很自然地，我們會(huì)想到如果能用郵件確認(rèn)的方式對(duì)新注冊(cè)用戶進(jìn)行審查，既安全又正式，也是目前很多站點(diǎn)的做法。

一、 創(chuàng)建模型

既然要區(qū)分通過和未通過郵件確認(rèn)的用戶，那么必須給用戶添加一個(gè)是否進(jìn)行過郵件確認(rèn)的屬性。

另外，我們要?jiǎng)?chuàng)建一張新表，用于保存用戶的確認(rèn)碼以及注冊(cè)提交的時(shí)間。

全新、完整的/login/models.py文件如下：

from django.db import models

# Create your models here.


class User(models.Model):

    gender = (
        ('male', "男"),
        ('female', "女"),
    )

    name = models.CharField(max_length=128, unique=True)
    password = models.CharField(max_length=256)
    email = models.EmailField(unique=True)
    sex = models.CharField(max_length=32, choices=gender, default="男")
    c_time = models.DateTimeField(auto_now_add=True)
    has_confirmed = models.BooleanField(default=False)

    def __str__(self):
        return self.name

    class Meta:
        ordering = ["-c_time"]
        verbose_name = "用戶"
        verbose_name_plural = "用戶"


class ConfirmString(models.Model):
    code = models.CharField(max_length=256)
    user = models.OneToOneField('User', on_delete=models.CASCADE)
    c_time = models.DateTimeField(auto_now_add=True)

    def __str__(self):
        return self.user.name + ":   " + self.code

    class Meta:

        ordering = ["-c_time"]
        verbose_name = "確認(rèn)碼"
        verbose_name_plural = "確認(rèn)碼"

說明：

• User模型新增了has_confirmed字段，這是個(gè)布爾值，默認(rèn)為False，也就是未進(jìn)行郵件注冊(cè)；
• ConfirmString模型保存了用戶和注冊(cè)碼之間的關(guān)系，一對(duì)一的形式；
• code字段是哈希后的注冊(cè)碼；
• user是關(guān)聯(lián)的一對(duì)一用戶；
• c_time是注冊(cè)的提交時(shí)間。

這里有個(gè)問題可以討論一下：是否需要?jiǎng)?chuàng)建ConfirmString新表？可否都放在User表里？我認(rèn)為如果全都放在User中，不利于管理，查詢速度慢，創(chuàng)建新表有利于區(qū)分已確認(rèn)和未確認(rèn)的用戶。最終的選擇可以根據(jù)你的實(shí)際情況具體分析。

模型修改和創(chuàng)建完畢，需要執(zhí)行migrate命令，一定不要忘了。

順便修改一下admin.py文件，方便我們?cè)诤笈_(tái)修改和觀察數(shù)據(jù)。

# login/admin.py

from django.contrib import admin

# Register your models here.

from . import models

admin.site.register(models.User)
admin.site.register(models.ConfirmString)

二、修改視圖

首先，要修改我們的register()視圖的邏輯：

def register(request):
    if request.session.get('is_login', None):
        return redirect('/index/')

    if request.method == 'POST':
        register_form = forms.RegisterForm(request.POST)
        message = "請(qǐng)檢查填寫的內(nèi)容！"
        if register_form.is_valid():
            username = register_form.cleaned_data.get('username')
            password1 = register_form.cleaned_data.get('password1')
            password2 = register_form.cleaned_data.get('password2')
            email = register_form.cleaned_data.get('email')
            sex = register_form.cleaned_data.get('sex')

            if password1 != password2:
                message = '兩次輸入的密碼不同！'
                return render(request, 'login/register.html', locals())
            else:
                same_name_user = models.User.objects.filter(name=username)
                if same_name_user:
                    message = '用戶名已經(jīng)存在'
                    return render(request, 'login/register.html', locals())
                same_email_user = models.User.objects.filter(email=email)
                if same_email_user:
                    message = '該郵箱已經(jīng)被注冊(cè)了！'
                    return render(request, 'login/register.html', locals())

                new_user = models.User()
                new_user.name = username
                new_user.password = hash_code(password1)
                new_user.email = email
                new_user.sex = sex
                new_user.save()

                code = make_confirm_string(new_user)
                send_email(email, code)

                message = '請(qǐng)前往郵箱進(jìn)行確認(rèn)！'
                return render(request, 'login/confirm.html', locals())
        else:
            return render(request, 'login/register.html', locals())
    register_form = forms.RegisterForm()
    return render(request, 'login/register.html', locals())

