day 71 权限管理、 Auth模块、 BBS(项目开发流程、表设计)

昨日内容回顾

• django请求生命周期流程图

• django中间件

  """
  django中间件类似于django的保安
  1.请求来的时候需要先经过中间件才能到达urls.py继续匹配
  2.响应走的时候最后也许要经过中间件才能真正离开django后端
  
  django中间件能够做的事情
  	只要涉及到项目全局的功能，想要中间件
  	1.全局身份校验
  	2.全局访问频率校验
  	3.全局权限校验
  	...
  django默认有七个中间件(每个中间件其实就类似于一块独立的功能)
  
  django除了有自带的七个之外还支持用户自定义中间件并且暴露给用户五个可以自定义的方法
  """
  # 如何自定义中间件
  	1.在应用或者项目下创建一个任意名称的文件夹
      2.在该文件夹内创建任意名称的py文件
      3.在py文件内书写类 这个类需要继承所有中间件类都继承的MiddlewareMixin
      4.需要在配置文件中书写类的完整路径
      
  # 需要掌握的两个
  	1.process_request(self,request)
        1.请求来的时候会按照配置文件中注册的中间件从上往下经过每一个中间件里面的该方法
          如果没有定义直接跳过
        2.该方法也可以自己返回HttpResponse对象， 一旦返回则请求不再继续往后执行直接原路返回(可以借助于该方法实现很多限制校验功能)  
      2.process_response (self,request,response)
        1.响应走的时候会按照配置文件中注册的中间件从下往上依次经过每一个中渐渐里面的该方法，如果没有定义直接跳过
        2.形参response就是返回给前端浏览器的内容，也就意味着该方法要门将response返回要么自己返回一个HttpResponse对象
        # 只要是形参中带有response的方法 那么该方法就必须返回response或者HttpResponse对象
     """
     注意
     	当process_request返回HttpResponse对象之后会直接走同级别的
     	process_response而不会将所有的process_response都走一遍
     	
     	但是在falsk框架也有类似的中间件
     	但是它的特点只要返回响应就必须将所有类似于process_response功能方法全部走一遍
     """
  # 了解即可的是三个
  	1.process_view(self,view_name,*args,**kwargs)
      	路由匹配成功之后执行视图函数之前
      2.process_exception(self,request,exception)
      	当后端视图函数出现报错的时候
      3.process_template_response(self,request,response)
      	返回的HttpResponse对象必须含有render属性
  

• csrf跨站请求伪造

"""
钓鱼网站
本质:
	用假网站代替真网站，获取用户数据朝真网站提交，中途修改一些参数
	eg:网页银行转账例子

解决办法:
	在给用户返回的具有可以提交post请求的页面上添加一个唯一标记
	之后该页面发送poet请求后端，先会校验改唯一标记
"""
# form表单如果获取
	在form表单内书写{% csrf_token %}
    <input type=\'hidden\' name=\'csrfmiddlewaretoken\' value=\'唯一的随机字符串\'>
    
# ajax如何获取
	1.自己利用标签查找获取值
       data:{\'csrfmiddlewaretoken\':\'$("[name=csrfmiddlewaretoken]").val()\'}
    2.利用模板语法
       data:{\'csrfmiddlewaretoken\':\'{{csrf_token}}\'}
    3.通用的 js文件
    拷贝固定的js代码导入到html页面上即可

• ​ csrf相关装饰器

  """
  from django.views.decorators.csrf import csrf_protect,csrf_exempt
  csrf_protect:需要校验csrf
  	跟我们之前学习的三种给CBV加装饰器的玩法一样
  
  csrf_excempt:忽略校验csrf
  	只能作用于dispatch方法
  
  他们两个在FBV上使用方式一致 就是普通的装饰器
  在CBV上两者却有区别
  """
  

• 参考django中间件功能设计扩展知识

  # 模块 importlib
  能够以字符串的形式帮助你导入模块 但是需要注意的是最小单位只能到模块名
  
  # 功能的插拔式设计
  	1.配置文件注册功能
      2.importlib模块
      3.字符串切割splite
      4.反射
      5.面向对象及鸭子类型
  

今日内容概要

• 权限管理(RBAC)

  可以借助于django中间件实现网站的权限校验

• Auth模块

  只要是跟用户相关的登陆、注册、校验、修改密码、注销、验证用户是否登录

• BBS(防博客园小作业)

