# Как пользователь попадает в request.user?
## Короткий ответ
Django сам его туда кладёт, за это отвечают приложения `django.contrib.auth` и `django.contrib.sessions` и middleware `django.contrib.auth.middleware.AuthenticationMiddleware` и `django.contrib.sessions.middleware.SessionMiddleware`.
Их можно увидеть в файле settings.py в нашем проекте.
## Длинный ответ
Для начала, нужно разобраться с тем, что такое middleware.
### Middleware
Иногда нам хочется выполнять какой-то код при каждом запросе (например, логировать запросы), но не хочется добавлять его в каждый view. Для этого в Django есть механизм, который называется middleware.
Middleware — это такой код, который обрабатывает запрос и прокидывает его дальше, в следующий middleware или view.
Middleware также могут обрабатывать ответы, которые возвращаются view.
```
клиент
↓ запрос ↑
middleware1
↓ ↑
middleware2
↓ ↑ ответ
view
```
Процесс обработки запроса можно схематично представить так:
```python
request = ... # получили запрос от пользователя
middleware_1.process_request(request) # middleware_1 обработала запрос
middleware_2.process_request(request)
response = view(request) # здесь наш код
middleware_2.process_response(response)
middleware_1.process_response(response) # middleware_1 обработала ответ
return response # возвращаем пользователю ответ
```
Middleware похожи на декораторы — они помогают нам выносить общую логику за пределы функции. Только декораторы могут обернуть любые функции, а middleware — только view.
Через middleware проходят все запросы, которые мы обрабатываем. Если нам нужно обернуть только конкретный view, а не все сразу, лучше использовать декоратор.
Подробнее про middleware: https://docs.djangoproject.com/en/3.0/topics/http/middleware/
### request.user
Django использует middleware для того, чтобы в каждый запрос добавить поле `user`.
Это выглядит примерно так:
```
class AuthenticationMiddleware:
def process_request(request):
user = authenticate_user(request) # здесь мы аутентифицируем пользователя и достаём его из базы данных
request.user = user
```
AuthenticationMiddleware получает пользователя из `authenticate_user` и кладёт его в объект `request`.
После этого выполняется код нашей функции, в которой мы можем использовать `request.user`.
### Как реализовать `authenticate_user()`
Теперь поговорим о том, как можно реализовать функцию, которая по запросу вернёт нам пользователя, который сделал этот запрос.
> Процесс определения пользователя, который прислал запрос, называется _аутентификацией_
Как нам аутентифицировать пользователя, который делает запрос?
Другими словами, как мы можем убедиться, что запрос нам прислал именно тот пользователь, о котором мы думаем?
Как нам сопоставить запрос с id пользователя в нашей базе данных?
Самый привычный способ аутентификации — по логину и паролю.
Давайте с каждым запросом каким-то образом (сейчас неважно, каким) передавать логин и пароль пользователя.
Тогда мы можем аутентифицировать пользователя так:
```python
from django.contrib.auth.models import AnonymousUser
from django.contrib.auth.models import User
def authenticate_user(request):
username = request.POST.get('username') # здесь мы передаем логин и пароль в POST-запросе, но это необязательно
password = request.POST.get('password')
try:
user = User.objects.get(username=username)
except User.DoesNotExist:
# пользователь не существует, возвращаем анонимного пользователя
return AnonymousUser()
if user.check_password(password):
# пароль подошел, возвращаем найденного пользователя
return user
# пароль не подошел, возвращаем анонимного пользователя
return AnonymousUser()
```
`AnonymousUser()` — это специальный объект для представления анонимного пользователя. Если пользователь в запросе анонимный, значит нам не удалось аутентицифировать запрос.
Аутентификация по логину и паролю имеет право на жизнь, но у этого способа есть проблема: нам приходится передавать логин и пароль с каждым запросом.
Из этого следует, что нам нужно
- либо сохранять пароль на клиенте (в браузере)
- либо спрашивать пароль у пользователя при каждом запросе
Первый способ небезопасный, а второй очень неудобный для пользователя — представьте, что Практикум на каждый клик просит у вас ввести пароль.
### Аутентификация с помощью cookies
На помощь приходят cookies или куки — те самые, про которые показывает уведомления чуть ли не каждый сайт в интернете.
Куки позволяют серверу сохранить немного информации в браузере пользователя
Шпаргалка от Julia Evans про куки:
Мы можем использовать куки, чтобы аутентифицировать пользователя.
1. Спросим у пользователя пароль один раз, когда он залогинится.
2. Придумаем для пользователя специальную секретную строку (обычно её называют id сессии пользователя или session_id)
3. Запишем session_id и user_id в БД
4. Вернём браузеру cookie с session_id
После этого браузер будет отправлять в запросе cookie с session_id, а мы сможем по session_id определить user_id и достать пользователя из базы.
Таким образом мы не храним пароль в браузере и не спрашиваем его каждый раз у пользователя. win-win!
Система аутентификации в Django с помощью сессий работает несколько сложнее, я намеренно опустил много подробностей. Их не обязательно знать, если вы не собираетесь писать собственную систему аутентификации.
Достаточно понимать, что `request.user` появляется после того, как `django.contrib.auth.middleware.AuthenticationMiddleware` обрабатывает запрос.
### Ссылки
[Использование аутентификации в Django](https://docs.djangoproject.com/en/3.0/topics/auth/default/)
[Middlewares в Django](https://docs.djangoproject.com/en/3.0/topics/http/middleware/)
[Исходник AuthenticationMiddleware](https://github.com/django/django/blob/master/django/contrib/auth/middleware.py#L15-L23)
[OWASP Session Management CheatSheet (хардкор)](https://cheatsheetseries.owasp.org/cheatsheets/Session_Management_Cheat_Sheet.html)
Google Drive
Gist
Clipboard
Sign in with Wallet