關(guān)鍵是多了下面兩行：

code = make_confirm_string(new_user)
send_email(email, code)

make_confirm_string()是創(chuàng)建確認(rèn)碼對(duì)象的方法，代碼如下：

import datatime

def make_confirm_string(user):
    now = datetime.datetime.now().strftime("%Y-%m-%d %H:%M:%S")
    code = hash_code(user.name, now)
    models.ConfirmString.objects.create(code=code, user=user,)
    return code

在文件頂部要先導(dǎo)入datetime模塊。

make_confirm_string()方法接收一個(gè)用戶對(duì)象作為參數(shù)。首先利用datetime模塊生成一個(gè)當(dāng)前時(shí)間的字符串now，再調(diào)用我們前面編寫的hash_code()方法以用戶名為基礎(chǔ)，now為‘鹽’，生成一個(gè)獨(dú)一無二的哈希值，再調(diào)用ConfirmString模型的create()方法，生成并保存一個(gè)確認(rèn)碼對(duì)象。最后返回這個(gè)哈希值。

send_email(email, code)方法接收兩個(gè)參數(shù)，分別是注冊(cè)的郵箱和前面生成的哈希值，代碼如下：

from django.conf import settings

def send_email(email, code):

    from django.core.mail import EmailMultiAlternatives

    subject = '來自www.liujiangblog.com的注冊(cè)確認(rèn)郵件'

    text_content = '''感謝注冊(cè)www.liujiangblog.com，這里是劉江的博客和教程站點(diǎn)，專注于Python、Django和機(jī)器學(xué)習(xí)技術(shù)的分享！\
                    如果你看到這條消息，說明你的郵箱服務(wù)器不提供HTML鏈接功能，請(qǐng)聯(lián)系管理員！'''

    html_content = '''
                    <p>感謝注冊(cè)<a href="http://{}/confirm/?code={}" target=blank>www.liujiangblog.com</a>，\
                    這里是劉江的博客和教程站點(diǎn)，專注于Python、Django和機(jī)器學(xué)習(xí)技術(shù)的分享！</p>
                    <p>請(qǐng)點(diǎn)擊站點(diǎn)鏈接完成注冊(cè)確認(rèn)！</p>
                    <p>此鏈接有效期為{}天！</p>
                    '''.format('127.0.0.1:8000', code, settings.CONFIRM_DAYS)

    msg = EmailMultiAlternatives(subject, text_content, settings.EMAIL_HOST_USER, [email])
    msg.attach_alternative(html_content, "text/html")
    msg.send()

首先我們需要導(dǎo)入settings配置文件from django.conf import settings。

郵件內(nèi)容中的所有字符串都可以根據(jù)你的實(shí)際情況進(jìn)行修改。其中關(guān)鍵在于<a href=''>中鏈接地址的格式，我這里使用了硬編碼的'127.0.0.1:8000'，請(qǐng)酌情修改，url里的參數(shù)名為code，它保存了關(guān)鍵的注冊(cè)確認(rèn)碼，最后的有效期天數(shù)為設(shè)置在settings中的CONFIRM_DAYS。所有的這些都是可以定制的！

下面是郵件相關(guān)的settings配置：

# 郵件配置
EMAIL_BACKEND = 'django.core.mail.backends.smtp.EmailBackend'
EMAIL_HOST = 'smtp.sina.com'
EMAIL_PORT = 25
EMAIL_HOST_USER = 'xxx@sina.com'
EMAIL_HOST_PASSWORD = 'xxxxxx'