  项目开发流程

  表设计(七张表)

今日内容详细

Auth模块

"""
其实我们在创建一个django项目之后直接执行数据库迁移命令会自动生成很多表
	django_session 
	auth_user
django在启动之后就可以直接访问admin路由，需要输入用户名和密码，数据参考的就是
auth_user表，并且还必须是管理员用户才能进去

创建超级用户(管理员用户)
	python3 mange.py createsuperuser
	
依赖于auth_user表完成用户相关的所有功能
"""

方法总结

# 1.比对用户名和密码是否正确
user_obj = auth.authenticate(request,username=username,password=password)
# 括号内必须同时传入用户名和密码
print(user_obj)  # 用户对象  jason   数据不符合则返回None
print(user_obj.username)  # jason
print(user_obj.password)  # 密文

# 2.保存用户状态
auth.login(request,user_obj)  # 类似于request.session[key] = user_obj
# 主要执行了该方法 你就可以在任何地方通过request.user获取到当前登陆的用户对象

# 3.判断当前用户是否登陆
request.user.is_authenticated()

# 4.获取当前登陆用户
request.user

# 5.校验用户是否登陆装饰器
from django.contrib.auth.decorators import login_required
# 局部配置
@login_required(login_url=\'/login/\') 
# 全局配置
LOGIN_URL = \'/login/\'
	1.如果局部和全局都有 该听谁的?
    局部 > 全局
	2.局部和全局哪个好呢?
    全局的好处在于无需重复写代码 但是跳转的页面却很单一
    局部的好处在于不同的视图函数在用户没有登陆的情况下可以跳转到不同的页面

# 6.比对原密码
request.user.check_password(old_password)

# 7.修改密码
request.user.set_password(new_password)  # 仅仅是在修改对象的属性
request.user.save()  # 这一步才是真正的操作数据库

# 8.注销
auth.logout(request) 

# 9.注册
# 操作auth_user表写入数据
User.objects.create(username=username,password=password)  # 写入数据  不能用create 密码没有加密处理
# 创建普通用户
User.objects.create_user(username=username,password=password)
# 创建超级用户(了解):使用代码创建超级用户 邮箱是必填的 而用命令创建则可以不填
User.objects.create_superuser(username=username,email=\'123@qq.com\',password=password)

方法总结

# 1.比对用户名和密码是否正确
user_obj = 
auth.authenticate(request,username=username,password=password)
# 括号内必须同时传入用户名和密码
print(user_obj)  # 用户对象  数据不符合则返回None
print(user_obj.username) # jason
print(user_obj.password)  # 密文
# 2.保存用户状态
auth.login(request,user_obj)  # 类似于request.session[key] = user_obj
# 主要执行了该方法  就可以在任何地方通过request.user获取到当前登陆的用户对象

# 3.判断当前用户是否登陆
request.user.is_authenticated()

# 4.获取当前登录用户
request.user

# 5.校验用户是否登录装饰器
from django.contrib.auth.decorators import login_required
# 局部配置
@login_required(login_url=\'/login/\')
# 全局配置
LOGIN_URL= \'/login/\'
1.如果局部和全局都有 该听谁的
	局部 > 全局
2.局部和全局哪个好
	全局的好处在于无需重复写代码 但是跳转的页面却很单一
    局部的好处在于不同的视图函数在用户没有登陆的情况下可以跳转到不同的页面
    
# 比对原密码
request.user.check_password(old_password)

# 修改密码
request.user.set_password(new_password)  # 仅仅是修改对象的属性
request.user.save()  # 这一步才是真正的操作数据

# 注销
auth.logout(request)

# 注册
# 操作auth_user表写入数据
User.objects.create(username=username,password=password) # 写入数据不能用create 
密码没有加密处理
# 创建普通用户
User.objecs.create_user(username=username,password=password)
# 创建超级用户(了解) : 使用代码创建超级用户 邮箱是必填 而普通创建不需要
User.objects.create_superuser(username=username, email=\'123@qq.com\',password=password)

如何扩展auth_user表

# 第一种: 一对一关系
# class UserDetail(models.Model):
#     phone = models.BigIntegerField()
#     user = models.OneToOneField(to=\'User\')


# 第二种: 面向对象的继承
class UserInfo(AbstractUser):
    """
    如果继承了AbstractUser
    那么在执行数据库迁移命令的时候auth_user表就不会在创建出来了
    而UserInfo表中会出现auth_user所有的字段外加自己扩展的字段
    这么做到的好处在于能够直接点击自己的表更加快速完成操作及扩展
    
