django中间件和auth模块

 

Django中间件

由django的生命周期图我们可以看出,django的中间件就类似于django的保安,请求一个相应时要先通过中间件才能到达django后端(url、views、template、models),同样后端进行响应的时候也需要经过中间件才能达到web服务网关。

django的七个中间件

MIDDLEWARE = [

                'django.middleware.security.SecurityMiddleware',

                'django.contrib.sessions.middleware.SessionMiddleware',

                'django.middleware.common.CommonMiddleware',

                'django.middleware.csrf.CsrfViewMiddleware',

                'django.contrib.auth.middleware.AuthenticationMiddleware',

                'django.contrib.messages.middleware.MessageMiddleware',

                'django.middleware.clickjacking.XFrameOptionsMiddleware',

            ]

django中间的自定义方法

中间件可以定义五个方法,分别是:(主要的是process_request和process_response)

  • process_request(self,request)
  • process_view(self, request, view_func, view_args, view_kwargs)
  • process_template_response(self,request,response)
  • process_exception(self, request, exception)
  • process_response(self, request, response)

自定义中间件的示例

1.process_request()方法

规律
  1.请求来的时候 会经过每个中间件里面的process_request方法(从上往下)
  2.如果方法里面直接返回了HttpResponse对象 那么会直接返回 不再往下执行
基于该特点就可以做访问频率限制,身份校验,权限校验

2.process_response()方法

规律
  1.必须将response形参返回 因为这个形参指代的就是要返回给前端的数据
  2.响应走的时候 会依次经过每一个中间件里面的process_response方法(从下往上)

3.process_view()方法

  1.在路由匹配成功执行视图函数之前 触发

4.process_exception()方法

  1.当你的视图函数报错时  就会自动执行

5.process_template_response()方法

  1.当你返回的HttpResponse对象中必须包含render属性才会触发

def index(request):

    print('我是index视图函数')

    def render():

        return HttpResponse('什么鬼玩意')

    obj = HttpResponse('index')

    obj.render = render

    return obj

总结:以上方法的返回值可以是None或一个HttpResponse对象,如果是None,则继续按照django定义的规则向后继续执行,如果是HttpResponse对象,则直接将该对象返回给用户。

中间件的proce_request方法是在执行视图函数之前执行的。

当配置多个中间件时,会按照MIDDLEWARE中的注册顺序,也就是列表的索引值,从前到后依次执行的。

不同的中间件之间传递的request都是同一个对象。

如果需要自己写的中间件生效,必须继承MiddlewareMixin,而且要保证在注册时路径不能写错。

csrf跨站请求伪造

关于钓鱼网站的原理,比如说你登录了一个钓鱼网站的页面,和充值一模一样的页面,你在哪里进行转账操作,它的转账信息也确实发到出了,你的账户确实也扣钱了,但是唯一不对的时收款人不是你输入的那个人,那是因为它在用户输入框的input上做了手脚,这个input没有设置name属性,而在内部,隐藏的标签里,有一个写好了name和value的input框,这样你只要点击提交,那个value(钓鱼网站受益人的账户)就会和你的转账信息一起发给钓鱼网站。

防止钓鱼网站的思路

token 字段

网站会给返回给用户的form表单页面 偷偷塞一个随机字符串
请求到来的时候 会先比对随机字符串是否一致 如果不一致 直接拒绝(403)
该随机字符串有以下特点
1.同一个浏览器每一次访问都不一样
2.不同浏览器绝对不会重复

通过{% csrf_token %}来生成随机字符串

1.form表单发送post请求的时候  需要你做得仅仅书写一句话

{% csrf_token %}

2.ajax发送post请求 如何避免csrf校验

1.现在页面上写{% csrf_token %},利用标签查找  获取到该input键值信息

    {'username':'jason','csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()}

    $('[name=csrfmiddlewaretoken]').val()

2.直接书写'{{ csrf_token }}'

    {'username':'jason','csrfmiddlewaretoken':'{{ csrf_token }}'}

    {{ csrf_token }}

3.你可以将该获取随机键值对的方法 写到一个js文件中,之后只需要导入该文件即可

    新建一个js文件 存放以下代码 之后导入即可

    function getCookie(name) {

        var cookieValue = null;

        if (document.cookie && document.cookie !== '') {

            var cookies = document.cookie.split(';');

            for (var i = 0; i < cookies.length; i++) {

                var cookie = jQuery.trim(cookies[i]);

                // Does this cookie string begin with the name we want?

                if (cookie.substring(0, name.length + 1) === (name + '=')) {

                    cookieValue = decodeURIComponent(cookie.substring(name.length + 1));

                    break;

                }

            }

        }

        return cookieValue;

    }

    var csrftoken = getCookie('csrftoken');

    function csrfSafeMethod(method) {

      // these HTTP methods do not require CSRF protection

      return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));

    }

    $.ajaxSetup({

      beforeSend: function (xhr, settings) {

        if (!csrfSafeMethod(settings.type) && !this.crossDomain) {

          xhr.setRequestHeader("X-CSRFToken", csrftoken);

        }

      }

    });

防钓鱼的处理方法有了,当如果你的网站全局都需要校验csrf的时候,又有几个不需要校验的该如何处理,相反如果你的网站全局不需要消炎csrf的时候,又有几个需要校验的功能又该怎么处理。

#先导入模块

from django.utils.decorators import method_decorator

from django.views.decorators.csrf import csrf_exempt,csrf_protect

当整个网站都不校验,只想某个功能校验时 

# 第一种方式

# @method_decorator(csrf_protect,name='post')  # 有效的

class MyView(View):

    # 第三种方式

    # @method_decorator(csrf_protect)

    def dispatch(self, request, *args, **kwargs):

        res = super().dispatch(request, *args, **kwargs)

        return res

    def get(self,request):

        return HttpResponse('get')

    # 第二种方式

    # @method_decorator(csrf_protect)  # 有效的

    def post(self,request):

        return HttpResponse('post')

当整个网站都校验,只想某个功能不校验时

#如果是csrf_exempt 只有两种(只能给dispatch装)   特例

@method_decorator(csrf_exempt,name='dispatch')  # 第二种可以不校验的方式

class MyView(View):

    # @method_decorator(csrf_exempt)  # 第一种可以不校验的方式

    def dispatch(self, request, *args, **kwargs):

        res = super().dispatch(request, *args, **kwargs)

        return res

    def get(self,request):

        return HttpResponse('get')

    def post(self,request):

        return HttpResponse('post')

总结:装饰器中只有csrf_exempt是特例,其他的装饰器在给CBV装饰的时候 都可以有三种方式,只有csrf_exempt必须通过dispatch来装饰.

Auth模块

1、Auth模块是什么

Auth模块是Django自带的用户认证模块:

我们在开发一个网站的时候,无可避免的需要设计实现网站的用户系统。此时我们需要实现包括用户注册、用户登录、用户认证、注销、修改密码等功能,这还真是个麻烦的事情呢。

Django作为一个完美主义者的终极框架,当然也会想到用户的这些痛点。它内置了强大的用户认证系统--auth,它默认使用 auth_user 表来存储用户数据。

要注意的时,使用auth模块的话最好用全套。

createsuperuser   #创建超级用户 这个超级用户就可以拥有登陆django admin后台管理的权限

auth模块的功能

    #查询用户

        from django.contrib import auth

        user_obj = auth.authenticate(username=username,password=password)  # 必须要用 因为数据库中的密码字段是密文的 而你获取的用户输入的是明文

    #记录用户状态

        auth.login(request,user_obj)  # 将用户状态记录到session中

    #判断用户是否登录

        print(request.user.is_authenticated)  # 判断用户是否登录  如果是你们用户会返回False

    #用户登录之后 获取用户对象

        print(request.user)  # 如果没有执行auth.login那么拿到的是匿名用户

    #校验用户是否登录

        from django.contrib.auth.decorators import  login_required

        @login_required(login_url='/xxx/')  # 局部配置

        def index(request):

            pass

        # 全局配置  settings文件中

        LOGIN_URL = '/xxx/'

    #验证密码是否正确

        request.user.check_password(old_password)

    #修改密码

        request.user.set_password(new_password)

        request.user.save()  # 修改密码的时候 一定要save保存 否则无法生效

    #退出登陆

        auth.logout(request)  # request.session.flush()

    #注册用户

            # User.objects.create(username =username,password=password)  # #创建用户名的时候 千万不要再使用create 了

            # User.objects.create_user(username =username,password=password)  # 创建普通用户

            User.objects.create_superuser(username =username,password=password,email='123@qq.com')  # 创建超级用户  邮箱必填

自定义auth_user表

from django.contrib.auth.models import AbstractUser

# Create your models here.

# 第一种 使用一对一关系  

# 第二种方式   使用类的继承

class Userinfo(AbstractUser):

    # 千万不要跟原来表中的字段重复 只能新建

    phone = models.BigIntegerField()

    avatar = models.CharField(max_length=32)

# 一定要在配置文件中 告诉django

# 告诉django  orm不再使用auth默认的表  而是使用你自定义的表

AUTH_USER_MODEL = 'app01.Userinfo'  # '应用名.类名'
"""

1.执行数据库迁移命令

    所有的auth模块功能 全部都基于你创建的表

    而不再使用auth_user

"""

django 中间键 csrf 跨站请求伪造的更多相关文章

  1. 第三百一十五节,Django框架,CSRF跨站请求伪造

    第三百一十五节,Django框架,CSRF跨站请求伪造  全局CSRF 如果要启用防止CSRF跨站请求伪造,就需要在中间件开启CSRF #中间件 MIDDLEWARE = [ 'django.midd ...

