Django 自定义身份验证后端需要密码吗？

Question

我的大学处理身份验证的方式如下：我们将用户重定向到网站，他们输入用户名和密码，然后使用查询字符串中传递的用户名和登录密钥重定向回我们。 当我们返回用户时，我们调用大学数据库中的存储过程，该过程获取用户名、登录密钥和 IP 地址，并告诉我们这是否有效。

我设置了一个 Django 自定义身份验证后端来处理这一切。 我是否让它能够接受密码参数（因为我们实际上并没有获取他们的密码），这会有什么不同吗？ 现在，我已将其设置为将登录密钥作为密码参数。 对我来说，将其更改为登录密钥而不是密码，是好是坏，还是两者都不是？

Answer 1

Django 文档这样说：

无论哪种方式，身份验证都应该检查
它获得的凭据，并且应该
返回匹配的 User 对象
这些凭证，如果凭证
是有效的。 如果它们无效，则
应该返回 None。

“任一方式”是指authenticate() 方法是否采用用户名/密码组合，或者仅采用令牌。 您的场景介于这两者之间，因此我认为“最佳”答案是编写您的authenticate() 来获取用户名和登录密钥，并根据需要返回正确的用户或无。