django中间件和auth模块

 

Django中间件

由django的生命周期图我们可以看出,django的中间件就类似于django的保安,请求一个相应时要先通过中间件才能到达django后端(url、views、template、models),同样后端进行响应的时候也需要经过中间件才能达到web服务网关。

django的七个中间件

MIDDLEWARE = [

                'django.middleware.security.SecurityMiddleware',

                'django.contrib.sessions.middleware.SessionMiddleware',

                'django.middleware.common.CommonMiddleware',

                'django.middleware.csrf.CsrfViewMiddleware',

                'django.contrib.auth.middleware.AuthenticationMiddleware',

                'django.contrib.messages.middleware.MessageMiddleware',

                'django.middleware.clickjacking.XFrameOptionsMiddleware',

            ]

django中间的自定义方法

中间件可以定义五个方法,分别是:(主要的是process_request和process_response)

  • process_request(self,request)
  • process_view(self, request, view_func, view_args, view_kwargs)
  • process_template_response(self,request,response)
  • process_exception(self, request, exception)
  • process_response(self, request, response)

自定义中间件的示例

1.process_request()方法

规律
  1.请求来的时候 会经过每个中间件里面的process_request方法(从上往下)
  2.如果方法里面直接返回了HttpResponse对象 那么会直接返回 不再往下执行
基于该特点就可以做访问频率限制,身份校验,权限校验

2.process_response()方法

规律
  1.必须将response形参返回 因为这个形参指代的就是要返回给前端的数据
  2.响应走的时候 会依次经过每一个中间件里面的process_response方法(从下往上)

3.process_view()方法

  1.在路由匹配成功执行视图函数之前 触发

4.process_exception()方法

  1.当你的视图函数报错时  就会自动执行

5.process_template_response()方法

  1.当你返回的HttpResponse对象中必须包含render属性才会触发

def index(request):

    print('我是index视图函数')

    def render():

        return HttpResponse('什么鬼玩意')

    obj = HttpResponse('index')

    obj.render = render

    return obj

总结:以上方法的返回值可以是None或一个HttpResponse对象,如果是None,则继续按照django定义的规则向后继续执行,如果是HttpResponse对象,则直接将该对象返回给用户。

中间件的proce_request方法是在执行视图函数之前执行的。

当配置多个中间件时,会按照MIDDLEWARE中的注册顺序,也就是列表的索引值,从前到后依次执行的。

不同的中间件之间传递的request都是同一个对象。

如果需要自己写的中间件生效,必须继承MiddlewareMixin,而且要保证在注册时路径不能写错。

csrf跨站请求伪造

关于钓鱼网站的原理,比如说你登录了一个钓鱼网站的页面,和充值一模一样的页面,你在哪里进行转账操作,它的转账信息也确实发到出了,你的账户确实也扣钱了,但是唯一不对的时收款人不是你输入的那个人,那是因为它在用户输入框的input上做了手脚,这个input没有设置name属性,而在内部,隐藏的标签里,有一个写好了name和value的input框,这样你只要点击提交,那个value(钓鱼网站受益人的账户)就会和你的转账信息一起发给钓鱼网站。

防止钓鱼网站的思路

token 字段

网站会给返回给用户的form表单页面 偷偷塞一个随机字符串
请求到来的时候 会先比对随机字符串是否一致 如果不一致 直接拒绝(403)
该随机字符串有以下特点
1.同一个浏览器每一次访问都不一样
2.不同浏览器绝对不会重复

通过{% csrf_token %}来生成随机字符串

1.form表单发送post请求的时候  需要你做得仅仅书写一句话

{% csrf_token %}

2.ajax发送post请求 如何避免csrf校验

1.现在页面上写{% csrf_token %},利用标签查找  获取到该input键值信息

    {'username':'jason','csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()}

    $('[name=csrfmiddlewaretoken]').val()

2.直接书写'{{ csrf_token }}'

    {'username':'jason','csrfmiddlewaretoken':'{{ csrf_token }}'}

    {{ csrf_token }}

3.你可以将该获取随机键值对的方法 写到一个js文件中,之后只需要导入该文件即可

    新建一个js文件 存放以下代码 之后导入即可

    function getCookie(name) {

        var cookieValue = null;

        if (document.cookie && document.cookie !== '') {

            var cookies = document.cookie.split(';');

            for (var i = 0; i < cookies.length; i++) {

                var cookie = jQuery.trim(cookies[i]);

                // Does this cookie string begin with the name we want?

                if (cookie.substring(0, name.length + 1) === (name + '=')) {

                    cookieValue = decodeURIComponent(cookie.substring(name.length + 1));

                    break;

                }

            }

        }

        return cookieValue;

    }

    var csrftoken = getCookie('csrftoken');

    function csrfSafeMethod(method) {

      // these HTTP methods do not require CSRF protection

      return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));

