Django-allauth实现管理员二次验证的账户激活机制

在用户注册流程中，有时需要同时实现邮箱验证和管理员人工审核的双重验证机制。本文将深入探讨如何基于django-allauth实现这一需求。

核心需求分析

标准的django-allauth注册流程包含三个关键步骤：

1. 用户提交注册表单
2. 系统发送邮箱验证邮件
3. 用户点击验证链接后立即获得登录权限

但在某些安全要求较高的场景下，我们需要在邮箱验证之后增加管理员人工审核环节，形成完整的双重验证流程：

1. 用户注册并验证邮箱
2. 账户进入待审核状态
3. 管理员后台审核通过
4. 用户最终获得登录权限

常见误区与解决方案

许多开发者会直接想到通过修改用户模型的is_active字段来实现，但这会导致意料之外的问题：

1. 直接设置is_active=False的缺陷
   如果在注册时立即将is_active设为False，allauth会认为这是一个被禁用的账户，直接跳过邮箱验证流程，将用户重定向到账户禁用页面。

2. 正确的实现时机
   应该在邮箱验证完成后的信号阶段进行状态变更，而非注册阶段。这是因为：

   • 确保邮箱验证流程能正常完成
   • 避免影响已存在用户的二次邮箱验证
   • 符合django对is_active字段的设计初衷

具体实现方案

1. 监听邮箱验证信号

from allauth.account.signals import email_confirmed
from django.dispatch import receiver

@receiver(email_confirmed)
def handle_email_confirmed(sender, request, email_address, **kwargs):
    user = email_address.user
    if not user.has_usable_password():  # 确保是新注册用户
        user.is_active = False
        user.save()

2. 定制用户模型（可选）

对于更复杂的审核流程，可以扩展用户模型：

class CustomUser(AbstractUser):
    VERIFICATION_CHOICES = [
        ('pending', '待审核'),
        ('approved', '已批准'),
        ('rejected', '已拒绝')
    ]
    verification_status = models.CharField(
        max_length=10,
        choices=VERIFICATION_CHOICES,
        default='pending'
    )

3. 管理员审核界面

创建简单的管理命令或后台界面供管理员审核：

from django.contrib import admin

@admin.register(User)
class UserAdmin(admin.ModelAdmin):
    list_display = ('username', 'email', 'is_active', 'verification_status')
    actions = ['approve_users']
    
    def approve_users(self, request, queryset):
        queryset.update(is_active=True, verification_status='approved')

最佳实践建议

1. 状态分离原则
   建议将审核状态与is_active字段分离，使用单独的字段记录审核状态。is_active应仅用于表示账户是否被禁用。

2. 通知机制
   实现邮件通知功能，在以下节点自动发送通知：

   • 用户完成邮箱验证时通知管理员
   • 管理员审核通过时通知用户

3. 前端提示
   定制模板显示清晰的审核状态信息，避免用户困惑。

通过以上方案，开发者可以在django-allauth的基础上构建出安全可靠的双重验证机制，既保证了用户体验，又满足了严格的账户审核需求。