当前位置 : 主页 > 编程语言 > python >

五十二、django 中间件,csrf跨站请求伪造,auth模块表

来源:互联网 收集:自由互联 发布时间:2021-06-25
django 中间件 django中间件事类似django的保安,请求的时候需要先经过中间件才能到达django后端(urls,views,templates,models), 响应走的时候也需要经过中间件才能到达web服务网关接口 djang
django 中间件
    django中间件事类似django的保安,请求的时候需要先经过中间件才能到达django后端(urls,views,templates,models),
    响应走的时候也需要经过中间件才能到达web服务网关接口
django中间件中有五个用户可以自定义的方法
django中间件可以用来做什么?
1.网站全局的身份校验,访问频率限制,权限校验。。只要涉及到全局的校验都可以在中间件中完成
2.django的中间件是所有web框架中,做的最好

需要掌握的方法有:
1.process_request()方法
规律
1.请求来的时候,会经过每个中间件里面的process_request方法
2.请求来的时候会从上往下依次执行process_request方法,如果没有会直接跳过,去下一个
3.当process_request()方法中,return HttpResponse("")对象, 会直接值返回给浏览器,后面中间件和视图层就不走了
基于该特点就可以做访问频率限制,身份校验,权限校验

2.process_response()方法
规律
1.响应走的时候。等到执行完视图函数,会由下往上依次执行process_response方法,如果没有会直接跳过,去下一个
2.必须return response,因为形参response指代的就是返回给前端的数据

了解:
3.process_view()
#.在路由匹配成功,视图函数执行之前触发
4.process_exception()
#只要视图函数一旦报错,立马会触发process_exception方法
5.process_template_response()
# 当你返回的HttpResponse对象中必须包含render属性才会触发

总结:只要形参中有response,就必须返回,response是给前端的信息

自定义我们自己的中间件:
1.如果想自定义中间件,就必须先继承MiddlewareMixin
2.定义中间件,要去settings里面中间件手动添加

from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import HttpResponse


class MyMdd(MiddlewareMixin):
    def process_request(self, request):
        print("我是第一个中间件process_request方法")
        # return HttpResponse("逗比")

    def process_response(self, request, response):
        print("我是第一个中间件process_response方法")
        # print(response)
        return response

    def process_view(self, request, view_func, view_args, view_kwargs):
        print(view_func)
        print(view_args)
        print(view_kwargs)
        print("我是第一个中间件process_view方法")

    def process_exception(self, request, exception):
        print("我是第一个 process_exception")

    def process_template_response(self, request, response):
        print("我是第一个中间件process_template_response方法")
        return response

class MyMdd1(MiddlewareMixin):
    def process_request(self, request):
        print("我是第二个中间件process_request方法")

    def process_response(self, request, response):
        print("我是第二个中间件process_response方法")
        return response

    def process_view(self, request, view_func, view_args, view_kwargs):
        print(view_func)
        print(view_args)
        print(view_kwargs)
        print("我是第二个中间件process_view方法")

    def process_exception(self, request, exception):
        print("我是第二个 process_exception")

    def process_template_response(self, request, response):
        print("我是第一个中间件process_template_response方法")
        return response
自定义中间件代码

 

