在Django中重置密码后验证用户

我使用标准的Django视图password_reset_confirm()来重置用户的密码 . 用户在信中跟随密码重置链接后,输入新密码,然后查看将其重定向到站点根目录:

urls.py

url(r'^password-reset/confirm/(?P<uidb64>[0-9A-Za-z_\-]+)/(?P<token>[0-9A-Za-z]{1,13}-[0-9A-Za-z]{1,20})/$',
        'django.contrib.auth.views.password_reset_confirm', {
        'template_name': 'website/auth/password_reset_confirm.html',
        'post_reset_redirect': '/',
    }, name='password_reset_confirm'),

Django重定向用户后,他没有经过身份验证 . 我不希望他再次输入密码,相反,我想在设置新密码后立即对他进行身份验证 .

为了实现此功能,我创建了一个委托视图 . 它包装标准的并处理其输出 . 因为标准视图仅在密码重置成功时重定向用户,所以我检查它返回的响应的状态代码,如果是重定向,则再次从DB检索用户并验证他 .

urls.py

url(r'^password-reset/confirm/(?P<uidb64>[0-9A-Za-z_\-]+)/(?P<token>[0-9A-Za-z]{1,13}-[0-9A-Za-z]{1,20})/$',
        views.password_reset_confirm_delegate, {
        'template_name': 'website/auth/password_reset_confirm.html',
        'post_reset_redirect': '/',
    }, name='password_reset_confirm'),

views.py

@sensitive_post_parameters()
@never_cache
def password_reset_confirm_delegate(request, **kwargs):
    response = password_reset_confirm(request, **kwargs)
    # TODO Other way?
    if response.status_code == 302:
        try:
            uid = urlsafe_base64_decode(kwargs['uidb64'])
            user = User.objects.get(pk=uid)
        except (TypeError, ValueError, OverflowError, User.DoesNotExist):
            pass
        else:
            user = authenticate(username=user.username, passwordless=True)
            login(request, user)
    return response

backends.py

class PasswordlessAuthBackend(ModelBackend):
    """Log in to Django without providing a password.

    """
    def authenticate(self, username, passwordless=False):
        if not passwordless:
            return None
        try:
            return User.objects.get(username=username)
        except User.DoesNotExist:
            return None

    def get_user(self, user_id):
        try:
            return User.objects.get(pk=user_id)
        except User.DoesNotExist:
            return None

settings.py

AUTHENTICATION_BACKENDS = (
    'django.contrib.auth.backends.ModelBackend',
    'website.backends.PasswordlessAuthBackend'
)

有没有更好的方法来做到这一点?

回答(2)

2 years ago

香草Django

由于 password_reset_confirm 不是基于类的视图,因此您无法以任何重要方式对其进行干净的自定义,而无需借助中间件类型的技巧 . 因此,您正在做的事情似乎是目前最有效的方式 .

如果django将 request 传递给 SetPasswordForm (类似于DRF如何将 request 传递给序列化程序),您可以覆盖表单的 save() 以登录用户,但是现在这也是不可能的 .

3 rd派对套餐

您还可以查看将auth实现为基于类的视图的其他第三方库 . 从快速的谷歌搜索,最有希望的是:

2 years ago

启动Django 1.11,您可以使用基于类的视图来完成此操作 . 您需要覆盖password_reset_confirm url以将 post_reset_login=Truesuccess_url 传递给PasswordResetConfirmView

urlpatterns += [
 url(
   r'^reset/(?P<uidb64>[0-9A-Za-z_\-]+)/(?P<token>[0-9A-Za-z]{1,13}-[0-9A-Za-z]{1,20})/$',
    views.PasswordResetConfirmView.as_view(
      post_reset_login=True,
      success_url=reverse_lazy('studygroups_login_redirect')
    ),
    name='password_reset_confirm'
  ),
]