手机号短信验证码登录实现详解

本文手把手教你如何在 Django 中彻底弃用传统邮箱/用户名登录，构建一套安全、规范、生产就绪的纯手机号+短信验证码认证体系——从自定义用户模型（以 phone_number 为唯一标识）、集成成熟短信验证库（django-phone-verify）、重写认证后端，到实现无密码登录逻辑与关键安全实践（E.164格式校验、Redis缓存验证码、防刷限频、HTTPS强制要求），覆盖全链路核心细节，助你快速落地符合现代移动端体验与安全标准的身份认证方案。

本文详解如何在 Django 中弃用邮箱/用户名，改用手机号作为唯一登录凭证，并集成短信验证码验证流程，涵盖自定义用户模型、认证后端、登录逻辑及第三方库选型建议。

本文详解如何在 Django 中弃用邮箱/用户名，改用手机号作为唯一登录凭证，并集成短信验证码验证流程，涵盖自定义用户模型、认证后端、登录逻辑及第三方库选型建议。

在 Django 中实现纯手机号认证（无密码、免邮箱），需从底层重构用户体系：核心在于替换默认认证字段、扩展用户模型、重写认证逻辑，并安全集成短信验证码机制。以下为生产就绪的分步实践方案。

一、定义自定义用户模型

首先创建继承 AbstractUser 的 User 模型，将 phone_number 设为唯一标识字段：

# models.py
from django.db import models
from django.contrib.auth.models import AbstractUser

class User(AbstractUser):
    phone_number = models.CharField(max_length=15, unique=True, help_text="E.164 format, e.g., +8613800138000")
    username = None  # 显式禁用 username 字段（避免冗余）

    USERNAME_FIELD = 'phone_number'  # 关键：指定登录主键
    REQUIRED_FIELDS = []  # 注册时无需额外必填字段（如 email）

    def __str__(self):
        return self.phone_number

✅ 注意：max_length=15 足够容纳国际格式（如 +8613800138000）；务必在 settings.py 中配置 AUTH_USER_MODEL = 'myapp.User'，且该设置必须在首次迁移前完成。

二、实现短信验证码流程（推荐方案）

不建议重复造轮子。推荐使用成熟库 django-phone-verify（活跃维护、支持 Redis 缓存、内置防刷机制）：

pip install django-phone-verify

配置 settings.py：

# settings.py
PHONE_VERIFICATION = {
    "BACKEND": "phone_verify.backends.SmsBackend",
    "TWILIO": {
        "SID": "your_twilio_sid",
        "TOKEN": "your_twilio_token",
        "FROM": "+1234567890"  # Twilio 号码
    },
    "CACHE": "default",  # 使用 Django 默认缓存（如 Redis）
}

发送验证码示例（视图中）：

# views.py
from phone_verify.api import send_sms_code

def send_verification_code(request):
    if request.method == 'POST':
        phone = request.POST.get('phone_number')
        try:
            send_sms_code(phone)  # 自动缓存验证码（60s 有效）
            return JsonResponse({'status': 'sent'})
        except Exception as e:
            return JsonResponse({'error': str(e)}, status=400)

三、重写认证后端与登录逻辑

Django 默认 ModelBackend 仅支持 username 认证，需自定义后端：

# auth_backends.py
from django.contrib.auth.backends import ModelBackend
from django.contrib.auth import get_user_model

User = get_user_model()

class PhoneBackend(ModelBackend):
    def authenticate(self, request, username=None, password=None, **kwargs):
        if username is None:
            username = kwargs.get('phone_number')
        try:
            user = User.objects.get(phone_number=username)
        except User.DoesNotExist:
            return None
        if user.check_password(password):
            return user
        return None

在 settings.py 中启用：

AUTHENTICATION_BACKENDS = [
    'myapp.auth_backends.PhoneBackend',  # 自定义后端优先
    'django.contrib.auth.backends.ModelBackend',
]

⚠️ 关键提示：若采用「无密码登录」（仅验证码），则不应调用 check_password()，而应在登录视图中验证短信码有效性（例如通过 phone_verify.api.verify_code(phone, code)），验证通过后直接 login(request, user)。

四、登录视图示例（验证码模式）

# views.py
from django.contrib.auth import login
from phone_verify.api import verify_code
from django.contrib.auth import get_user_model

User = get_user_model()

def phone_login(request):
    if request.method == 'POST':
        phone = request.POST['phone_number']
        code = request.POST['verification_code']

        if verify_code(phone, code):  # 验证码正确
            user, created = User.objects.get_or_create(phone_number=phone)
            login(request, user)
            return redirect('dashboard')
        else:
            return render(request, 'login.html', {'error': 'Invalid or expired code'})
    return render(request, 'login.html')

总结与最佳实践

• ✅ 强制使用国际号码格式（E.164）：避免地区歧义，便于未来扩展；
• ✅ 验证码时效性与频率限制：django-phone-verify 默认提供 60s 有效期 + 每分钟限发 1 次；
• ✅ 敏感操作二次确认：修改手机号、重置凭证等场景需重新验证；
• ❌ 避免在数据库明文存储验证码；所有临时码应仅存在于缓存（Redis）中；
• ? 生产环境务必启用 HTTPS，防止短信码在传输中被截获。

通过以上结构化改造，你将获得一个安全、可维护、符合 Django 最佳实践的手机号认证系统。

理论要掌握，实操不能落！以上关于《手机号短信验证码登录实现详解》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！