserPassesTestMixin¶

При использовании CBV представлений, вы можете для этой цели применять UserPassesTestMixin.

test_func()¶

Вы можете переопределить метод test_func() класса для того, чтобы указать тест, который будет выполнен. Далее, вы можете указать любой параметр AccessMixin для настройки обработки неаутентифицированных пользователей:

from django.contrib.auth.mixins import UserPassesTestMixin


class MyView(UserPassesTestMixin, View):
    def test_func(self):
        return self.request.user.email.endswith("@example.com")

get_test_func()¶

Вы также можете переопределить метод get_test_func(), чтобы заставить примесь использовать по-другому именованную функцию для выполнения проверки (вместо test_func()).

Цепочка из UserPassesTestMixin

Из-за особенностей реализации UserPassesTestMixin, вы не можете выстроить цепочку наследования. Следующий пример не работает:

class TestMixin1(UserPassesTestMixin):
    def test_func(self):
        return self.request.user.email.endswith("@example.com")


class TestMixin2(UserPassesTestMixin):
    def test_func(self):
        return self.request.user.username.startswith("django")


class MyView(TestMixin1, TestMixin2, View): ...

Если TestMixin1 вызовет super() и примет результат в работу, то TestMixin1 не будет больше работать в одиночку.

Декоратор permission_required¶

permission_required(perm, login_url=None, raise_exception=False)¶

Проверка наличия у пользователя определенного разрешения является довольно распространенной задачей. По этой причине в Django предусмотрен ярлык для этого случая: декоратор permission_required():

from django.contrib.auth.decorators import permission_required


@permission_required("polls.add_choice")
def my_view(request): ...

Как и в случае с методом has_perm(), имена разрешений принимают форму "<метка приложения>.<кодовое имя разрешения>" (т. е. polls.add_choice для разрешения на модель в приложении polls).

Декоратор также может принимать перечисление прав, в этом случае пользователь должен обладать всеми правами для того, чтобы получить доступ к представлению.

Следует отметить, что декоратор permission_required() также принимает необязательный аргумент login_url:

from django.contrib.auth.decorators import permission_required


@permission_required("polls.add_choice", login_url="/loginpage/")
def my_view(request): ...

Аналогично декоратору login_required() , по умолчанию значение для аргумента login_url соответствует значению параметра конфигурации settings.LOGIN_URL.

Если определён аргумент raise_exception, то декоратор будет выбрасывать исключение PermissionDenied с описанием 403 (HTTP Forbidden) представление вместо перенаправления на страницу авторизации.

Если вам надо использовать raise_exception, но также предоставить пользователям шанс сначала аутентифицироваться, вы можете использовать декоратор login_required():

from django.contrib.auth.decorators import login_required, permission_required


@login_required
@permission_required("polls.add_choice", raise_exception=True)
def my_view(request): ...

Это также позволяет избежать цикла перенаправления, когда LoginView``s ``redirect_authenticated_user=True` и вошедший в систему пользователь не имеет всех необходимых разрешений.

Примесь PermissionRequiredMixin¶

Для того, чтобы выполнить проверки для CBV представлений, вы можете использовать PermissionRequiredMixin:

class PermissionRequiredMixin¶

Эта примесь, подобно декоратору permisison_required, проверяет, есть ли у пользователя, который пытается получить доступ к представлению, все необходимые права. Вы можете указать право (или перечисление прав) с помощью параметра permission_required:

from django.contrib.auth.mixins import PermissionRequiredMixin


class MyView(PermissionRequiredMixin, View):
    permission_required = "polls.add_choice"
    # Or multiple of permissions:
    permission_required = ["polls.view_choice", "polls.change_choice"]

Вы можете установить любые параметры AccessMixin для изменения обработки неаутентифированных пользователей.

Вы также можете переопределить эти методы:

get_permission_required()¶

Возвращает перечисления имён прав, используемых примесью. По умолчанию, это содержимое атрибута permission_required, при необходимости преобразованное в кортеж.

has_permission()¶

Возвращает булево значение, есть ли у текущего пользователя право выполнить декорированное представление. По умолчанию, возвращается результат вызова метода has_perms() со списком прав, полученных от метода get_permission_required().

