django中间件
请求的时候需要先经过中间件才能到达django后端(urls,vIEws,templates,models),响应走的时候
也需要经过中间件才能到达web服务网关接口
jango中间件作用
1.网站全局的身份校验,访问频率限制,权限校验...只要是涉及到全局的校验你都可以在中间件中完成
2.django的中间件是所有web框架中 做的最好的
方法
1.process_request()方法
规律
1.请求来的时候 会经过每个中间件里面的process_request方法(从上往下)
2.如果方法里面直接返回了httpResponse对象 那么会直接返回 不再往下执行,基于该特点就可以做访问频率限制,身份校验,权限校验
2.process_response()方法
规律
1.必须将response形参返回 因为这个形参指代的就是要返回给前端的数据
2.响应走的时候 会依次经过每一个中间件里面的process_response方法(从下往上)
3.process_vIEw()
1.在路由匹配成功执行视图函数之前 触发
4.process_exception()
1.当你的视图函数报错时 就会自动执行
5.process_template_response()
1.当你返回的httpResponse对象中必须包含render属性才会触发
def index(request):
print(‘我是index视图函数‘)
def render():
return httpResponse(‘什么鬼玩意‘)
obj = httpResponse(‘index‘)
obj.render = render
return obj
总结:你在书写中间件的时候 只要形参中有repsonse 你就顺手将其返回 这个reponse就是要给前端的消息
自定义中间件
1.如果你想让你写的中间件生效 就必须要先继承MIDdlewareMixin
2.在注册自定义中间件的时候 一定要确保路径不要写错
csrf跨站请求伪造
内部原理
在让用户输入对方账户的那个input上面做手脚,给这个input不设置name属性,在内部隐藏一个实现写好的name和value属性的input框,这个value的值 就是钓鱼网站受益人账号
该随机字符串有以下特点
1.同一个浏览器每一次访问都不一样
2.不同浏览器绝对不会重复
1.form表单发送post请求的时候 需要你做得仅仅书写一句话
{% csrf_token %}
2.AJAX发送post请求 如何避免csrf校验
1.现在页面上写{% csrf_token %},利用标签查找 获取到该input键值信息
{‘username‘:‘jason‘,‘csrfmIDdlewaretoken‘:$(‘[name=csrfmIDdlewaretoken]‘).val()}
2.直接书写‘{{ csrf_token }}‘
{‘username‘:‘jason‘,‘csrfmIDdlewaretoken‘:‘{{ csrf_token }}‘}
3.你可以将该获取随机键值对的方法 写到一个Js文件中,之后只需要导入该文件即可,新建一个Js文件 存放以下代码 之后导入即可
function getcookie(name) { var cookieValue = null; if (document.cookie && document.cookie !== @H_419_77@‘‘) { var cookies = document.cookie.split(@H_419_77@‘@H_419_77@;@H_419_77@‘); for (var i = 0; i < cookies.length; i++) { var cookie = jquery.trim(cookies[i]); // Does this cookie string begin with the name we want? if (cookie.substring(0,name.length + 1) === (name + @H_419_77@‘@H_419_77@=@H_419_77@‘)) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; }var csrftoken = getcookie(@H_419_77@‘@H_419_77@csrftoken@H_419_77@‘);function csrfSafeMethod(method) { // these http methods do not require CSRF protection return (/^(GET|head|OPTIONS|TRACE)$/.test(method)); }$.AJAXSetup({ beforeSend: function (xhr,settings) { if (!csrfSafeMethod(settings.type) && !this.crossDomain) { xhr.setRequestheader(@H_419_77@"@H_419_77@X-CSrftoken@H_419_77@",csrftoken); } } });
1.当你网站全局都需要校验csrf的时候 有几个不需要校验该如何处理
2.当你网站全局不校验csrf的时候 有几个需要校验又该如何处理
from django.utils.decorators import method_decorator from django.vIEws.decorators.csrf import csrf_exempt,csrf_protect# 这两个装饰器在给CBV装饰的时候 有一定的区别如果是csrf_protect 那么有三种方式 # 第一种方式 # @method_decorator(csrf_protect,name=‘post‘) # 有效的 class MyVIEw(VIEw): # 第三种方式 # @method_decorator(csrf_protect) def dispatch(self,request,*args,**kwargs): res = super().dispatch(request,**kwargs) return res def get(self,request): return httpResponse(@H_419_77@‘@H_419_77@get@H_419_77@‘) # 第二种方式 # @method_decorator(csrf_protect) # 有效的 def post(self,request): eturn httpResponse(@H_419_77@‘@H_419_77@post@H_419_77@‘) 如果是csrf_exempt 只有两种(只能给dispatch装) 特例 @method_decorator(csrf_exempt,name=@H_419_77@‘@H_419_77@dispatch@H_419_77@‘) # 第二种可以不校验的方式 class MyVIEw(VIEw): # @method_decorator(csrf_exempt) # 第一种可以不校验的方式 def dispatch(self,request): return httpResponse(@H_419_77@‘@H_419_77@get@H_419_77@‘) def post(self,request): return httpResponse(@H_419_77@‘@H_419_77@post@H_419_77@‘)
装饰器中只有csrf_exempt是特例,其他的装饰器在给CBV装饰的时候 都可以有三种方式
auth模块
如果你想用auth模块 那么你就用全套
auth模块的功能
查询用户from django.contrib import authuser_obj =auth.authenticate(username=username,password=password) # 必须要用 因为数据库中的密码字段是密文的 而你获取的用户输入的是明文记录用户状态auth.login(request,user_obj) # 将用户状态记录到session中判断用户是否登录print(request.user.is_authenticated) # 判断用户是否登录 如果是你们用户会返回False用户登录之后 获取用户对象print(request.user) # 如果没有执行auth.login那么拿到的是匿名用户校验用户是否登录from django.contrib.auth.decorators import login_required @login_required(login_url=@H_419_77@‘@H_419_77@/xxx/@H_419_77@‘) # 局部配置 def index(request): pass # 全局配置 settings文件中LOGIN_URL = @H_419_77@‘@H_419_77@/xxx/@H_419_77@‘验证密码是否正确request.user.check_password(old_password)修改密码 request.user.set_password(new_password)request.user.save() # 修改密码的时候 一定要save保存 否则无法生效退出登陆auth.logout(request) # request.session.flush()注册用户# User.objects.create(username =username,password=password) # 创建用户名的时候 千万不要再使用create 了# User.objects.create_user(username =username,password=password) # 创建普通用户User.objects.create_superuser(username =username,password=password,email=@H_419_77@‘@H_419_77@[email protected]@H_419_77@‘) # 创建超级用户 邮箱必填
自定义auth_user表
from django.contrib.auth.models import AbstractUser# Create your models here.# 第一种 使用一对一关系 不考虑# 第二种方式 使用类的继承class Userinfo(AbstractUser):# 千万不要跟原来表中的字段重复 只能创新phone = models.BigIntegerFIEld()avatar = models.CharFIEld(max_length=32) # 一定要在配置文件中 告诉django# 告诉django orm不再使用auth默认的表 而是使用你自定义的表AUTH_USER_MODEL = @H_419_77@‘@H_419_77@app01.Userinfo@H_419_77@‘ # ‘应用名.类名‘
1.执行数据库迁移命令 所有的auth模块功能 全部都基于你创建的表 而不再使用auth_user
总结以上是内存溢出为你收集整理的django中间件 csrf跨站请求伪造 auth模块 settings功能插拔式源码全部内容,希望文章能够帮你解决django中间件 csrf跨站请求伪造 auth模块 settings功能插拔式源码所遇到的程序开发问题。
如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)