Django中间件以及csrf

Django中间件

Django中间件就是用来处理Django请求和响应的框架级别的钩子函数,每个中间件组件都负责做一些特定的功能。

Django中间件默认有七个

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

上面的中间件条目可以写成以下形式

比如第一条等价于:

from django.middleware.security import SecurityMiddleware

Django中间件在请求和响应的阶段都要依次执行

请求来的时候 从上往下依次执行每一个中间件的process_request的方法,如果中间件里面没有process_request方法,直接提哦啊过执行下一个中间件。

响应走的时候,会从下往上依次执行每一个中间件里面的process_response方法,没有定义会直接跳过执行下一个

当中间件里面的 process_request方法返回了一个HttpResponse对象那就不会继续往后执行 而是直接跳到同级别的

(--------这是和flask不同的 flask还是会执行到最后一个 再返回------)

process_response防范 直接往回走

django中间件是类似于是django的保安
请求的时候需要先经过中间件才能到达django后端(urls,views,templates,models)
响应走的时候也需要经过中间件才能到达web服务网关接口

django中间件可以用来做什么

​ 1.网站全局的身份校验,访问频率限制,权限校验...只要是涉及到全局的校验你都可以在中间件中完成

django的中间件是所有web框架中 做的最好的

django中间件中有五个用户可以自定义的方法

需要我们掌握的方法有

​ 1.process_request()方法
​ 规律
​ a.请求来的时候 会经过每个中间件里面的process_request方法(从上往下)
​ b.如果方法里面直接返回了HttpResponse对象 那么会直接返回 不再往下执行
​ 基于该特点就可以做访问频率限制,身份校验,权限校验
​ 2.process_response()方法
​ 规律
​ a.必须将response形参返回 因为这个形参指代的就是要返回给前端的数据
​ b.响应走的时候 会依次经过每一个中间件里面的process_response方法(从下往上)

需要了解的方法

​ 3.process_view()
​ a.在路由匹配成功执行视图函数之前 触发

​ 4.process_exception()
​ a.当你的视图函数报错时 就会自动执行

​ 5.process_template_response()
​ a.当你返回的HttpResponse对象中必须包含render属性才会触发

def index(request):
		print('我是index视图函数')
def render():
		return HttpResponse('什么鬼玩意')
		obj = HttpResponse('index')
		obj.render = render
		return obj

​ 总结:你在书写中间件的时候 只要形参中有repsonse 你就顺手将其返回 这个reponse就是要给前端的消息( 如果你不返回,会报错 )

如何自定义我们自己的中间件,研究这上面五个方法都有哪些特点
1.如果你想让你写的中间件生效,就必须要先继承MiddlewareMixin
2.在注册自定义中间件的时候,一定要确保路径不要写错

csrf跨站请求伪造
钓鱼网站
通过制作一个跟正儿八经的网站一模一样的页面,骗取用户输入信息 转账交易
从而做手脚
转账交易的请求确确实实是发给了中国银行,账户的钱也是确确实实少了
唯一不一样的地方在于收款人账户不对
内部原理
在让用户输入对方账户的那个input上面做手脚
给这个input不设置name属性,在内部隐藏一个实现写好的name和value属性的input框
这个value的值 就是钓鱼网站受益人账号
防止钓鱼网站的思路
网站会给返回给用户的form表单页面 偷偷塞一个随机字符串
请求到来的时候 会先比对随机字符串是否一致 如果不一致 直接拒绝(403)

该随机字符串有以下特点
1.同一个浏览器每一次访问都不一样
2.不同浏览器绝对不会重复

1.form表单发送post请求的时候 需要你做得仅仅书写一句话

{% csrf_token %}

2.ajax发送post请求 如何避免csrf校验

a.现在页面上写{% csrf_token %},利用标签查找  获取到该input键值信息		{'username':'jason','csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()}
$('[name=csrfmiddlewaretoken]').val()
			
b.直接书写
'{{ csrf_token }}'
{'username':'jason','csrfmiddlewaretoken':'{{ csrf_token }}'}
{{ csrf_token }}
		
c.你可以将该获取随机键值对的方法 写到一个js文件中,之后只需要导入该文件即可
			新建一个js文件 存放以下代码 之后导入即可 
			function getCookie(name) {
				var cookieValue = null;
				if (document.cookie && document.cookie !== '') {
					var cookies = document.cookie.split(';');
					for (var i = 0; i < cookies.length; i++) {
						var cookie = jQuery.trim(cookies[i]);
						// Does this cookie string begin with the name we want?
						if (cookie.substring(0, name.length + 1) === (name + '=')) {
							cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
							break;
						}
					}
				}
				return cookieValue;
			}
			var csrftoken = getCookie('csrftoken');
			
			function csrfSafeMethod(method) {
			  // these HTTP methods do not require CSRF protection
			  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
			}