csrf跨站请求伪造

钓鱼网站:简单说就是把网站页面给用户一模一样,让用户去输入转帐信息,通过隐藏标签,把装给对方的信息,进行修改,达到自己的目的

防止钓鱼网站的思路:
网站会给返回用户的form表单页面 偷偷塞一个随机字符串
请求到来的时候 会先比对随机字符串,是否一致,如果不一致就直接拒绝

该随机字符串有一下特点:
1.同一个浏览器每一次访问都不一样
2.不同的浏览器绝对不会重复

1.form表单发送post请求的时候 需要你在form表单下写:
{% csrf_token %}
2.ajax发送post请求 如何避免csrf校验
1.先在页面上写{% csrf_token %},利用标签查找 获取该input键信息
data:{‘username‘:‘jason‘,‘csrfmiddlewaretoken‘:$(‘[name=csrfmiddlewaretoken]‘).val()},
2.直接书写{{ csrf_token }}
data:{‘username‘:‘jason‘,‘csrfmiddlewaretoken‘:‘{{ csrf_token }}‘},
3.你可以将该获取随机键值对的方法 写到一个js文件,之后导入即可
{% load static %}
{#<script src="{% static ‘setjs.js‘ %}"></script>#}
<script>
$(‘#b1‘).click(function () {
            $.ajax({
                url:‘‘,
                type:‘post‘,
                // 第一种方式
                data:{‘username‘:‘jason‘,‘csrfmiddlewaretoken‘:$(‘[name=csrfmiddlewaretoken]‘).val()},
                // 第二种方式
                data:{‘username‘:‘jason‘,‘csrfmiddlewaretoken‘:‘{{ csrf_token }}‘},
                // 第三种方式 :直接引入js文件
                data:{‘username‘:‘jason‘},
                success:function (data) {
                    alert(data)
                }
            })
        </script>

1.当你往回走哪全局都需要校验csrf的时候 有几个不需要校验该如何处理
2.当你网站全局不校验csrf的时候 有几个需要校验又该如何处理
# 校验csrf
from django.views.decorators.csrf import csrf_exempt, csrf_protect #
from django.utils.decorators import method_decorator
这两个装饰器在CBV装饰有区别

csrf_exempt 取消校验
只能给display加装饰器
@method_decorator(csrf_exempt) # 第一种可以不检验
def dispatch(self, request, *args, **kwargs):
return super().dispatch(request, *args, **kwargs)

csrf_protect 校验,三种方式

# 第一种校验方式:
        # @method_decorator(csrf_protect, name="post")
        class MyView(View):
            # 第三校验种方式:
            # @method_decorator(csrf_protect)  # 这种方式get和post都加上了
            def dispatch(self, request, *args, **kwargs):
                return super().dispatch(request, *args, **kwargs)

            def get(self, request):
                return HttpResponse("get")

            # 第二种方式:
            # @method_decorator(csrf_protect)
            def post(self, request):
                return HttpResponse("post")
auth模块表
执行数据库迁移命令之后 会生成很多表 其中的auth_user是一张用户相关的表格
添加数据
执行 createsuperuser 创建超级用户 这个超级用户就可以登陆django admin 后台
方法:
1. # 查询auth表
user_obj = auth.authenticate(username=username, password=password)
# 查询表的情况,返回对象,里面密码存的是密文


2.auth.login(request, user_obj) # 将用户状态记录到session表中,客户端session 同上
# 只要执行力这一句话 你就可以在后端任意位置通过request.user获取到当前用户对象"""
# print(request.user.username)
# print(request.user.password)

3.判断用户是否登陆,登陆是True
# request.user.is_authenticated)


4.修改密码的方法:
is_right = request.user.check_password(old_password) # 自动加密,核对数据库的密码是否正确
if is_right: # 核对正确就是True
print(is_right)
request.user.set_password(new_password) # 设置新密码
request.user.save() # 保存修改密码信息



5.注销
# 注销
@login_required
def logout(request):
auth.logout(request) # 前后端的session值都一起删掉 等价于flush
return HttpResponse("退出了")

auth模块登陆装饰器
from django.contrib.auth.decorators import login_required
可以在settings里面配置:
LOGIN_URL = "/land/",以后登陆都调到此网页


用auth自定义表,可以添加字段,同时使用auth模块语法 from django.db import models from django.contrib.auth.models import AbstractUser 第二种方式 使用类的继承可以用auth表添加字段 class Userinfo(AbstractUser): # 千万不要跟原来表中的字段重复 只能创新 phone = models.BigIntegerField() avatar = models.FileField(upload_to="/avatar") 还需要在文件配置中告诉django不使用默认的表 告诉django不再使用之前的表,使用自定义的表 AUTH_USER_MODEL = "app01.Userinfo" # 应用名.类名
网友评论