优化Django REST Framework自定义用户模型登录认证流程-Python教程-PHP中文网

优化Django REST Framework自定义用户模型登录认证流程

本文旨在解决django rest framework (drf) 中使用自定义用户模型时常见的登录认证失败问题，特别是“user not found”错误。我们将深入探讨自定义用户模型的正确配置、序列化器的设计原则，并提供一个优化的api视图实现方案，确保`authenticate`函数被正确调用，从而实现稳定可靠的用户登录功能。

引言

在Django REST Framework (DRF) 中构建API时，自定义用户模型（Custom User Model）是常见的需求。然而，在实现用户登录认证功能时，开发者可能会遇到诸如“User not found”的错误，即使AUTH_USER_MODEL已正确配置且用户注册功能正常。本文将通过分析一个典型案例，提供一套清晰的解决方案和最佳实践，帮助您构建健壮的DRF用户认证系统。

理解自定义用户模型 (AppUser)

Django允许我们通过继承AbstractBaseUser和PermissionsMixin来创建高度定制化的用户模型。这提供了极大的灵活性，但也要求我们正确配置相关的管理器和设置。

模型定义 (account/models.py)

在我们的案例中，AppUser模型使用email作为USERNAME_FIELD，并自定义了CustomUserManager来处理用户创建。

# account/models.py

from django.contrib.auth.models import AbstractBaseUser, PermissionsMixin
from django.contrib.auth.base_user import BaseUserManager
from django.utils.translation import gettext_lazy as _
from django.db import models

class CustomUserManager(BaseUserManager):
    use_in_migrations = True

    def create_user(self, email, password=None, **extra_fields):
        if not email:
            raise ValueError('The Email must be set')
        email = self.normalize_email(email)
        user = self.model(email=email, **extra_fields)
        user.set_password(password)
        user.save(using=self._db)
        return user

    def create_superuser(self, email, password=None, **extra_fields):
        extra_fields.setdefault('is_staff', True)
        extra_fields.setdefault('is_superuser', True)
        # For AppUser, username is required, so we might need to pass it here or make it optional for superuser creation
        # For simplicity, assuming create_user handles it or we'll add it to REQUIRED_FIELDS
        if not email:
            raise ValueError('An email is required.')
        if not password:
            raise ValueError('A password is required.')
        user = self.create_user(email, password, **extra_fields)
        user.is_superuser = True
        user.is_staff = True # Ensure superusers are also staff
        user.save(using=self._db)
        return user

class AppUser(AbstractBaseUser, PermissionsMixin):
    user_id = models.AutoField(primary_key=True)
    email = models.EmailField(max_length=50, unique=True)
    username = models.CharField(max_length=50) # Note: username is required here
    is_staff = models.BooleanField(default=False)
    is_active = models.BooleanField(default=True)

    USERNAME_FIELD = 'email'
    REQUIRED_FIELDS = ['username'] # Required when creating a user via createsuperuser or custom management commands

    objects = CustomUserManager()

    def __str__(self):
        return self.username

登录后复制

注意事项：

USERNAME_FIELD 指定了用户登录时使用的唯一标识符（此处为email）。
REQUIRED_FIELDS 列表中的字段在通过createsuperuser命令创建用户时是必需的（除了USERNAME_FIELD和password）。
CustomUserManager 负责AppUser的创建逻辑，特别是create_user和create_superuser方法。

Django设置 (settings.py)

务必在settings.py中指定自定义用户模型：

# settings.py
AUTH_USER_MODEL = 'account.AppUser'

登录后复制

序列化器设计 (account/serializers.py)

序列化器的主要职责是验证输入数据的格式和结构，以及将Python对象序列化为JSON或从JSON反序列化为Python对象。认证逻辑本身应在视图层处理。

Text-To-Pokemon口袋妖怪

输入文本生成自己的Pokemon，还有各种选项来定制自己的口袋妖怪

1494

查看详情

用户注册序列化器

UserRegisterSerializer用于处理用户注册，它会调用CustomUserManager的create_user方法。

# account/serializers.py
from rest_framework import serializers
from django.contrib.auth import get_user_model

UserModel = get_user_model()

class UserRegisterSerializer(serializers.ModelSerializer):
    class Meta:
        model = UserModel
        fields = ['email', 'username', 'password']
        extra_kwargs = {'password': {'write_only': True}} # 密码应只写

    def create(self, validated_data): # 使用标准的create方法，而不是create_user
        user_obj = UserModel.objects.create_user(
            email=validated_data['email'], 
            password=validated_data['password'],
            username=validated_data['username'] # 确保username也被传递
        )
        return user_obj

