小李:老张,我最近在做一个河南地区的招生管理信息系统,现在到了登录模块的设计阶段,你有没有什么建议?
老张:嗯,登录模块是整个系统的核心部分之一,必须保证安全性。你打算用什么技术来实现呢?
小李:我想用Python的Django框架来做后端,前端用Vue.js,数据库用MySQL。你觉得这样可行吗?
老张:挺不错的组合,Django自带的认证系统可以帮你省不少事,不过你要注意密码加密的问题,不能明文存储。
小李:对了,我之前看过Django的User模型,但是河南的招生系统可能需要一些自定义字段,比如学校编号、学生类型之类的,该怎么处理呢?
老张:你可以通过继承Django的AbstractUser类来自定义用户模型,添加你需要的字段。比如添加school_id和user_type这样的字段。
小李:明白了,那具体怎么写这个模型呢?能给我看看示例代码吗?
老张:当然可以,下面是一个简单的例子:
from django.contrib.auth.models import AbstractUser
from django.db import models
class CustomUser(AbstractUser):
school_id = models.CharField(max_length=10, verbose_name='学校编号')
user_type = models.CharField(max_length=20, choices=[
('student', '学生'),
('teacher', '教师'),
('admin', '管理员'),
], verbose_name='用户类型')
def __str__(self):
return self.username
小李:这段代码看起来没问题,那登录逻辑应该怎么写呢?
老张:Django提供了内置的login函数,你可以使用它来完成登录操作。不过要记得在视图中处理表单验证。
小李:那前端怎么配合呢?我用Vue.js的话,应该怎么做?
老张:你可以使用axios发送POST请求到后端的登录接口,然后根据返回结果跳转页面或者显示错误信息。
小李:那登录接口的URL应该是怎样的?
老张:通常会设置为/api/login/,然后在views.py中编写对应的视图函数。
小李:那具体的视图代码呢?
老张:下面是一个简单的例子:
from django.contrib.auth import authenticate, login
from django.http import JsonResponse
from django.views.decorators.csrf import csrf_exempt
@csrf_exempt
def login_view(request):
if request.method == 'POST':
username = request.POST.get('username')
password = request.POST.get('password')
user = authenticate(request, username=username, password=password)
if user is not None:
login(request, user)
return JsonResponse({'status': 'success', 'message': '登录成功'})
else:
return JsonResponse({'status': 'error', 'message': '用户名或密码错误'}, status=400)
return JsonResponse({'status': 'error', 'message': '请求方法不支持'}, status=405)
小李:这段代码好像没有处理CSRF保护?
老张:是的,如果你使用的是Post请求,一般需要加上CSRF保护。但如果你在Vue中使用axios发送请求,可以通过在headers中添加X-CSRFToken来绕过这个问题。
小李:明白了,那前端怎么获取CSRF token呢?
老张:你可以通过GET /api/csrf/ 接口获取,或者在模板中直接注入token。不过在前后端分离的情况下,推荐使用GET /api/csrf/。
小李:那前端发送登录请求的时候,应该怎么做?
老张:你可以先调用GET /api/csrf/ 获取token,然后在POST请求头中带上X-CSRFToken字段。例如:
axios.get('/api/csrf/')
.then(response => {
axios.post('/api/login/', {
username: 'admin',
password: '123456'
}, {
headers: {
'X-CSRFToken': response.data.csrf_token
}
})
.then(res => {
console.log(res);
});
});
小李:那如果用户已经登录了,应该怎么处理?
老张:你可以使用Django的login_required装饰器来限制未登录用户访问某些页面。或者在前端检查用户是否已登录,比如通过判断是否有session或token。
小李:那在河南的招生系统中,可能还需要多角色权限控制,比如学生、教师、管理员,怎么实现呢?
老张:可以在登录之后根据用户类型进行路由跳转,或者在视图中判断用户类型,决定是否允许访问某个功能。
小李:那权限控制的具体代码怎么写呢?
老张:你可以通过在视图中判断user.user_type来实现。例如:
from django.contrib.auth.decorators import login_required
@login_required
def dashboard(request):
if request.user.user_type == 'admin':
return render(request, 'admin_dashboard.html')
elif request.user.user_type == 'teacher':
return render(request, 'teacher_dashboard.html')
else:
return render(request, 'student_dashboard.html')
小李:听起来不错,那有没有其他需要注意的地方?比如防止SQL注入、XSS攻击等?
老张:当然,Django本身有很好的防护机制,比如ORM会自动处理SQL注入问题。但要注意不要在模板中直接渲染用户输入的内容,避免XSS攻击。
小李:明白了,那登录模块的测试应该怎么进行?
老张:你可以使用Django的测试框架,编写单元测试来模拟登录过程,或者使用Selenium进行UI自动化测试。
小李:好的,谢谢你的指导!我现在对登录模块有了更清晰的认识。
老张:不用客气,记住,安全永远是第一位的。尤其是涉及学生信息的系统,更要小心谨慎。
小李:没错,我会好好把这部分做好。