    }

    $.ajaxSetup({

      beforeSend: function (xhr, settings) {

        if (!csrfSafeMethod(settings.type) && !this.crossDomain) {

          xhr.setRequestHeader("X-CSRFToken", csrftoken);

        }

      }

    });

防钓鱼的处理方法有了,当如果你的网站全局都需要校验csrf的时候,又有几个不需要校验的该如何处理,相反如果你的网站全局不需要消炎csrf的时候,又有几个需要校验的功能又该怎么处理。

#先导入模块

from django.utils.decorators import method_decorator

from django.views.decorators.csrf import csrf_exempt,csrf_protect

当整个网站都不校验,只想某个功能校验时 

# 第一种方式

# @method_decorator(csrf_protect,name='post')  # 有效的

class MyView(View):

    # 第三种方式

    # @method_decorator(csrf_protect)

    def dispatch(self, request, *args, **kwargs):

        res = super().dispatch(request, *args, **kwargs)

        return res

    def get(self,request):

        return HttpResponse('get')

    # 第二种方式

    # @method_decorator(csrf_protect)  # 有效的

    def post(self,request):

        return HttpResponse('post')

当整个网站都校验,只想某个功能不校验时

#如果是csrf_exempt 只有两种(只能给dispatch装)   特例

@method_decorator(csrf_exempt,name='dispatch')  # 第二种可以不校验的方式

class MyView(View):

    # @method_decorator(csrf_exempt)  # 第一种可以不校验的方式

    def dispatch(self, request, *args, **kwargs):

        res = super().dispatch(request, *args, **kwargs)

        return res

    def get(self,request):

        return HttpResponse('get')

    def post(self,request):

        return HttpResponse('post')

总结:装饰器中只有csrf_exempt是特例,其他的装饰器在给CBV装饰的时候 都可以有三种方式,只有csrf_exempt必须通过dispatch来装饰.

Auth模块

1、Auth模块是什么

Auth模块是Django自带的用户认证模块:

我们在开发一个网站的时候,无可避免的需要设计实现网站的用户系统。此时我们需要实现包括用户注册、用户登录、用户认证、注销、修改密码等功能,这还真是个麻烦的事情呢。

Django作为一个完美主义者的终极框架,当然也会想到用户的这些痛点。它内置了强大的用户认证系统--auth,它默认使用 auth_user 表来存储用户数据。

要注意的时,使用auth模块的话最好用全套。

createsuperuser   #创建超级用户 这个超级用户就可以拥有登陆django admin后台管理的权限

auth模块的功能

    #查询用户

        from django.contrib import auth

        user_obj = auth.authenticate(username=username,password=password)  # 必须要用 因为数据库中的密码字段是密文的 而你获取的用户输入的是明文

    #记录用户状态

        auth.login(request,user_obj)  # 将用户状态记录到session中

    #判断用户是否登录

        print(request.user.is_authenticated)  # 判断用户是否登录  如果是你们用户会返回False

    #用户登录之后 获取用户对象

        print(request.user)  # 如果没有执行auth.login那么拿到的是匿名用户

    #校验用户是否登录

        from django.contrib.auth.decorators import  login_required

        @login_required(login_url='/xxx/')  # 局部配置

        def index(request):

            pass

        # 全局配置  settings文件中

        LOGIN_URL = '/xxx/'

    #验证密码是否正确

        request.user.check_password(old_password)

    #修改密码

        request.user.set_password(new_password)

        request.user.save()  # 修改密码的时候 一定要save保存 否则无法生效

    #退出登陆

        auth.logout(request)  # request.session.flush()

    #注册用户

            # User.objects.create(username =username,password=password)  # #创建用户名的时候 千万不要再使用create 了

            # User.objects.create_user(username =username,password=password)  # 创建普通用户

            User.objects.create_superuser(username =username,password=password,email='123@qq.com')  # 创建超级用户  邮箱必填

自定义auth_user表

from django.contrib.auth.models import AbstractUser

# Create your models here.

# 第一种 使用一对一关系  

# 第二种方式   使用类的继承

class Userinfo(AbstractUser):

    # 千万不要跟原来表中的字段重复 只能新建

    phone = models.BigIntegerField()

    avatar = models.CharField(max_length=32)

# 一定要在配置文件中 告诉django

# 告诉django  orm不再使用auth默认的表  而是使用你自定义的表

AUTH_USER_MODEL = 'app01.Userinfo'  # '应用名.类名'
"""

1.执行数据库迁移命令

    所有的auth模块功能 全部都基于你创建的表

    而不再使用auth_user

"""

django 中间键 csrf 跨站请求伪造的更多相关文章

  1. 第三百一十五节,Django框架,CSRF跨站请求伪造

    第三百一十五节,Django框架,CSRF跨站请求伪造  全局CSRF 如果要启用防止CSRF跨站请求伪造,就需要在中间件开启CSRF #中间件 MIDDLEWARE = [ 'django.midd ...

