一。django中间件简介。
在django中,有这样的生命周期:
中间件就是处于wsgiref和urls模块中间,可以拦截所有的请求,其中有7个默认中间件:
MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', ]
其中1,是安全相关的2,是session相关的,4是post提交数据相关,5是登录认证相关。
中间件中有固定的几个方法,其中也有用户自定义的5个中间件方法。
django中间件是类似于是django的保安请求的时候需要先经过中间件才能到达django后端响应走的时候也需要经过中间件才能到达web服务网关接口(urls,views,templates,models)。
而中间件可以用来做这些:网站全局的身份校验,访问频率限制,权限校验...只要是涉及到全局的校验你都可以在中间件中完成 。
中间件的执行时从上往下,而response则是从下往上。
二。中间件自定义:
自定义中间件需要导入模块,让类继承自这个模块,这些类所在的模块,就是setting中的配置路径:
from django.utils.deprecation import MiddlewareMixin from django.shortcuts import HttpResponse class MyMdd(MiddlewareMixin): def process_request(self,request): print('我是第一个中间件里面的process_request方法') def process_response(self,request,response): print('我是第一个中间件里面的process_response方法') return response def process_view(self,request,view_func,view_args,view_kwargs): print(view_func) print(view_args) print(view_kwargs) print('我是第一个中间件里面的process_view方法') def process_exception(self, request, exception): print('我是第一个中间件里面的process_exception') def process_template_response(self, request, response): print('我是第一个中间件里面的process_template_response') return response
1.process_request()方法。
当setting中配置的在文件中的类有该方法时,会在以下情况触发:
首先,会接受一个request参数。这个就是前端发来的请求。请求来的时候会从上到下执行每一个中间件里的process_request方法。
如果在里面直接返回了HttpResponse对象,则会直接返回,不会再往下执行。可进行身份校验。
2.process_response()方法
当返回前端页面时,会从下往上执行所有中间件中的process_response值。
每个该方法必须要返回response方法,也必须要接受该方法,如果有的中间件中没有返回该值,则会报错,当没有这个界面。
3.process_view()
这个方法再路由匹配成功,执行视图函数之前,的时候会执行并触发。
其中view_func,代表的是该函数地址。
4.process_exception()
当你视图函数报错时,会执行该函数,exception代表的是错误类型。
5.process_template_response()
这是一个比较特殊的类型,
def index(request): print('我是index视图函数') def render(): return HttpResponse('什么鬼玩意') obj = HttpResponse('index') obj.render = render return obj
如果你的返回的HttpResponse对象中,有render方法的时候,就会走这个中间件。
三。csrf跨站请求伪造。
在网站获取用户隐秘信息的时候,有一些钓鱼网站就会混在里面,他们的样子一样,但是使用了隐藏表单。
首先获取正常的页面中一些表单name,再自己做一个一摸一样的,当输入转账用户时,将一个表单隐藏,name设置为正常页面的name,表现出来的表单不设置名字,再将action提交的信息提交到原网站中,这样的网站就会将自己的信息返回。
如何防止这种钓鱼网站呢?
网站会给返回给用户的form表单页面 偷偷塞一个随机字符串。
请求到来的时候 会先比对随机字符串是否一致 如果不一致 直接拒绝(403)。
这就是中间件所做的事情。
而防止措施,只要再表单中添加关键字段:
{% csrf_token %}
就可以在渲染模板的时候,返回一段随机的字符串,name值是:csrfmiddlewaretoken,而当提交表单的时候,这个中间件就会校验这个值。
当ajax发送值的时候,需要先获取这个值,将他已键值对的方式,放入提交的数据中。
1.现在页面上写{% csrf_token %},利用标签查找 获取到该input键值信息。
{ 'username':'jason', 'csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()}
2.直接书写'{{ csrf_token }}'
{'username':'jason','csrfmiddlewaretoken':'{{ csrf_token }}'}
3.可以将该获取随机键值对的方法 写到一个js文件中,之后只需要导入该文件即可。
首先新建一个js文件,放以下代码,之后导入就行了:
function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie !== '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = jQuery.trim(cookies[i]); // Does this cookie string begin with the name we want? if (cookie.substring(0, name.length + 1) === (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } var csrftoken = getCookie('csrftoken'); function csrfSafeMethod(method) { // these HTTP methods do not require CSRF protection return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method)); } $.ajaxSetup({ beforeSend: function (xhr, settings) { if (!csrfSafeMethod(settings.type) && !this.crossDomain) { xhr.setRequestHeader("X-CSRFToken", csrftoken); } } });
更多细节详见:Djagno官方文档中关于CSRF的内容
四。网站的全局校验装饰器
当网站全局都需要校验csrf的时候,有几个不需要校验时,可以导入模块:
1.fbv的校验方式
from django.views.decorators.csrf import csrf_exempt,csrf_protect @csrf_exempt def login(request): return HttpResponse('login') @csrf_protect def lll(request): return HttpResponse('lll')
也就是说,exempt当所有的视图函数都需要校验csrf的时候,某一个函数不需要,就使用exempt方法。
当所有视图函数都不需要校验csrf的时候,某一个函数需要校验,就使用protect方法。
2.cbv的校验方法:
对于csrf_protect。有三种方法可以进行校验:
该模块是针对给类装饰的。
from django.utils.decorators import method_decorator
