如何在 Django 登录页中安全验证用户是否存在

来到golang学习网的大家，相信都是编程学习爱好者，希望在这里学习文章相关编程知识。下面本篇文章就来带大家聊聊《如何在 Django 登录页中安全验证用户是否存在 》，介绍一下，希望对大家的知识积累有所帮助，助力实战开发！

本文介绍在 Django 中正确检查用户是否存在于数据库并完成登录验证的规范方法，强调使用 authenticate() 和 login() 等内置安全机制，避免手动查询密码、硬编码字段名等常见错误。

本文介绍在 Django 中正确检查用户是否存在于数据库并完成登录验证的规范方法，强调使用 authenticate() 和 login() 等内置安全机制，避免手动查询密码、硬编码字段名等常见错误。

在 Django 中验证用户登录，绝不应直接通过 User.objects.filter() 查询明文密码或自定义字段（如 email_name、user_password）——这不仅违背 Django 的认证设计原则，更存在严重安全隐患：密码以哈希形式存储，无法直接比对；且默认 User 模型不含 email_name 或 user_password 字段（正确字段为 email 和 password，后者只读且已加密）。

✅ 正确做法是使用 Django 内置的认证系统：

1. 调用 authenticate()：它会根据用户名（默认为 username 字段）和密码执行安全比对（自动处理密码哈希校验）；
2. 使用 login()：在认证成功后建立用户会话；
3. 配合 messages 提供用户反馈，提升体验。

以下是推荐的视图实现（兼容邮箱登录场景）：

# views.py
from django.contrib.auth import authenticate, login
from django.contrib.auth.models import User
from django.contrib import messages
from django.shortcuts import render, redirect

def user_enter(request):
    if request.method == "POST":
        # 注意：Django 默认按 username 字段认证，若需邮箱登录，需额外处理（见下方说明）
        username = request.POST.get('enter_user_email')  # 假设前端 name 属性保持不变
        password = request.POST.get('enter_user_pass')

        # ✅ 安全认证：Django 自动校验密码哈希
        user = authenticate(request, username=username, password=password)

        if user is not None:
            login(request, user)  # ✅ 创建会话
            return redirect('index')  # 登录成功跳转
        else:
            messages.error(request, "用户名或密码不正确！")
            return render(request, 'main.html', {'data': False})

    return render(request, 'main.html')

? 关键注意事项：

• ? 禁止手动比对密码：User.objects.filter(email=..., password=...) 永远返回空结果，因为 password 字段存储的是哈希值（如 pbkdf2_sha256$...），不是明文；

• ? 若需邮箱登录：Django 默认认证基于 username。如需支持邮箱作为登录凭证，推荐两种方案：

  • 方案一（推荐）：重写 authenticate() 后端，查找 email=username 的用户再校验密码；
  • 方案二（简易）：在视图中先通过 User.objects.filter(email=username).first() 获取用户，再用 check_password() 校验（仍比手动 filter 安全）：

    from django.contrib.auth.hashers import check_password
    user = User.objects.filter(email=username).first()
    if user and check_password(password, user.password):
        login(request, user)
        return redirect('index')

• ?️ CSRF 与表单提交修复：您 HTML 中的 会绕过 POST 提交，导致 request.method 始终为 GET。请将登录按钮改为标准表单提交：

  <form method="POST">
      {% csrf_token %}
      <!-- 输入字段保持不变 -->
      <button type="submit" class="btn btn-primary mt-3">Enter</button>
  </form>

• ? 模型字段命名规范：避免自定义 email_name、user_password 等非标字段；Django User 模型原生支持 email、username、password（只读哈希字段）。

总结：Django 认证的核心是信任其内置机制。用 authenticate() + login() 替代手写 SQL 式查询，既保障安全性，又减少维护成本。初学者务必理解密码不可逆哈希原理，并始终以官方文档为实践基准。

本篇关于《如何在 Django 登录页中安全验证用户是否存在 》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！