  2. Django中的CSRF(跨站请求伪造)

    Django中的CSRF(跨站请求伪造) Django CSRF  什么是CSFR 即跨站请求伪装,就是通常所说的钓鱼网站. 钓鱼网站的页面和正经网站的页面对浏览器来说有什么区别? (页面是怎么来的? ...

  3. Web框架之Django重要组件(Django中间件、csrf跨站请求伪造)

    Web框架之Django_09 重要组件(Django中间件.csrf跨站请求伪造)   摘要 Django中间件 csrf跨站请求伪造 一.Django中间件: 什么是中间件? 官方的说法:中间件是 ...

  4. 十三 Django框架,CSRF跨站请求伪造

     全局CSRF 如果要启用防止CSRF跨站请求伪造,就需要在中间件开启CSRF #中间件 MIDDLEWARE = [ 'django.middleware.security.SecurityMidd ...

  5. Web框架之Django_09 重要组件(Django中间件、csrf跨站请求伪造)

    摘要 Django中间件 csrf跨站请求伪造 一.Django中间件: 什么是中间件? 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子.它是一个轻量.低级别的插件系统,用于 ...

  6. python 全栈开发,Day87(ajax登录示例,CSRF跨站请求伪造,Django的中间件,自定义分页)

    一.ajax登录示例 新建项目login_ajax 修改urls.py,增加路径 from app01 import views urlpatterns = [ path('admin/', admi ...

  7. django上课笔记3-ORM补充-CSRF (跨站请求伪造)

    一.ORM补充 ORM操作三大难点: 正向操作反向操作连表 其它基本操作(包含F Q extra) 性能相关的操作 class UserInfo(models.Model): uid = models ...

  8. Django框架(十二)-- 中间件、CSRF跨站请求伪造

    中间件 一.什么是中间件 请求的时候需要先经过中间件才能到达django后端(urls,views,templates,models) 响应的时候也需要经过中间件才能到达web服务网关接口 djang ...

  9. Django之CSRF 跨站请求伪造

    一.简介 1.点我了解什么是跨站请求伪造 2.django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成.而对 ...

随机推荐

  1. NodeJS——在Sublime中配置NodeJS执行环境

    这种方式比在DOS窗中直接执行更加高效!!! nodejs 1.运行Sublime,菜单上找到Tools ---> Build System ---> new Build System 2 ...

  2. PMP | 备考笔记

    (持续更新......) 五大过程组和十大知识领域是PMP的重要组成部分,也是这门课的重点线索,本文会逐步迭代.渐进明细的来补充完善这个体系. (先放个图吧) 以下每个模块记录自己有点模糊的地方 项目 ...

  3. VUE 子组件向父组件传值 , 并且触发父组件方法(函数)

    目标:封装一个  搜索组件 <子组件需要传一个或者多个搜索参数到父组件,然后父组件执行列表查询函数> 1.子组件 <div> <input v-model="l ...

  4. Spring Boot入门系列(十四)使用JdbcTemplate操作数据库,配置多数据源!

    前面介绍了Spring Boot 中的整合Mybatis并实现增删改查.如何实现事物控制.不清楚的朋友可以看看之前的文章:https://www.cnblogs.com/zhangweizhong/c ...

  5. python(3.x)自动化全栈开发100天集训计划(跟上进度,到一个新高度)——day1

            Day1 目录: Python介绍 * 了解Python的特点.发展史 * 介绍Python广泛的应用领域和前景 第一个Python程序 * 掌握Python代码的2种执行方式 变量 ...

  6. Java实现 LeetCode 802 找到最终的安全状态 (DFS)

    802. 找到最终的安全状态 在有向图中, 我们从某个节点和每个转向处开始, 沿着图的有向边走. 如果我们到达的节点是终点 (即它没有连出的有向边), 我们停止. 现在, 如果我们最后能走到终点,那么 ...

  7. Java实现 蓝桥杯VIP 算法提高 复数求和

    算法提高 复数求和 时间限制:1.0s 内存限制:512.0MB 从键盘读入n个复数(实部和虚部都为整数)用链表存储,遍历链表求出n个复数的和并输出. 样例输入: 3 3 4 5 2 1 3 样例输出 ...

  8. AddDbContext was called with configuration, but the context type 'MyDBContext' only declares a parameterless constructor

    System.ArgumentException HResult=0x80070057 Message=AddDbContext was called with configuration, but ...

  9. .NET开发者省份分布排名

    什么叫.NET开发者省份分布排名呢? 顾名思义,这几个词大家都认识,.NET开发者都集中在城市,涵盖一线城市到五线城市.排名的方法非常简单粗暴,就是根据本公众号(dotnet跨平台)的省份订阅读者数量 ...

  10. svn版本库的使用

    简单案例: 1.不管在哪个盘下(比如:C盘.D盘等),都先创建文件夹(这里我新建的文件夹是“项目”),创建好了就点击去,如下: 2.在自己新建的文件夹中再新建一个新的文件夹,如下: 3.选中你的文件夹 ...