			$.ajaxSetup({
			  beforeSend: function (xhr, settings) {
				if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
				  xhr.setRequestHeader("X-CSRFToken", csrftoken);
				}
			  }
			});
	1.当你网站全局都需要校验csrf的时候 有几个不需要校验该如何处理
	2.当你网站全局不校验csrf的时候 有几个需要校验又该如何处理
		from django.utils.decorators import method_decorator	
		from django.views.decorators.csrf import csrf_exempt,csrf_protect
		# 这两个装饰器在给CBV装饰的时候 有一定的区别
		如果是csrf_protect 那么有三种方式
			# 第一种方式
			# @method_decorator(csrf_protect,name='post')  # 有效的
			class MyView(View):
				# 第三种方式
				# @method_decorator(csrf_protect)
				def dispatch(self, request, *args, **kwargs):
					res = super().dispatch(request, *args, **kwargs)
					return res

				def get(self,request):
					return HttpResponse('get')
				# 第二种方式
				# @method_decorator(csrf_protect)  # 有效的
				def post(self,request):
					return HttpResponse('post')
				
		如果是csrf_exempt 只有两种(只能给dispatch装)   特例
		@method_decorator(csrf_exempt,name='dispatch')  # 第二种可以不校验的方式
		class MyView(View):
			# @method_decorator(csrf_exempt)  # 第一种可以不校验的方式
			def dispatch(self, request, *args, **kwargs):
				res = super().dispatch(request, *args, **kwargs)
				return res

			def get(self,request):
				return HttpResponse('get')

			def post(self,request):
				return HttpResponse('post')

总结: 装饰器中只有csrf_exempt是特例,其他的装饰器在给CBV装饰的时候,都可以有三种方式

auth模块

如果你想用auth模块 那么你就用全套

跟用户相关的功能模块
用户的注册 登陆 验证 修改密码 ...

执行数据库迁移命令之后 会生成很多表 其中的auth_user是一张用户相关的表格
添加数据
createsuperuser 创建超级用户 这个超级用户就可以拥有登陆django admin后台管理的权限

auth模块的功能
	查询用户
		from django.contrib import auth
		user_obj = auth.authenticate(username=username,password=password)  
    # 必须要用 因为数据库中的密码字段是密文的 而你获取的用户输入的是明文
	记录用户状态
		auth.login(request,user_obj)  
    # 将用户状态记录到session中
	判断用户是否登录
		print(request.user.is_authenticated)  
    # 判断用户是否登录  如果是你们用户会返回False
	用户登录之后 获取用户对象
		print(request.user)  
    # 如果没有执行auth.login那么拿到的是匿名用户
	校验用户是否登录
		from django.contrib.auth.decorators import  login_required
		@login_required(login_url='/xxx/')  # 局部配置
		def index(request):
			pass
		
		# 全局配置  settings文件中
		LOGIN_URL = '/xxx/'
	验证密码是否正确
		request.user.check_password(old_password)
	修改密码	
		request.user.set_password(new_password)
		request.user.save()  # 修改密码的时候 一定要save保存 否则无法生效
	退出登陆
		auth.logout(request)  # request.session.flush()
	注册用户
		# User.objects.create(username =username,password=password)  
    # 创建用户名的时候 千万不要再使用create 了
		# User.objects.create_user(username =username,password=password)  # 创建普通用户
			User.objects.create_superuser(username =username,password=password,email='123@qq.com')  # 创建超级用户  邮箱必填
		自定义auth_user表
		from django.contrib.auth.models import AbstractUser
		# Create your models here.
		# 第一种 使用一对一关系  不考虑
		# 第二种方式   使用类的继承
		class Userinfo(AbstractUser):
		# 千万不要跟原来表中的字段重复 只能创新
		phone = models.BigIntegerField()
		avatar = models.CharField(max_length=32)
		
		# 一定要在配置文件中 告诉django
		# 告诉django  orm不再使用auth默认的表  而是使用你自定义的表
		AUTH_USER_MODEL = 'app01.Userinfo'  # '应用名.类名'

​ 1.执行数据库迁移命令
​ 所有的auth模块功能 全部都基于你创建的表
​ 而不再使用auth_user

	settings功能插拔式源码
		参考django 配置文件中的 中间件等功能模块 

钩子函数在很多语言里都有

只要你按照他的要求写 他就有对应的功能

第三种 当你不使用 模板语法的时候 写前后端分离的时候 要用到

那个js 文件 拷贝下来 以后要用到

第二种也要会

posted @ 2019-09-25 21:33  Bitten  阅读(205)  评论(0编辑  收藏  举报