Сброс сессии при изменении пароля¶

Если ваша AUTH_USER_MODEL унаследована от класса AbstractBaseUser или реализует свой собственный метод get_session_auth_hash(), то аутентифицированные сессии будут содержать хэш, возвращённый этим методом. В случае AbstractBaseUser, это будет HMAC от поля с паролем. Если активирован SessionAuthenticationMiddleware, Django проверяет, что хеш, отправленный с каждым запросом, совпадает с хешом, вычисленным на стороне сервера. Это позволяет пользователю отключиться от всех его сессий с помощью изменения их пароля.

Стандартные представления для изменения пароля, поставляемые с Django, функция django.contrib.auth.views.password_change() и представление user_change_password в пакете django.contrib.auth, обновляют в сессии хэш пароля так, чтобы соответствующий пользователь не терял авторизацию. Если вы реализуете собственное представление для изменения пароля и желаете сохранить такое поведение, используйте эту функцию:

update_session_auth_hash(request, user)¶

aupdate_session_auth_hash(request, user)¶

Асинхронная версия: aupdate_session_auth_hash()

Данная функция принимает текущий запрос и обновлённый объект пользователя из которого будет извлечён новый хэш сессии и соответственно обновляет хэш сессии. Пример использования:

Пример использования:

from django.contrib.auth import update_session_auth_hash


def password_change(request):
    if request.method == "POST":
        form = PasswordChangeForm(user=request.user, data=request.POST)
        if form.is_valid():
            form.save()
            update_session_auth_hash(request, form.user)
    else:
        ...

Changed in Django 5.0:

Добавлена ​​функция aupdate_session_auth_hash().

Использование представлений¶

Существует несколько разных методов для реализации данных представлений в вашем проекте. Самым простым способом будет подключение схемы URL из django.contrib.auth.urls в вашу схему, например:

urlpatterns = [
    path("accounts/", include("django.contrib.auth.urls")),
]

Сюда будут включены следующие шаблоны URL-адресов:

accounts/login/ [name='login']
accounts/logout/ [name='logout']
accounts/password_change/ [name='password_change']
accounts/password_change/done/ [name='password_change_done']
accounts/password_reset/ [name='password_reset']
accounts/password_reset/done/ [name='password_reset_done']
accounts/reset/<uidb64>/<token>/ [name='password_reset_confirm']
accounts/reset/done/ [name='password_reset_complete']

Представления добавляют имя для URL для упрощения ссылок на них. Обратитесь к документации на URL для получения детальной информации по использованию именованных шаблонов URL.

Если вам требуется больше контроля над вашими URL, вы можете указывать специальное представление в вашей схеме URL:

from django.contrib.auth import views as auth_views

urlpatterns = [
    path("change-password/", auth_views.PasswordChangeView.as_view()),
]

Представления принимают необязательные аргументы, которые вы можете использовать для изменения их поведения. Например, если требуется изменить имя шаблона, который будет использоваться представлением, вы можете указать аргумент template_name. Для этого надо указать именованные аргументы в схеме URL и они будут переданы в представление. Например:

urlpatterns = [
    path(
        "change-password/",
        auth_views.PasswordChangeView.as_view(template_name="change-password.html"),
    ),
]

При использовании CBV представлений, вы можете для этой цели применять UserPassesTestMixin.

Все представления для аутентификации¶

Ниже приведён список со всеми представлениями пакета django.contrib.auth. Для получения информации о деталях реализации обратитесь к Использование представлений.

class LoginView¶

Имя URL: login

Обратитесь к документации на URL для получения информации по использованию именованных шаблонов URL.

Методы и атрибуты

template_name¶

Имя шаблона, отображаемого для представления, используемого для входа пользователя в систему. По умолчанию: registration/login.html.

next_page¶

URL-адрес для перенаправления после входа в систему. По умолчанию: LOGIN_REDIRECT_URL.

redirect_field_name¶

Имя поля GET, содержащего URL-адрес для перенаправления после входа в систему. По умолчанию «следующий». Переопределяет URL-адрес get_default_redirect_url(), если передан данный параметр GET.

authentication_form¶

Вызываемый объект (обычно класс формы), используемый для аутентификации. По умолчанию: AuthenticationForm.

extra_context¶

Словарь контекстных данных, который будет добавлен к контекстным данным по умолчанию, передаваемым в шаблон.

redirect_authenticated_user¶

Логическое значение, которое определяет, будут ли аутентифицированные пользователи, обращающиеся к странице входа в систему, перенаправляться, как если бы они только что успешно вошли в систему. По умолчанию установлено значение «False».

