五一在家，VPN不能链接了，而项目在本地run的过程中，又需要链接公司的SSO server才能login。下雨，不想去公司，又不得不在家做task，只能想办法避开SSO login，以前知道django自带的有login模块，就打算用它暂时替换掉项目本身的login模块，这样就能绕过SSO验证，就不用连接到公司的server了。
我接这个项目的时候，login模块就做好了，一直也没出问题，也没去研究过，趁此机会，学习了一下django的用户验证框架。

以前没怎么做过web，开始正儿八经接触web框架就是springMVC，用户验证这块儿也就配过spring-security，初步认识Auth/Auth模块就是user验证，赋予权限，然后再驱动登录创建session。django的User authentication模块也确实涵盖了这些，不过，它的特点是更简单，更灵活。

django的用户验证模块基于django.contrib.auth，auth.models里面有一个User类，User类继承了AbstractBaseUser和PermissionsMixin两个类，AbstractBaseUser提供User的基本属性和相应的get/set方法比如username,password,email。PermissionsMixin提供usr权限相关的方法,可以验证User的权限，赋予User权限等。

auth的__init__.py里面提供了authenticate, login, logout等方法，用于验证和登录、登出。

django提供了几种用户验证方式:user对象验证，web requests对user对象验证，还有基于装饰器的验证方法@login_required，@user_passes_test，@permission_required。用起来比较简单。

当然，除了default的authentication，django也允许使用自定义的authentication backend, 我一直认为是django框架灵活性的最大体现，作为一个全栈的web框架，django更倾向于自己实现所有的模块，很少直接兼容第三方模块，能自定义backend替换default的，算是django框架的一条通往外界之路。

自定义的authentication backend只要实现两个方法：authenticate和get_user，然后在setting.py的AUTHENTICATION_BACKENDS属性里进行一下声明就可以了，auth模块的__init__.py中有个get_backends的方法，会收集所有声明在AUTHENTICATION_BACKENDS中的所有authentication backend对象，在auth.authenticate方法中遍历执行get_backends对象列表的authenticate方法，只要返回的user为真，就直接return出去。

所以，我在项目中避开SSO login的操作就是把AUTHENTICATION_BACKENDS中django的default user authentication模块（django.contrib.auth.backends.ModelBackend），调整到自定义的authentication backend声明之前，然后在成功验证拿到User对象之后，调用django的login,完成session创建和登录跳转，就ＯＫ了。