# 注冊(cè)有效期天數(shù)
CONFIRM_DAYS = 7

三、處理郵件確認(rèn)請(qǐng)求

首先，在根目錄的urls.py中添加一條url：

path('confirm/', views.user_confirm),

其次，在login/views.py中添加一個(gè)user_confirm視圖。

def user_confirm(request):
    code = request.GET.get('code', None)
    message = ''
    try:
        confirm = models.ConfirmString.objects.get(code=code)
    except:
        message = '無效的確認(rèn)請(qǐng)求!'
        return render(request, 'login/confirm.html', locals())

    c_time = confirm.c_time
    now = datetime.datetime.now()
    if now > c_time + datetime.timedelta(settings.CONFIRM_DAYS):
        confirm.user.delete()
        message = '您的郵件已經(jīng)過期！請(qǐng)重新注冊(cè)!'
        return render(request, 'login/confirm.html', locals())
    else:
        confirm.user.has_confirmed = True
        confirm.user.save()
        confirm.delete()
        message = '感謝確認(rèn)，請(qǐng)使用賬戶登錄！'
        return render(request, 'login/confirm.html', locals())

說明：

• 通過request.GET.get('code', None)從請(qǐng)求的url地址中獲取確認(rèn)碼;
• 先去數(shù)據(jù)庫(kù)內(nèi)查詢是否有對(duì)應(yīng)的確認(rèn)碼;
• 如果沒有，返回confirm.html頁(yè)面，并提示;
• 如果有，獲取注冊(cè)的時(shí)間c_time，加上設(shè)置的過期天數(shù)，這里是7天，然后與現(xiàn)在時(shí)間點(diǎn)進(jìn)行對(duì)比；
• 如果時(shí)間已經(jīng)超期，刪除注冊(cè)的用戶，同時(shí)注冊(cè)碼也會(huì)一并刪除，然后返回confirm.html頁(yè)面，并提示;
• 如果未超期，修改用戶的has_confirmed字段為True，并保存，表示通過確認(rèn)了。然后刪除注冊(cè)碼，但不刪除用戶本身。最后返回confirm.html頁(yè)面，并提示。

這里需要一個(gè)confirm.html頁(yè)面，我們將它創(chuàng)建在/login/templates/login/下面：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>注冊(cè)確認(rèn)</title>
</head>
<body>


    <h1 style="margin-left: 100px;">{{ message }}</h1>

    <script>
        window.setTimeout("window.location='/login/'",2000);
    </script>

</body>
</html>

頁(yè)面中通過JS代碼，設(shè)置2秒后自動(dòng)跳轉(zhuǎn)到登錄頁(yè)面。

confirm.html頁(yè)面僅僅是個(gè)示意的提示頁(yè)面，你可以根據(jù)自己的需要去除或者美化。

四、修改登錄規(guī)則

既然未進(jìn)行郵件確認(rèn)的用戶不能登錄，那么我們就必須修改登錄規(guī)則，如下所示：

def login(request):
    if request.session.get('is_login', None):  # 不允許重復(fù)登錄
        return redirect('/index/')
    if request.method == 'POST':
        login_form = forms.UserForm(request.POST)
        message = '請(qǐng)檢查填寫的內(nèi)容！'
        if login_form.is_valid():
            username = login_form.cleaned_data.get('username')
            password = login_form.cleaned_data.get('password')

            try:
                user = models.User.objects.get(name=username)
            except :
                message = '用戶不存在！'
                return render(request, 'login/login.html', locals())

            if not user.has_confirmed:
                message = '該用戶還未經(jīng)過郵件確認(rèn)！'
                return render(request, 'login/login.html', locals())

            if user.password == hash_code(password):
                request.session['is_login'] = True
                request.session['user_id'] = user.id
                request.session['user_name'] = user.name
                return redirect('/index/')
            else:
                message = '密碼不正確！'
                return render(request, 'login/login.html', locals())
        else:
            return render(request, 'login/login.html', locals())

    login_form = forms.UserForm()
    return render(request, 'login/login.html', locals())