Предупреждение

Если вы включите redirect_authenticated_user, другие веб-сайты смогут определять, аутентифицированы ли их посетители на вашем сайте, запрашивая URL-адреса перенаправления на файлы изображений на вашем веб-сайте. Чтобы избежать утечки информации о «отпечатках пальцев в социальных сетях <https://robinlinus.github.io/socialmedia-leak/>`_», разместите все изображения и свой значок на отдельном домене.

Включение redirect_authenticated_user также может привести к циклу перенаправления при использовании декоратора permission_required(), если не используется параметр raise_Exception.

success_url_allowed_hosts¶

набор хостов, в дополнение к request.get_host(), которые можно безопасно перенаправить после входа в систему. По умолчанию пустой set.

get_default_redirect_url()¶

Возвращает URL-адрес для перенаправления после входа в систему. Реализация по умолчанию разрешает и возвращает next_page, если установлено, или LOGIN_REDIRECT_URL в противном случае.

Вот, что делает представление django.contrib.auth.views.login:

• При вызове через GET, оно отображает форму для аутентификации, которая отправляет введённые данные через POST на тот же URL. Подробности далее.

• При вызове через POST с аутентификационными данными пользователя, оно пытается авторизовать пользователя. При успешной авторизации, представление перенаправляет на URL, указанный в next. Если параметр next не был предоставлен, происходит перенаправление на URL, содержащийся в параметре конфигурации settings.LOGIN_REDIRECT_URL (по умолчанию, /accounts/profile/). При невозможности авторизации, представление снова показывает форму.

Вашей обязанностью является предоставление HTML кода для шаблона, который по умолчанию называется registration/login.html. Данный шаблон принимает через контекст четыре переменных:

• form: Объект Form, который представляет AuthenticationForm.

• next: URL, на который будет осуществлено перенаправление после успешной авторизации. Можно также передавать строку запроса.

• site: Текущий Site, соответствующий параметру конфигурации SITE_ID. Если вы не активировали соответствующее приложение, переменной будет присвоен экземпляр RequestSite, который получает имя сайта и домен из текущего HttpRequest.

• site_name: Псевдоним для site.name. Если вы не активировали соответствующее приложение, переменной будет присвоено значение request.META['SERVER_NAME']. Для подробностей о работе с сайтами обратитесь к Фреймворк для сайтов.

Если потребуется отказаться от вызова шаблона registration/login.html, вы можете передать в представление параметр template_name через дополнительные аргументы URL с вашей схеме. Например, эта строка URL будет использовать шаблон myapp/login.html:

path("accounts/login/", auth_views.LoginView.as_view(template_name="myapp/login.html")),

Вы также можете указать имя для GET поля, которое будет содержать URL для перенаправления после успешной авторизации пользователя, передав его в аргументе redirect_field_name в представление. По умолчанию, next.

Здесь показан пример содержимого шаблона registration/login.html, который вы можете использовать в качестве отправной точки. Он предполагает, что у вас есть шаблон base.html, который определяет блок content:

{% extends "base.html" %}

{% block content %}

{% if form.errors %}
<p>Your username and password didn't match. Please try again.</p>
{% endif %}

{% if next %}
    {% if user.is_authenticated %}
    <p>Your account doesn't have access to this page. To proceed,
    please login with an account that has access.</p>
    {% else %}
    <p>Please login to see this page.</p>
    {% endif %}
{% endif %}

<form method="post" action="{% url 'login' %}">
{% csrf_token %}
<table>
<tr>
    <td>{{ form.username.label_tag }}</td>
    <td>{{ form.username }}</td>
</tr>
<tr>
    <td>{{ form.password.label_tag }}</td>
    <td>{{ form.password }}</td>
</tr>
</table>

<input type="submit" value="login">
<input type="hidden" name="next" value="{{ next }}">
</form>

{# Assumes you set up the password_reset view in your URLconf #}
<p><a href="{% url 'password_reset' %}">Lost password?</a></p>

{% endblock %}

Если у вас реализован собственный механизм аутентификации (обратитесь к Собственная аутентификация) вы можете передать свою форму аутентификации в представление через параметр authentication_form. Данная форма должна принимать именованный аргумент request в её методе __init__ и предоставлять метод get_user, который должен возвращать объект аутентифицированного пользователя (метод будет вызываться только после успешной аутентификации).

class LogoutView¶

Выводит пользователя из системы по запросам POST.