from django.utils.decorators import method_decorator from django.views.decorators.csrf import csrf_exempt,csrf_protect # 第一种方式 # @method_decorator(csrf_protect,name='post') # 有效的 class MyView(View): # 第三种方式 # @method_decorator(csrf_protect) def dispatch(self, request, *args, **kwargs): res = super().dispatch(request, *args, **kwargs) return res def get(self,request): return HttpResponse('get') # 第二种方式 # @method_decorator(csrf_protect) # 有效的 def post(self,request): return HttpResponse('post')
第一种方法就是添加该方法和他所需要校验的函数,装饰到类上。
第二种是直接装饰到函数上。
第三种是装饰到任务分发器种。
对于csrf_exempt只有两种方式:
from django.utils.decorators import method_decorator from django.views.decorators.csrf import csrf_exempt,csrf_protect @method_decorator(csrf_exempt,name='dispatch') # 第二种可以不校验的方式 class MyView(View): # @method_decorator(csrf_exempt) # 第一种可以不校验的方式 def dispatch(self, request, *args, **kwargs): res = super().dispatch(request, *args, **kwargs) return res def get(self,request): return HttpResponse('get') def post(self,request): return HttpResponse('post')
也就是说这种方法只能给dispatch装校验,无论是通过类分发还是什么。这是个特例,在其他装饰器的时候,可以通过三种方法进行装饰。
五。用户的登录验证组件。
在django框架中,执行数据库迁移命令后,会生成很多表,其中有一张auth_user表,这是一张用户信息相关的表格,可以对他执行一些用户的存储:
1.创建超级用户。
使用命令行创建一个超级用户:
createsuperuser #创建超级用户 这个超级用户就可以拥有
登陆django admin后台管理的权限
2.查询用户:
需要导入模块,其中authenticate就是查询该用户是否存在的函数:
from django.contrib import auth user_obj = auth.authenticate(username=username,password=password) # 必须要用 因为数据库中的密码字段是密文的 而你获取的用户输入的是明文
这个函数会返回一个user_obj对象,这个对象可以进行点操作取出其中的用户名,密码等数据。
这个函数不支持单用户名查询数据,需要两个一起。
3.记录用户状态。
auth.login(request,user_obj) # 将用户状态记录到session中
auth.login这个方法只要执行就可以在后端任意位置通过request.user获取到当前用户对象。当然也可以通过点操作获取其中的值。如果没有运行该方法,则点出来的是一个匿名对象。
这句话就相当于request.session['user'] =user_obj
4.判断用户是否登录。
鉴于第三条,可以通过判断该对象是否是匿名用户来判断是否登录,但是django给封装了一个方法判断:
print(request.user.is_authenticated)
# 判断用户是否登录 如果是你们用户会返回False
这段话就可以判断是否登录。
5。就以上的函数已经可以做一个装饰器用来判断登录状态了,但是django有自己封装方法:
局部配置:
from django.contrib.auth.decorators import login_required @login_required(login_url='/xxx/') # 局部配置 def index(request): pass
其中xxx就是登录的界面地址。
全局配置:
可以在setting中配置文件:
LOGIN_URL = '/xxx/'
这样就可以省略装饰器后面的指定。
6.验证密码是否正确:
在修改密码时需要判断老密码是否正确时:
request.user.check_password(old_password)
返回布尔值。
7.修改密码。
在修改密码时需要将用户对象保存:
request.user.set_password(new_password) request.user.save() # 修改密码的时候 一定要save保存 否则无法生效
8.退出登录。
退出登录时,相当于这个操作request.session.flush()。将用户登录装填清除。
auth.logout(request) # request.session.flush()
9.用户注册。
注册时可以使用三种方法,其中第一种没有将密码加密,不建议使用:
from django.contrib.auth.models import User
导入用户表
# User.objects.create(username =username,password=password)
# 创建用户名的时候 千万不要再使用create 了 # User.objects.create_user(username =username,password=password)
# 创建普通用户 User.objects.create_superuser
(username =username,password=password,email='123@qq.com')
# 创建超级用户 邮箱必填
其中,创建超级会员邮箱是必填的。
当然,在创建用户的时候需要先校验一下该用户是否存在。这样的操作需要自己的表。
六。自定义用户表
自定义用户表有两种方法:
1. 使用一对一关系 不考虑。
2.使用类的继承。
首先需要在模型层中导入要继承的类。
from django.contrib.auth.models import AbstractUser
定义表的时候,不能使用原来表的字段,不能重复,只能创新。
class Userinfo(AbstractUser): # 千万不要跟原来表中的字段重复 只能创新 phone = models.BigIntegerField() avatar = models.CharField(max_length=32)
创建好表后,需要在设置中配置该类,作为user类的替代。
AUTH_USER_MODEL = 'app01.Userinfo' # '应用名.类名'
这样的创建后的表,其中就没有auth_user,而是直接变成了你所创建的表。其中包函了auth_user的所有字段,和你添加的外键字段。
而且,所有的表都基于你创建的表,而不再使用原来的表。
这个表适用于所有的auth方法。
七。中间件插拔式源码:
如下。
import settings import importlib def send_all(content): for path_str in settings.NOTIFY_LIST: # 1.拿出一个个的字符串 'notify.email.Email' module_path,class_name = path_str.rsplit('.',maxsplit=1) # 2.从右边开始 按照点切一个 ['notify.email','Email'] module = importlib.import_module(module_path) # from notity import msg,email,wechat cls = getattr(module,class_name) # 利用反射 一切皆对象的思想 从文件中获取属性或者方法 cls = 一个个的类名 obj = cls() # 类实例化生成对象 obj.send(content) # 对象调方法
配置文件:
NOTIFY_LIST = [ 'notify.email.Email', 'notify.msg.Msg', # 'notify.wechat.WeChat', 'notify.qq.QQ', ]
该表结构是:
