到目前为止，虽然实现了登录功能，但用户登录信息的验证是有问题的，目前的做法只是简单地用if语句判断用户名和密码是否为“admin/admin123”

登录Admin后台

3.2节在使用“migrate”命令进行数据迁移时，Django同时也生成了auth_user表，该表中存放的用户信息可以用来登录Django自带的Admin管理后台。在此之前先来创建登录Admin后台的管理员账号。

\guest> python3 manage.py createsuperuser
Username (leave blank to use 'fnngj'):admin #输入用户名
Email address: admin@mail.com    #输入邮箱
Password:                        #输入密码
Password (again):                #重复输入密码
Superuser created successfully.

创建的超级管理员账号/密码为：admin/admin123456.

Admin管理后台登录地址：http://127.0.0.1:8000/admin/。

如图3.9和图3.10所示，通过创建的超级管理员账号登录Admin后台，单击“Add”链接添加新的用户，并用创建的用户再次登录后台，尝试一下吧！相信你可以做到。

引用Django认证登录

Django已帮我们封装好了用户认证和登录的相关方法，只需拿来使用即可。并且，同样使用auth_user表中的数据进行验证，前面已经通过Admin后台向该表中添加了用户信息。

打开.../sign/views.py文件，修改login_action函数。

.....
from django.contrib import auth

.....
def login_action(request):
  if requset.method == 'POST':
     username = request.POST.get('username','')
     password = request.POST.get('password','')
     user = auth.authenticate(username=username,password=password)
     if user is not None:
        auth.login(request,user) #登录
        request.session['user'] = username #将session信息记录到浏览器
        respone = HttpResponseRedirect('/event_manage/')
        return response
     else:
        return render(request,'index.html',{'error':'username or password error!'})

使用authenticate()函数认证给出的用户名和密码。它接受两个参数：username和password，并且会在用户名和密码正确的情况下返回一个user对象，否则authenticate()返回None。

通过if语句判断authenticate()返回对象，如果不为None,则说明用户认证通过，调用login（）函数进行登录。login（）函数接收HttpRequest对象和一个user对象。

使用前面超级管理员账号（admin/admin123456），或则通过Admin管理后台创建用户账号来验证登录功能吧！

关上窗户

“上帝为你关上了一扇门，也一定会为你打开一扇窗”，我们为系统开发了一个需要用户认证的登录，然而，不需要通过登录也可以直接访问到登录成功的页面。

现在，尝试直接在浏览器中访问：http://127.0.0.1:8000/event_manage/

看！是不是直接打开了登录成功页，那么为什么还需要通过登录来访问这个页面呢？因此，我们需要把这些“窗户”都关上，使用户只能通过登录来访问。

再次感受一下Django的强大之处吧！一秒钟让你关好“窗户”。

......
from django.contrib.auth.decorators import login_required

......
# 发布会管理
@login_required
def event_manage(request):
    username = request.session.get('user','')
    return render(request,"event_manage.html",{"user":username})

是的，就是这么简单，如果想限制某个视图函数必须登录才能访问，则只需要再这个函数的前面加上@login_required的装饰即可。

你可以再次尝试访问/event_manage/目录（不要忘记清理浏览器缓存再试！），看看还能否直接访问到。

如图3.11所示。Django会告诉访问的页面不存在（Page not found 404）。

如果你足够细心，就可以发现在访问被@login_required装饰的视图时，默认跳转的URL中会包含“/accounts/login”,为什么不让他直接跳转到登录页面呢？不仅要告诉用户窗户是关着的，还指引用户到门的位置登录，这样岂不是更好？

修改.../urls.py文件，增加新的路径配置

.....
from sign import views

urlpatterns = {
   url(r' ^$',views.index),
   url(r'^accounts/login/$',view.index),
   ......
]

此时，当用户访问：

http://127.0.0.1:8000/

http://127.0.0.1:8000/index/

http://127.0.0.1:8000/event_manage/

默认都会跳转到登录页面。但是，如果你访问的是其他不存在的路径，比如/abc/，则依然会显示如图3.11所示的页面。这个时候需要设置默认的404页面，我们会在项目部署一章来添加这个页面。