Имя URL: logout

Атрибуты:

next_page¶

URL-адрес для перенаправления после выхода из системы. По умолчанию: LOGOUT_REDIRECT_URL.

template_name¶

Полное имя шаблона, отображаемого после выхода пользователя из системы. По умолчанию: file:registration/logged_out.html.

redirect_field_name¶

Имя поля GET, содержащего URL-адрес для перенаправления после выхода из системы. По умолчанию 'следующий'. Переопределяет URL-адрес next_page, если передан данный параметр GET.

extra_context¶

Словарь контекстных данных, который будет добавлен к контекстным данным по умолчанию, передаваемым в шаблон.

success_url_allowed_hosts¶

набор хостов, в дополнение к request.get_host(), которые можно безопасно перенаправить после выхода из системы. По умолчанию пустой set.

Контекст шаблона:

• title: Локализованная строка «Logged out».

• site: Текущий Site, соответствующий параметру конфигурации SITE_ID. Если вы не активировали соответствующее приложение, переменной будет присвоен экземпляр RequestSite, который получает имя сайта и домен из текущего HttpRequest.

• site_name: Псевдоним для site.name. Если вы не активировали соответствующее приложение, переменной будет присвоено значение request.META['SERVER_NAME']. Для подробностей о работе с сайтами обратитесь к Фреймворк для сайтов.

logout_then_login(request, login_url=None)¶

Выводит пользователя из системы по запросам POST, а затем перенаправляет на страницу входа.

Имя URL: Значения по умолчанию нет

Необязательные аргументы:

• login_url: URL страницы авторизации, на которую будет выполнено перенаправление. По умолчанию, settings.LOGIN_URL.

class PasswordChangeView¶

Имя URL: password_change

Позволяет пользователю изменить его пароль.

Атрибуты:

template_name¶

Полное имя шаблона, который будет использоваться для отображения формы смены пароля. По умолчанию используется registration/password_change_form.html, если он не указан.

success_url¶

URL-адрес для перенаправления после успешной смены пароля. По умолчанию 'password_change_done'.

form_class¶

Пользовательская форма «сменить пароль», которая должна принимать аргумент ключевого слова user. Форма отвечает за фактическую смену пароля пользователя. По умолчанию: PasswordChangeForm.

extra_context¶

Словарь контекстных данных, который будет добавлен к контекстным данным по умолчанию, передаваемым в шаблон.

Контекст шаблона:

• form: Форма для изменения пароля (обратитесь к password_change_form выше).

class PasswordChangeDoneView¶

Имя URL: password_change_done

Страница, отображаемая после того, как пользователь изменил свой пароль.

Атрибуты:

template_name¶

Полное имя используемого шаблона. По умолчанию используется registration/password_change_done.html, если он не указан.

extra_context¶

Словарь контекстных данных, который будет добавлен к контекстным данным по умолчанию, передаваемым в шаблон.

class PasswordResetView¶

Имя URL: password_reset

Позволяет пользователю сбросить свой пароль, генерируя одноразовую ссылку, которая может быть использована для сброса пароля, и отправляя её на зарегистрированную электронную почто пользователя.

Это представление отправит электронное письмо, если будут выполнены следующие условия:

• Указанный адрес электронной почты существует в системе.

• Запрошенный пользователь активен (User.is_active имеет значение True).

• Запрошенный пользователь имеет пригодный к использованию пароль. Пользователям, отмеченным непригодным для использования паролем (см. set_unusable_password()), не разрешается запрашивать сброс пароля, чтобы предотвратить неправильное использование при использовании внешнего источника аутентификации, такого как LDAP.