登录后复制

用户登录序列化器

UserLoginSerializer应仅负责验证登录凭据（邮箱和密码）的格式，而不执行实际的认证操作。认证操作应留给视图层的authenticate函数。

# account/serializers.py
# ... (previous imports)

class UserLoginSerializer(serializers.Serializer):
    email = serializers.EmailField()
    password = serializers.CharField(write_only=True) # 密码应只写

    # 移除 validate 方法中的认证逻辑，将其移至视图
    # def validate(self, data):
    #     ... (此处的认证逻辑应移除)

登录后复制

登录API视图实现 (account/views.py)

这是解决“User not found”问题的关键部分。authenticate函数应该在API视图中被调用，并且其结果应该被正确处理。

# account/views.py
from django.contrib.auth import authenticate, login, logout
from rest_framework.authentication import SessionAuthentication
from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework import permissions, status
from .serializers import UserRegisterSerializer, UserLoginSerializer, UserSerializer
# from .validations import custom_validation, validate_email, validate_password # 如果需要，保留自定义验证

class UserRegister(APIView):
    permission_classes = (permissions.AllowAny,)
    def post(self, request):
        # clean_data = custom_validation(request.data) # 如果有自定义验证，可以先处理
        serializer = UserRegisterSerializer(data=request.data)
        if serializer.is_valid(raise_exception=True):
            user = serializer.save() # 调用serializer的save方法，它会调用ModelSerializer的create方法
            if user:
                return Response(UserSerializer(user).data, status=status.HTTP_201_CREATED) # 返回用户数据
        return Response(serializer.errors, status=status.HTTP_400_BAD_REQUEST)


class UserLogin(APIView):
    permission_classes = (permissions.AllowAny,)
    authentication_classes = (SessionAuthentication,) # 如果使用Session认证，请保留

    def post(self, request):
        serializer = UserLoginSerializer(data=request.data)
        serializer.is_valid(raise_exception=True) # 仅验证数据格式

        email = serializer.validated_data['email']
        password = serializer.validated_data['password']

        # 核心：在视图中调用 authenticate
        user = authenticate(request=request, email=email, password=password)

        if user is not None:
            if user.is_active:
                login(request, user) # 使用Django的login函数进行会话管理
                # 返回成功响应，可以包含用户数据或成功消息
                return Response({"message": "Login successful", "user": UserSerializer(user).data}, status=status.HTTP_200_OK)
            else:
                return Response({"non_field_errors": ["User account is not active."]}, status=status.HTTP_403_FORBIDDEN)
        else:
            # 用户不存在或密码不正确
            return Response({"non_field_errors": ["Invalid credentials."]}, status=status.HTTP_400_BAD_REQUEST)


class UserLogout(APIView):
    permission_classes = (permissions.AllowAny,) # 允许任何用户登出
    authentication_classes = () # 登出通常不需要认证

    def post(self, request):
        logout(request)
        return Response({"message": "Successfully logged out."}, status=status.HTTP_200_OK)


class UserView(APIView):
    permission_classes = (permissions.IsAuthenticated,)
    authentication_classes = (SessionAuthentication,)

    def get(self, request):
        serializer = UserSerializer(request.user)
        return Response({'user': serializer.data}, status=status.HTTP_200_OK)

登录后复制

关键改进点：

authenticate位置： 将authenticate(request, email=email, password=password)调用从序列化器中移到UserLogin API视图的post方法中。这是因为authenticate是一个Django认证后端的功能，它应该在视图层被调用以处理实际的用户验证。
序列化器职责： UserLoginSerializer现在只负责验证输入数据的格式（邮箱和密码是否有效），而不涉及具体的认证逻辑。
错误处理： 根据authenticate的返回值（None或用户对象），提供清晰的错误消息，区分“无效凭据”和“用户账户未激活”等情况。
会话管理： 成功认证后，调用login(request, user)来建立用户会话，这对于基于Session的认证至关重要。

总结与注意事项

分离关注点： 始终遵循DRF的最佳实践，将数据验证（序列化器）和业务逻辑（视图）清晰地分离。认证是业务逻辑的一部分，应在视图中处理。
authenticate函数： Django的authenticate函数会遍历AUTHENTICATION_BACKENDS中定义的认证后端，尝试验证用户。对于AbstractBaseUser，通常默认的ModelBackend就能很好地工作。
AUTH_USER_MODEL： 确保settings.py中AUTH_USER_MODEL的设置指向您的自定义用户模型。任何模型定义更改后，都需要运行python manage.py makemigrations和python manage.py migrate。
密码处理： 在序列化器中，将password字段设置为write_only=True是一个良好的安全实践，防止密码在响应中被意外暴露。
错误响应： 提供详细且友好的错误响应，帮助前端更好地处理认证失败的情况。例如，区分“用户不存在”和“密码错误”可以提高用户体验。