16:django 有条件的视图处理(Last-Modified和ETag)&&加密签名
有条件的视图处理
上一节我们介绍了缓存来减轻服务器的负担,这里的有条件的视图处理也从一定程度上减轻了服务器的负担,在正式介绍之前,先来看两个概念:Last-Modified和ETag
Last-Modified
ETag
请求流程
作用
知道了这两个概念之后,我们应该知道这两个概念的作用了吧,也大概知道我们接下来要讲解的是什么啦。没错,就是,django中如何使用Last-Modified和ETag这两个概念呢
condition装饰器
Last-Modified和ETag在django中是两个函数,前者返回一个日期类型数据,后者返回一个值(ETag值),这两个函数可以作为参数传递给django.views.decorators.http.condition这个装饰器,装饰器原型是
condition(etag_func=None, last_modified_func=None)
这是一个使用的简单例子
def latest_entry(request, blog_id): return Entry.objects.filter(blog=blog_id).latest("published").published from django.views.decorators.http import condition @condition(last_modified_func=latest_entry) def front_page(request, blog_id): ...
在django.views.decorators.http.condition文件里还提供了另外两个装饰器,可以使得只需要提供一个参数即可,看源码很容易懂:
def etag(etag_func): return condition(etag_func=etag_func) def last_modified(last_modified_func): return condition(last_modified_func=last_modified_func)
说完了Last-Modified和ETag,我们继续说一下
django加密签名
web应用安全的黄金法则是:永远不要相信从不受信任来源的数据。但有时候我们只能从不受信任的媒介获取或者发送数据,或者不受信任的媒介更具吸引力,比如我们确保我们的数据一定是安全的,并且不受信任的媒介比受信任媒介要快捷甚至便宜的多。加密签名的值一旦被篡改就会被检测到,这是我们能确保数据安全的共识。下面是几个加密签名应用的例子:
- 找回密码所用的url
- 确保form表单中的隐藏域没有被修改
- 一次性的允许访问保护数据的加密url
django提供了一个底层的用来加密数据的API和一个高层的用来设置和读取加密cookies的API
保护好你的SECRET_KEY
用django-admin.py startproject命令生成的项目自带一个自动随机生成的SECRET_KEY,注意不要泄露这个key
使用低层次的API
django的加密方法源代码位于django\core目录下的signing.py文件,可以具体去看看,下面是一些基本的用法:
>>> from django.conf import settings >>> settings.configure() >>> from django.core.signing import Signer >>> signer = Signer() >>> value = signer.sign("qiweijie") >>> value 'qiweijie:lVrPb11e1K9K_DcxnMGNYk8t2aQ' >>> original = signer.unsign(value) >>> original u'qiweijie'
使用“调味剂”参数(salt)
salt是“盐,调味剂”的意思,如果你不想每次对同一字符加密的结果都一样,那么你可以是用调味剂参数调剂一下,哈哈,看示例:
>>> signer = Signer() >>> signer.sign('My string') 'My string:GdMGD6HNQ_qdgxYP8yBZAdAIV1w' >>> signer = Signer(salt='extra') >>> signer.sign('My string') 'My string:Ee7vGi-ING6n02gkcJ-QLHg6vFw' >>> signer.unsign('My string:Ee7vGi-ING6n02gkcJ-QLHg6vFw') u'My string'
验证时间戳
TimestampSigner是Signer的子类,添加了一个加密的时间戳给值。这允许你可以确保一个加密的数据是在一个给定的时间内创建的
>>> from django.core.signing import TimestampSigner >>> signer = TimestampSigner() >>> value = signer.sign('hello') >>> value 'hello:1NMg5H:oPVuCqlJWmChm1rA2lyTUtelC-c' >>> signer.unsign(value) u'hello' >>> signer.unsign(value, max_age=10) ... SignatureExpired: Signature age 15.5289158821 > 10 seconds >>> signer.unsign(value, max_age=20) u'hello'
保护复杂的数据结构
列表,元组和字典,如果你直接使用上述的方法,最后得到的是一个字符串而不是原来的数据类型:
>>> dic = {1:2} >>> sd=signer.sign(dic) >>> signer.unsign(sd) u'{1: 2}'
如果你想保护这些数据类型,请使用dumps和loads方法,它们都位于django.core.signing模块里面
- dumps(obj, key=None, salt='django.core.signing', compress=False)
- loads(string, key=None, salt='django.core.signing', max_age=None)
>>> from django.core import signing >>> value = signing.dumps({"foo": "bar"}) >>> value 'eyJmb28iOiJiYXIifQ:1NMg1b:zGcDE4-TCkaeGzLeW9UQwZesciI' >>> signing.loads(value) {'foo': 'bar'}