Если какое-либо из этих условий не выполнено, электронное письмо не будет отправлено, но пользователь также не получит никакого сообщения об ошибке. Это предотвращает утечку информации потенциальным злоумышленникам. Если в этом случае вы хотите предоставить сообщение об ошибке, вы можете создать подкласс PasswordResetForm и использовать атрибут form_class.

Примечание

Имейте в виду, что отправка электронного письма требует дополнительного времени, поэтому вы можете быть уязвимы для атаки по времени перечисления адреса электронной почты из-за разницы между продолжительностью запроса на сброс для существующего адреса электронной почты и продолжительностью запроса на сброс для несуществующего адреса электронной почты. Чтобы уменьшить накладные расходы, вы можете использовать сторонний пакет, который позволяет отправлять электронные письма асинхронно, например. django-mailer.

Атрибуты:

template_name¶

Полное имя шаблона, который будет использоваться для отображения формы сброса пароля. По умолчанию используется registration/password_reset_form.html, если он не указан.

form_class¶

Форма, которая будет использоваться для получения адреса электронной почты пользователя, для которого необходимо сбросить пароль. По умолчанию: PasswordResetForm.

email_template_name¶

Полное имя шаблона, который будет использоваться для создания электронного письма со ссылкой для сброса пароля. По умолчанию используется registration/password_reset_email.html, если он не указан.

subject_template_name¶

Полное имя шаблона, который будет использоваться в качестве темы электронного письма со ссылкой для сброса пароля. По умолчанию используется registration/password_reset_subject.txt, если он не указан.

token_generator¶

Экземпляр класса для проверки одноразовой ссылки. По умолчанию это будет default_token_generator, это экземпляр django.contrib.auth.tokens.PasswordResetTokenGenerator.

success_url¶

URL-адрес для перенаправления после успешного запроса на сброс пароля. По умолчанию 'password_reset_done'.

from_email¶

Действительный адрес электронной почты. По умолчанию Django использует DEFAULT_FROM_EMAIL.

extra_context¶

Словарь контекстных данных, который будет добавлен к контекстным данным по умолчанию, передаваемым в шаблон.

html_email_template_name¶

Полное имя шаблона, который будет использоваться для создания составного электронного письма text/html со ссылкой для сброса пароля. По умолчанию электронное письмо в формате HTML не отправляется.

extra_email_context¶

Словарь контекстных данных, который будет доступен в шаблоне электронного письма. Его можно использовать для переопределения значений контекста шаблона по умолчанию, перечисленных ниже, например. домен.

Контекст шаблона:

• form: Форма (смотрите password_reset_form выше) для сброса пароля пользователя.

Контекст шаблона электронной почты:

• email: Псевдоним для user.email

• user: Текущий User, соответствующий полю email формы. Толька активные пользователи имеют возможность сбрасывать свои пароли passwords (User.is_active is True).

• site_name: Псевдоним для site.name. Если вы не активировали соответствующее приложение, переменной будет присвоено значение request.META['SERVER_NAME']. Для подробностей о работе с сайтами обратитесь к Фреймворк для сайтов.

• domain: Псевдоним для site.domain. Если вы не используете приложение для работы с сайтами, то значением будет request.get_host().

• protocol: http или https

• uid: Первичный ключ пользователя, закодированный в base 64.

• token: Токен для проверки корректности ссылки для сброса пароля.

Пример registration/password_reset_email.html (шаблон тела письма):

Someone asked for password reset for email {{ email }}. Follow the link below:
{{ protocol}}://{{ domain }}{% url 'password_reset_confirm' uidb64=uid token=token %}

Такой же контекст используется для шаблона заголовка сообщения. Заголовок должен быть представлен одной строкой простого текста.

class PasswordResetDoneView¶

Имя URL: password_reset_done

Эта страница отображается после отправки пользователю письма с ссылкой для сброса его пароля. Данное представление вызывается по умолчанию, если представлению password_reset() не было явно передан URL post_reset_redirect.

Примечание

Если предоставленный адрес электронной почты не существует в системе, пользователь не активирован или имеет деактивированный пароль, то пользователь будет перенаправляться на это представление, но никаких писем ему отправляться не будет.