  2. Django中的CSRF(跨站请求伪造)

    Django中的CSRF(跨站请求伪造) Django CSRF  什么是CSFR 即跨站请求伪装,就是通常所说的钓鱼网站. 钓鱼网站的页面和正经网站的页面对浏览器来说有什么区别? (页面是怎么来的? ...

  3. Web框架之Django重要组件(Django中间件、csrf跨站请求伪造)

    Web框架之Django_09 重要组件(Django中间件.csrf跨站请求伪造)   摘要 Django中间件 csrf跨站请求伪造 一.Django中间件: 什么是中间件? 官方的说法:中间件是 ...

  4. 十三 Django框架,CSRF跨站请求伪造

     全局CSRF 如果要启用防止CSRF跨站请求伪造,就需要在中间件开启CSRF #中间件 MIDDLEWARE = [ 'django.middleware.security.SecurityMidd ...

  5. Web框架之Django_09 重要组件(Django中间件、csrf跨站请求伪造)

    摘要 Django中间件 csrf跨站请求伪造 一.Django中间件: 什么是中间件? 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子.它是一个轻量.低级别的插件系统,用于 ...

  6. python 全栈开发,Day87(ajax登录示例,CSRF跨站请求伪造,Django的中间件,自定义分页)

    一.ajax登录示例 新建项目login_ajax 修改urls.py,增加路径 from app01 import views urlpatterns = [ path('admin/', admi ...

  7. django上课笔记3-ORM补充-CSRF (跨站请求伪造)

    一.ORM补充 ORM操作三大难点: 正向操作反向操作连表 其它基本操作(包含F Q extra) 性能相关的操作 class UserInfo(models.Model): uid = models ...

  8. Django框架(十二)-- 中间件、CSRF跨站请求伪造

    中间件 一.什么是中间件 请求的时候需要先经过中间件才能到达django后端(urls,views,templates,models) 响应的时候也需要经过中间件才能到达web服务网关接口 djang ...

  9. Django之CSRF 跨站请求伪造

    一.简介 1.点我了解什么是跨站请求伪造 2.django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成.而对 ...

随机推荐

  1. 用Python做词云可视化带你分析海贼王、火影和死神三大经典动漫

    对于动漫爱好者来说,海贼王.火影.死神三大动漫神作你肯定肯定不陌生了.小编身边很多的同事仍然深爱着这些经典神作,可见"中毒"至深.今天小编利用Python大法带大家分析一下这些神作 ...

  2. Cypress系列(5)- 自定义 Cypress

    如果想从头学起Cypress,可以看下面的系列文章哦 https://www.cnblogs.com/poloyy/category/1768839.html 前言 Cypress 不仅支持用户自定义 ...

  3. JavaScript 引用数据类型

    目录 1. 问题描述 2. 原因分析 3. React 中的引用数据类型 4. 业务场景 5. 参考资料 1. 问题描述 今天在写一个代码题时候, 有一个BUG 导致自己停滞好久, 该BUG 可以描述 ...

  4. Java 解析 XML文件

    ​个人博客网:https://wushaopei.github.io/    (你想要这里多有) package com.example.poiutis.xml; import com.example ...

  5. Java实现 蓝桥杯VIP 算法训练 非递归(暴力)

    试题 算法训练 非递归 问题描述 当x>1时,Hermite多项式的定义见第二版教材125页.用户输入x和n,试编写"非递归"函数,输出对应的Hermite多项式的值.其中x ...

  6. Java实现 LeetCode 696 计数二进制子串(暴力)

    696. 计数二进制子串 给定一个字符串 s,计算具有相同数量0和1的非空(连续)子字符串的数量,并且这些子字符串中的所有0和所有1都是组合在一起的. 重复出现的子串要计算它们出现的次数. 示例 1 ...

  7. Java实现 蓝桥杯VIP 算法训练 方格取数

    问题描述 设有NN的方格图(N<=10),我们将其中的某些方格中填入正整数,而其他的方格中则放入数字0. 某人从图的左上角的A 点(1,1)出发,可以向下行走,也可以向右走,直到到达右下角的B点 ...

  8. java中装箱和拆箱的详细使用(详解)

    一.什么是装箱?什么是拆箱? 在前面的文章中提到,Java为每种基本数据类型都提供了对应的包装器类型,至于为什么会为每种基本数据类型提供包装器类型在此不进行阐述,有兴趣的朋友可以查阅相关资料.在Jav ...

  9. Java实现打印回型嵌套

    *********** * * * ******* * * * * * * * *** * * * * * * * * * * *** * * * * * * * ******* * * * **** ...

  10. IOS App如何调用python后端服务

    本篇文章旨在通过一个小的Demo形式来了解ios app是如何调用python后端服务的,以便我们在今后的工作中可以清晰的明白ios app与后端服务之间是如何实现交互的,今天的示例是拿登录功能做一个 ...