如何在由“站点”支持的多个 Django 站点上获取唯一用户框架？

发布于 2024-08-03 22:08:52 字数 399 浏览 6 评论 0原文

我正在构建一个 Django 站点框架，它将为多个独立站点提供支持，所有站点都使用相同的应用程序，但具有自己的模板。我计划通过使用多个设置文件并为它们设置唯一的 SITE_ID 来实现此目的，就像 Django 文档中针对 django.contrib.sites Framework

但是，我不希望站点 A 的用户能够登录站点 B。在检查了由syncdb创建的用户表后，我看不到可能将用户限制到特定站点的列。我还尝试在一个站点上创建一个用户“bob”，然后使用 shell 命令列出另一侧的所有用户，果然，bob 出现在那里。

如何确保所有用户都仅限于各自的网站？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

自找没趣 2024-08-10 22:08:52

最兼容的方法是创建一个用户配置文件模型，其中包含站点模型的外键，然后编写自定义身份验证后端，根据该 FK 的值检查当前站点。一些示例代码：

定义您的配置文件模型，比方说在 app/models.py 中：

from django.db import models
from django.contrib.sites.models import Site
from django.contrib.auth.models import User

class UserProfile(models.Model):
    user = models.OneToOneField(User)
    site = models.ForeignKey(Site)

编写自定义身份验证后端，继承默认后端，比方说在 app/auth_backend.py 中：

from django.contrib.auth.backends import ModelBackend
from django.contrib.sites.models import Site

class SiteBackend(ModelBackend):
    def authenticate(self, **credentials):
        user_or_none = super(SiteBackend, self).authenticate(**credentials)
        if user_or_none and user_or_none.userprofile.site != Site.objects.get_current():
            user_or_none = None
        return user_or_none

    def get_user(self, user_id):
        try:
            return User.objects.get(
                pk=user_id, userprofile__site=Site.objects.get_current())
        except User.DoesNotExist:
            return None

此身份验证后端假设所有用户都有一个配置文件；您需要确保您的用户创建/注册过程始终创建一个。

重写的 authenticate 方法可确保用户只能登录正确的站点。每个请求都会调用 get_user 方法，根据用户会话中存储的身份验证信息从数据库中获取用户；我们的覆盖确保用户无法登录站点 A，然后使用相同的会话 cookie 获得对站点 B 的未经授权的访问。（感谢 Jan Wrobel 指出需要处理后一种情况。）

The most compatible way to do this would be to create a user Profile model that includes a foreign key to the Site model, then write a custom auth backend that checks the current site against the value of that FK. Some sample code:

Define your profile model, let's say in app/models.py:

from django.db import models
from django.contrib.sites.models import Site
from django.contrib.auth.models import User

class UserProfile(models.Model):
    user = models.OneToOneField(User)
    site = models.ForeignKey(Site)

Write your custom auth backend, inheriting from the default one, let's say in app/auth_backend.py:

from django.contrib.auth.backends import ModelBackend
from django.contrib.sites.models import Site

class SiteBackend(ModelBackend):
    def authenticate(self, **credentials):
        user_or_none = super(SiteBackend, self).authenticate(**credentials)
        if user_or_none and user_or_none.userprofile.site != Site.objects.get_current():
            user_or_none = None
        return user_or_none

    def get_user(self, user_id):
        try:
            return User.objects.get(
                pk=user_id, userprofile__site=Site.objects.get_current())
        except User.DoesNotExist:
            return None

This auth backend assumes all users have a profile; you'd need to make sure that your user creation/registration process always creates one.

The overridden authenticate method ensures that a user can only login on the correct site. The get_user method is called on every request to fetch the user from the database based on the stored authentication information in the user's session; our override ensures that a user can't login on site A and then use that same session cookie to gain unauthorized access to site B. (Thanks to Jan Wrobel for pointing out the need to handle the latter case.)

回复收藏 0 原文