關(guān)鍵是下面的部分：

if not user.has_confirmed:
    message = '該用戶還未經(jīng)過郵件確認(rèn)！'
    return render(request, 'login/login.html', locals())

最后，貼出view.py的整體代碼，供大家參考：

from django.shortcuts import render
from django.shortcuts import redirect
from django.conf import settings
from . import models
from . import forms
import hashlib
import datetime
# Create your views here.


def hash_code(s, salt='mysite'):
    h = hashlib.sha256()
    s += salt
    h.update(s.encode())
    return h.hexdigest()


def make_confirm_string(user):
    now = datetime.datetime.now().strftime("%Y-%m-%d %H:%M:%S")
    code = hash_code(user.name, now)
    models.ConfirmString.objects.create(code=code, user=user)
    return code


def send_email(email, code):

    from django.core.mail import EmailMultiAlternatives

    subject = '來自www.liujiangblog.com的注冊(cè)確認(rèn)郵件'

    text_content = '''感謝注冊(cè)www.liujiangblog.com，這里是劉江的博客和教程站點(diǎn)，專注于Python、Django和機(jī)器學(xué)習(xí)技術(shù)的分享！\
                    如果你看到這條消息，說明你的郵箱服務(wù)器不提供HTML鏈接功能，請(qǐng)聯(lián)系管理員！'''

    html_content = '''
                    <p>感謝注冊(cè)<a href="http://{}/confirm/?code={}" target=blank>www.liujiangblog.com</a>，\
                    這里是劉江的博客和教程站點(diǎn)，專注于Python、Django和機(jī)器學(xué)習(xí)技術(shù)的分享！</p>
                    <p>請(qǐng)點(diǎn)擊站點(diǎn)鏈接完成注冊(cè)確認(rèn)！</p>
                    <p>此鏈接有效期為{}天！</p>
                    '''.format('127.0.0.1:8000', code, settings.CONFIRM_DAYS)

    msg = EmailMultiAlternatives(subject, text_content, settings.EMAIL_HOST_USER, [email])
    msg.attach_alternative(html_content, "text/html")
    msg.send()


def index(request):
    if not request.session.get('is_login', None):
        return redirect('/login/')
    return render(request, 'login/index.html')


def login(request):
    if request.session.get('is_login', None):  # 不允許重復(fù)登錄
        return redirect('/index/')
    if request.method == 'POST':
        login_form = forms.UserForm(request.POST)
        message = '請(qǐng)檢查填寫的內(nèi)容！'
        if login_form.is_valid():
            username = login_form.cleaned_data.get('username')
            password = login_form.cleaned_data.get('password')

            try:
                user = models.User.objects.get(name=username)
            except :
                message = '用戶不存在！'
                return render(request, 'login/login.html', locals())

            if not user.has_confirmed:
                message = '該用戶還未經(jīng)過郵件確認(rèn)！'
                return render(request, 'login/login.html', locals())

            if user.password == hash_code(password):
                request.session['is_login'] = True
                request.session['user_id'] = user.id
                request.session['user_name'] = user.name
                return redirect('/index/')
            else:
                message = '密碼不正確！'
                return render(request, 'login/login.html', locals())
        else:
            return render(request, 'login/login.html', locals())

    login_form = forms.UserForm()
    return render(request, 'login/login.html', locals())


def register(request):
    if request.session.get('is_login', None):
        return redirect('/index/')

    if request.method == 'POST':
        register_form = forms.RegisterForm(request.POST)
        message = "請(qǐng)檢查填寫的內(nèi)容！"
        if register_form.is_valid():
            username = register_form.cleaned_data.get('username')
            password1 = register_form.cleaned_data.get('password1')
            password2 = register_form.cleaned_data.get('password2')
            email = register_form.cleaned_data.get('email')
            sex = register_form.cleaned_data.get('sex')