Атрибуты:

template_name¶

Полное имя используемого шаблона. По умолчанию используется registration/password_reset_done.html, если он не указан.

extra_context¶

Словарь контекстных данных, который будет добавлен к контекстным данным по умолчанию, передаваемым в шаблон.

class PasswordResetConfirmView¶

Имя URL: password_reset_confirm

Представляет форму для ввода нового пароля.

Обязательные аргументы:

• uid: Первичный ключ пользователя, закодированный в base 64.

• token: Токен для проверки корректности ссылки для сброса пароля.

Атрибуты:

template_name¶

Полное имя шаблона для отображения представления подтверждения пароля. Значение по умолчанию: file:registration/password_reset_confirm.html.

token_generator¶

Экземпляр класса для проверки пароля. По умолчанию это будет default_token_generator, это экземпляр django.contrib.auth.tokens.PasswordResetTokenGenerator.

post_reset_login¶

Логическое значение, указывающее, должен ли пользователь автоматически проходить аутентификацию после успешного сброса пароля. По умолчанию установлено значение «False».

post_reset_login_backend¶

Пунктирный путь к серверу аутентификации, который будет использоваться при аутентификации пользователя, если post_reset_login имеет значение True. Требуется только в том случае, если у вас настроено несколько AUTHENTICATION_BACKENDS. По умолчанию установлено значение «Нет».

form_class¶

Форма, которая будет использоваться для установки пароля. По умолчанию: SetPasswordForm.

success_url¶

URL-адрес для перенаправления после сброса пароля. По умолчанию 'password_reset_complete'.

extra_context¶

Словарь контекстных данных, который будет добавлен к контекстным данным по умолчанию, передаваемым в шаблон.

reset_url_token¶

Параметр токена отображается как компонент URL-адресов для сброса пароля. По умолчанию 'set-password'.

Контекст шаблона:

• form: Форма (смотрите password_reset_form выше) для сброса пароля пользователя.

• validlink: Булево значение. True, если ссылка (комбинация uidb64 и token) корректна и не была ещё использована.

class PasswordResetCompleteView¶

Имя URL: password_reset_complete

Представление, которое информирует пользователя об успешном изменении пароля.

Атрибуты:

template_name¶

Полное имя шаблона для отображения представления. По умолчанию: file:registration/password_reset_complete.html.

extra_context¶

Словарь контекстных данных, который будет добавлен к контекстным данным по умолчанию, передаваемым в шаблон.

Пользователи¶

При рендеринге RequestContext, авторизованный пользователь, неважно будет это экземпляр User или AnonymousUser, сохраняется в шаблонной переменной {{ user }}:

{% if user.is_authenticated %}
    <p>Welcome, {{ user.username }}. Thanks for logging in.</p>
{% else %}
    <p>Welcome, new user. Please log in.</p>
{% endif %}

Эта шаблонная переменная не доступна, если не используется RequestContext.

Права¶

Права авторизованного пользователя хранятся в шаблонной переменной {{ perms }}. Она связана с экземпляром django.contrib.auth.context_processors.PermWrapper, который реализует доступ к правам.

Оценка поиска по одному атрибуту {{ perms }} как логического значения является прокси для User.has_module_perms(). Например, чтобы проверить, есть ли у вошедшего в систему пользователя какие-либо разрешения в приложении foo:

{% if perms.foo %}

Оценка поиска двухуровневого атрибута как логического значения является прокси для User.has_perm(). Например, чтобы проверить, имеет ли вошедший в систему пользователь разрешение foo.add_vote:

{% if perms.foo.add_vote %}

Вот более полный пример проверки разрешений в шаблоне:

{% if perms.foo %}
    <p>You have permission to do something in the foo app.</p>
    {% if perms.foo.add_vote %}
        <p>You can vote!</p>
    {% endif %}
    {% if perms.foo.add_driving %}
        <p>You can drive!</p>
    {% endif %}
{% else %}
    <p>You don't have permission to do anything in the foo app.</p>
{% endif %}

Также позможен поиск прав с помощью выражения {% if in %}. Например:

{% if 'foo' in perms %}
    {% if 'foo.add_vote' in perms %}
        <p>In lookup works, too.</p>
    {% endif %}
{% endif %}