☆Django☆---中间件 csrf跨站请求伪造 auth模块 settings功能插拔式源码
Django中间件
django生命周期图
中间件:
概念: Django中间件就类似于 django的保安
请求 的时候需要先经过中间件才能到达django后端(urls, views)
响应 走的时候也需要经过中间件才能到达web服务网关接口
django默认的七个中间件
MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', ]
问:django中间件都可以用来干什么? ***
1. 网站全局的身份校验, 访问频率限制,权限校验.....
2.django的中间件是web框架中 做的最好的
Django中间件中有五个用户可以自定义的方法
process_response process_request process_view process_exception process_templates
如何自定义?
①首先需要在 app 同级目录下 创建你自己的 middleware 在里面创建你的py文件
②导入模块 from django.utils.deprecation import MiddlewareMixin
③定义自己的类 需要继承 Middleware 重写 上面五种方法
④在settings配置文件中的MIDDLEWARE 字符串点的方式 添加 例如: '文件夹.py文件.类名'
process_request(request) 方法
规律: 1.请求来的时候 会经过每一个中间件里面的 process_request方法(从上往下)
2.如果方法里面直接返回了HttpResponse对象 那么会不在往下执行 放回同级 执行process_response方法 往回走
3.方法 必须要传入request参数 也就是说 基于该特点 就可以做访问频率 身份校验,权限的校验
process_response(request, response) 方法
规律:1.必须将参数 reponse返回 因为这个参数就是 后端返回给前端的数据
2.响应走的时候 会依次经过每一个中间件里面的 process_response方法(从下往上)
了解方法:
process_view(request, view_func,view_args, view_kwargs)
在路由匹配成功后 执行函数触发之前触发
view_func 就是 url匹配对应的 视图函数 view_args 和 view_kwargs 都是参数
process_exception( request,exception)
当你的视图函数报错的时候回自动触发
process_template_response(request, response)
当你放回的HttpResponse对象中必须包含 render 属性 才会触发
总结: 书写中间件的时候 只要形参中有response 就把它返回 他是 前端需要的数据
csrf跨站请求伪造
引入:钓鱼网站: 通过制作一个跟正儿八经的网站一模一样的界面 骗取用户输入信息 修改数据去正儿八经的网站提交
内部原理: 在让用户输入给对方转账的那个input框上做手脚 不给 这个input 设置name 和属性 在内部隐藏一个写好的name 和 value属性input框 这个value就是 钓鱼网站受益人的账号 form 表单数据提交 改为正儿八经的
防止钓鱼网站的思路
网站会给返回给用户的form表单页面 偷偷塞一个随机字符串
请求到来的时候 会先比对随机字符串是否一致 如果不一致 直接拒绝(403)
该随机字符串有以下特点
1.同一个浏览器每一次访问都不一样
2.不同浏览器绝对不会重复
-------------------------------------------------------------------------------------------------------------------------------------------
1.form表单发送post请求的时候 需要你仅仅做的就是写一句话 {{% csrf_token %}}
这样我们就可以吧 中间件的有个注释打开了 他这个就是来校验你有没有 一个 csrfmiddlewaretoken的东西 没有直接给你403
2.ajsx发送post请求的时候 如和避免csrf校验
1.先在页面上写{% csrf_token %}, 利用标签name 属性查找器 查找 获取到该input键值信息
2.直接书写'{{ csrf_token }}'
3.将获取随机键值对的方法写到一个js文件中 之后只需要导入文件即可
在static文件中创建 js文件 和 py文件 把下面代码写入 之后导入就行
function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie !== '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = jQuery.trim(cookies[i]); // Does this cookie string begin with the name we want? if (cookie.substring(0, name.length + 1) === (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } var csrftoken = getCookie('csrftoken'); function csrfSafeMethod(method) { // these HTTP methods do not require CSRF protection return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method)); } $.ajaxSetup({ beforeSend: function (xhr, settings) { if (!csrfSafeMethod(settings.type) && !this.crossDomain) { xhr.setRequestHeader("X-CSRFToken", csrftoken); } } });
之后 该怎么传就怎么传就行了
1.当你网站全局都需要校验csrf的时候 有几个不需要校验该如何处理?
2.当你网站全局不校验csrf的时候 有几个需要校验又该如何处理?
from django.views.decorators.csrf import csrf_exempt,csrf_protect
csrf_exempt 不校验
csrf_protect 只校验
cbv装饰
from django.utils.decorators import method_decorator
这两个装饰器在给CBV装饰的时候 有一定的区别 如果是csrf_protect 那么有三种方式 # 第一种方式 # @method_decorator(csrf_protect,name='post') # 有效的 class MyView(View): # 第三种方式 # @method_decorator(csrf_protect) def dispatch(self, request, *args, **kwargs): res = super().dispatch(request, *args, **kwargs) return res def get(self,request): return HttpResponse('get') # 第二种方式 # @method_decorator(csrf_protect) # 有效的 def post(self,request): return HttpResponse('post')
如果是csrf_exempt 只有两种(只能给dispatch装) 特例 @method_decorator(csrf_exempt,name='dispatch') # 第二种可以不校验的方式 class MyView(View): # @method_decorator(csrf_exempt) # 第一种可以不校验的方式 def dispatch(self, request, *args, **kwargs): res = super().dispatch(request, *args, **kwargs) return res def get(self,request): return HttpResponse('get') def post(self,request): return HttpResponse('post')
装饰器中只有csrf_exempt是特例,其他的装饰器在给CBV装饰的时候 都可以有三种方式
def login_auth(func): @wraps(func) def inner(request,*args,**kwargs): # 从request中获取cookie # print(request.path) # print(request.get_full_path()) target_url = request.get_full_path() if request.COOKIES.get('name'): res = func(request,*args,**kwargs) return res else: return redirect('/lg/?next=%s'%target_url) return inner
auth模块
引入: (如果你想用auth模块 那么就用全套) auth模块是跟用户相关的功能模块
①执行数据库迁移命令后 会产生很多的表 其中的auth_uesr 就是一张用户相关的表格。
②添加数据 createsuperuser 创建超级用户 这个超级用户可以拥有登录django admin后台的权限
设置邮箱 用户名 和 密码 auth_user 表中就会把你的数据记录下来 且以可登录 admin
auth模块功能
模块的导入
from django.contrib import auth
直接子啊视图函数使用
查询用户
user_obj = auth.authenticate(username='xxx', password='xxx')
记录用户状态
auth.login(request,user_obj)