            if password1 != password2:
                message = '兩次輸入的密碼不同！'
                return render(request, 'login/register.html', locals())
            else:
                same_name_user = models.User.objects.filter(name=username)
                if same_name_user:
                    message = '用戶名已經(jīng)存在'
                    return render(request, 'login/register.html', locals())
                same_email_user = models.User.objects.filter(email=email)
                if same_email_user:
                    message = '該郵箱已經(jīng)被注冊(cè)了！'
                    return render(request, 'login/register.html', locals())

                new_user = models.User()
                new_user.name = username
                new_user.password = hash_code(password1)
                new_user.email = email
                new_user.sex = sex
                new_user.save()

                code = make_confirm_string(new_user)
                send_email(email, code)

                message = '請(qǐng)前往郵箱進(jìn)行確認(rèn)！'
                return render(request, 'login/confirm.html', locals())
        else:
            return render(request, 'login/register.html', locals())
    register_form = forms.RegisterForm()
    return render(request, 'login/register.html', locals())


def logout(request):
    if not request.session.get('is_login', None):
        return redirect('/login/')

    request.session.flush()
    # del request.session['is_login']
    return redirect("/login/")


def user_confirm(request):
    code = request.GET.get('code', None)
    message = ''

    try:
        confirm = models.ConfirmString.objects.get(code=code)
    except:
        message = '無效的確認(rèn)請(qǐng)求！'
        return render(request, 'login/confirm.html', locals())

    c_time = confirm.c_time
    now = datetime.datetime.now()
    if now > c_time + datetime.timedelta(settings.CONFIRM_DAYS):
        confirm.user.delete()
        message = '您的郵件已經(jīng)過期！請(qǐng)重新注冊(cè)！'
        return render(request, 'login/confirm.html', locals())
    else:
        confirm.user.has_confirmed = True
        confirm.user.save()
        confirm.delete()
        message = '感謝確認(rèn)，請(qǐng)使用賬戶登錄！'
        return render(request, 'login/confirm.html', locals())

五、功能展示

首先，通過admin后臺(tái)刪除原來所有的用戶。

進(jìn)入注冊(cè)頁(yè)面，如下圖所示：

image.png

點(diǎn)擊注冊(cè)后，跳轉(zhuǎn)到提示信息頁(yè)面，2秒后再跳轉(zhuǎn)到登錄頁(yè)面。

嘗試登錄用戶，但提示還未進(jìn)行郵件確認(rèn)：

image.png

進(jìn)入admin后臺(tái)，查看剛才建立的用戶，可以看到其處于未確認(rèn)狀態(tài)：

image.png

進(jìn)入你的測(cè)試郵箱，查看注冊(cè)郵件：

image.png

點(diǎn)擊鏈接，自動(dòng)跳轉(zhuǎn)到確認(rèn)成功提示頁(yè)面，2秒后再跳轉(zhuǎn)到登錄頁(yè)面。這個(gè)時(shí)候再次查看admin后臺(tái)，可以看到用戶已經(jīng)處于登錄確認(rèn)狀態(tài)，并且確認(rèn)碼也被自動(dòng)刪除了，不會(huì)第二次被使用：

image.png

使用該用戶正常登錄吧！Very Good！一切都很不錯(cuò)！

六、總結(jié)說明

關(guān)于郵件注冊(cè)，還有很多內(nèi)容可以探討，比如定時(shí)刪除未在有效期內(nèi)進(jìn)行郵件確認(rèn)的用戶，這個(gè)可以用Django的celery實(shí)現(xiàn)，或者使用Linux的cronb功能。

關(guān)于郵件注冊(cè)的工作邏輯，項(xiàng)目里只是拋磚引玉，做個(gè)展示，并不夠嚴(yán)謹(jǐn)，也需要你自己根據(jù)實(shí)際環(huán)境去設(shè)計(jì)。

最后，其實(shí)Django生態(tài)圈有一個(gè)現(xiàn)成的郵件注冊(cè)模塊django-registration，但是這個(gè)模塊靈活度不高，并且綁定了Auth框架，有興趣的可以去看看其英文文檔，中文資料較少。