在Django中进行注册用户的邮件确认

之前利用Flask写博客时（http://hbnnlove.sinaapp.com)，我对注册模块的逻辑设计很简单，就是用户填写注册表单，然后提交，数据库会更新User表中的数据，字段主要有用户名，哈希后的密码，邮件。

但感觉这样设计有些简单，用户注册时有必要验证一下用户的注册邮件，看是否是他自己的邮箱。
本文主要介绍我在利用Django写博客时，采用的注册方法。首先说一下整体逻辑思路：
 
处理用户注册数据，
产生token，生成验证URL，
发送验证邮件，
用户登录网址，进行验证，
验证处理。
 
具体步骤：
 
1、添加用户
        在Django中自带的User表中，有一个is_active字段，默认值是True，即用户填完表单提交之后，就可以进行登录。我们这里首先将is_acitve字段设为False，也就是说，必须经过后续的邮箱验证，才能够正常登录。
部分代码：
  

 if request.method == 'POST':

        form = CustomUserCreationForm(request.POST)

        if form.is_valid():

            cd = form.cleaned_data

            #new_user = form.save()

            username,password,email = cd['username'],cd['password1'],cd['email']

            user = User.objects.create(username=username, password=password, email=email, is_active=False)

            user.set_password(password)

            user.save()




提交后，数据库中会增加一条记录，但is_acitve字段为False，此时还不是有效用户。
 
2、邮件验证
 邮件验证主要有两步，一是产证token，即加密，二是处理验证链接。
 
 1）产生token
之前我采用的是简单的base64加解密方法， 但终究是太简单了，后来看到关于Flask的验证用户的文章（http://python.jobbole.com/81410/），就采用了itsdangerous序列化方法，其实Flask的session就用了itsdangerous序列化。我使用它的重要原因是它自带有一个时间戳，而且序列化方法要比单纯的使用base64给力得多。
 
代码：

from itsdangerous import URLSafeTimedSerializer as utsr

import base64

import re

class Token():

    def __init__(self,security_key):

        self.security_key = security_key

        self.salt = base64.encodestring(security_key)

    def generate_validate_token(self,username):

        serializer = utsr(self.security_key)

        return serializer.dumps(username,self.salt)

    def confirm_validate_token(self,token,expiration=3600):

        serializer = utsr(self.security_key)

        return serializer.loads(token,

                          salt=self.salt,

                          max_age=expiration)




 

security_key就是settings.py中设置的SECRET_KEY，salt是经过base64加密的SECRET_KEY， generate_validate_token函数通过URLSafeTimedSerializer在用户注册时生成一个令牌。用户名在令牌中被编了码。生成令牌之后，会将带有token的验证链接发送到注册邮箱。在confirm_validate_token函数中，只要令牌没过期，那它就会返回一个用户名，过期时间为3600秒。
发送邮件函数代码：

token = token_confirm.generate_validate_token(username)

#active_key = base64.encodestring(username)

#send email to the register email

message = "\n".join([

u'{0},欢迎加入我的博客'.format(username),

u'请访问该链接，完成用户验证:',

'/'.join([DOMAIN,'account/activate',token])

])

send_mail(u'注册用户验证信息',message, None,[email])




2）处理邮件验证

  就是对应验证链接的视图函数，该函数的主要目的是将User表中用户的is_active字段更新为True。

def active_user(request,token):

       username = token_confirm.confirm_validate_token(token)

       user = User.objects.get(username=username)

       user.is_active = True

       user.save() 

 

这里要说一下url的设置。经过itsdangerous产生的token是随机且规律的，说它规律是因为它是由三部分组成，并由点号隔开。类似这样：Imhibm4i.Cg-UAQ.n7ZI2N9kUZ1eOcfBtxlMOdOYYE0。说它随机是因为每一部分的内容可能不仅仅含有字母数字，可能还含有连接符-,_。因此url应该是：url(r'^account/activate/(?P<token>\w+.[-_\w]*\w+.[-_\w]*\w+)/$','blog.views.active_user',name='active_user')
经过上述操作后，用户就可以利用刚注册的用户名进行登录了。
 
 
贴出完整代码：

from utils.token import Token

from django.core.mail import send_mail

from .forms import UserLoginForm,CustomUserCreationForm

token_confirm = Token(SECRET_KEY)

def Register(request):

    if request.method == 'POST':

        form = CustomUserCreationForm(request.POST)

        if form.is_valid():

            cd = form.cleaned_data

            #new_user = form.save()

            username,password,email = cd['username'],cd['password1'],cd['email']

            user = User.objects.create(username=username, password=password, email=email, is_active=False)

            user.set_password(password)

            user.save()

            token = token_confirm.generate_validate_token(username)

            #active_key = base64.encodestring(username)

            #send email to the register email

            message = "\n".join([

                u'{0},欢迎加入我的博客'.format(username),

                u'请访问该链接，完成用户验证:',

                 '/'.join([DOMAIN,'account/activate',token])

            ])

            send_mail(u'注册用户验证信息',message, None,[cd['email']])

            #user = auth.authenticate(username=username,password=password)

            #auth.login(request,user)

            return HttpResponse(u"请登录到注册邮箱中验证用户，有效期为1个小时。")

    else:

        form = CustomUserCreationForm()

    return render(request,'register.html',{'form':form})

def active_user(request,token):

    """

    the view function is used to accomplish the user register confirm,only after input the link

    that sent to the register email,user can login the site normally.

    :param request:

    :param activate_key:the paragram is gotten by encrypting username when user register

    :return:

    """

    try:

        username = token_confirm.confirm_validate_token(token)

    except:

        return HttpResponse(u'对不起，验证链接已经过期')

    try:

        user = User.objects.get(username=username)

    except User.DoesNotExist:

        return HttpResponse(u'对不起，您所验证的用户不存在，请重新注册')

    user.is_active = True

    user.save()

    confirm = u'验证成功，请进行登录操作。'

    return HttpResponseRedirect('/account/login',{'confirm':confirm})

 

 

 

 
 
 

在Django中进行注册用户的邮件确认的相关教程结束。