    前提:
        1.在继承之前没有执行过数据库迁移命令
        auth_user没有被创建出来, 如果当前库已经创建出来那么就重新换一个库
        2.继承的类里面不要覆盖AbstractUser里面的字段名
            表里面有的字段都不要动，只扩展额外字段即可
        3.需要在配置文件中告诉django你要用UserInfo替代auth_user
            AUTH_USER_MODEL = \'app01.UserInfo\'
    """                           \'应用名.表名\'
    phone = models.BigIntegerField()
"""
如果自己写表替代了auth_user那么
auth模块的功能还是照常使用，参考的表由原来的auth_user变成了UserInfo

bbs作业用户表就是用的上述方式
"""

项目开发流程

# 1.需求分析
	架构师+产品经理+开发组组长
    在跟客户谈需求之前 会大致先了解客户的需求 然后自己先设计一套比较好写方案
    在跟客户沟通交流中引导客户往我们之前想好的方案上靠
    形成一个初步的方案
# 2.项目设计
	架构师干的活
    	编程语言的选择
        框架选择
        数据库选择
        	主库:MySQL,postgreSQL,...
                缓存数据库:redis、mongodb、memcacha...
        功能划分
        	将整个项目划分成几个功能模块
        找组长开会
        	给每个组分发任务
        项目报价
        	技术这块需要多少人力(一个程序员一天1500~2000计算)
            产品经理公司层面 再加点钱
            	公司财务
                公司老板签字确认
            产品经理去跟客户沟通
            
            后续需要加功能  继续加钱
# 3.分组开发
	组长找组员开会，安排各自功能模块
    其实就是在架构师设计好的框架里面填写代码而已(码畜)
	
    我们再写代码的时候写完需要自己先测试是否有bug
    如果是一些显而易见的bug，没有避免而是直接交给了测试部门测出来了
    那你可能就需要被扣绩效了(一定要跟测试小姐姐搞好关系)
    	薪资组成  15K(合理合规合法的避税)
        绩效  10K
        岗位津贴 3K
        生活补贴 1K
# 4.测试
	测试部门测试你的代码
    	压力测试
# 5.交付上线
	1.交给对方的运维人员
    2.直接上线我们的服务器上 收取维护费用
    3.其他

表设计

"""
一个项目集中最重要不是业务逻辑的书写
而是前期的表设计，只有将表设计好了，后续的功能书写才会一帆风顺

bbs表设计
	1.用户表
		继承AbstractUser
		扩展
			phone  电话号码
			avatar  用户头像
			create_time  创建时间
        外键字段
        一对一个人站点表
	
	2.个人站点表
		site_name   站点名称
		site_title  站点标题
		site_theme   站点的样式
		
	3.文章标签表
		name   标签名
		
		外键字段
			一对多个人站点
		
	4.文章分类表
		name   分类名
		
		外键字段
			一对多个人站点
	
	5.文章表
		title  文章标题
		desc   文章简介
		content   文章内容
		create_time  发布时间
		
		数据库字段设计优化(虽然下述的三个字段可以从其他表里面垮表查询计算的出，但是频繁跨表效率)
		up_num   点赞数
		down_num   点踩数
		comment_num   评论数
		
		外键字段
			一对多个人站点
			多对多文章标签表
			一对多文章分类
			
		
	6.点赞点彩表
		用来记录哪个用户给哪篇文章点了赞还是点了踩
		user   ForeignKey(to="User")
		article	  ForeignKey(to="Article")
		is_up		BooleanField()
		
		
	7.文章评论表
		记录哪个用户给哪篇文章写了哪些评论内容
		user	 ForeignKey(to="User")
		article		ForeignKey(to="Article")
		content		CharField()
		comment_time	DateField()
		# 自关联
		parent    ForeignKey(to="Comment", null=True)
		# ORM专门提供的自关联写法
		parent    ForeignKey(to="self", null=True)
		
		user_id    article_id      parent_id
		1 				1
		2				1			1
		
根评论子评论的概念
	根评论直接评论当前发布的内容的
	
	子评论评论别人的评论
	1.PHP是世界上最牛逼的语言
		1.1 python才是最牛逼的
		1.2 Java才是
		
根评论与子评论是一对多的关系

"""