11中间件 csrf认证 auth组件
前戏
在session和cookie中我们已经学会了给视图函数加装饰器来判断是用户是否登录,把没有登录的用户请求跳转到登录页面。
我们通过给几个特定视图函数加装饰器实现了这个需求。但是以后添加的视图函数可能也需要加上装饰器,就要一个一个去装饰,这样是不是稍微有点繁琐。
下面的内容我们将了解中间件,基于中间件方式实现控制全局的效果,让你爽到死
一、中间件
1.django的完整生命周期:
2.中间件介绍
from django.shortcuts import render,HttpResponse # Create your views here. def index(request): print('我是index视图函数') def render(): return HttpResponse('什么鬼玩意') obj = HttpResponse('index') obj.render = render return obj def transfer(request): if request.method == 'POST': username = request.POST.get('username') money = request.POST.get('money') target_user = request.POST.get('target_user') print('%s 给 %s 转了 %s元'%(username,target_user,money)) return render(request,'t.html') from django.views.decorators.csrf import csrf_exempt,csrf_protect @csrf_exempt def login(request): return HttpResponse('login') @csrf_protect def lll(request): return HttpResponse('lll') from django.views import View from django.utils.decorators import method_decorator # 第一中种方式 # @method_decorator(csrf_protect,name='post') # 有效的 # @method_decorator(csrf_exempt,name='post') # 无效的 @method_decorator(csrf_exempt,name='dispatch') # 第二种可以不校验的方式 class MyView(View): # @method_decorator(csrf_exempt) # 第一种可以不校验的方式 @method_decorator(csrf_protect) def dispatch(self, request, *args, **kwargs): res = super().dispatch(request, *args, **kwargs) return res def get(self,request): return HttpResponse('get') # 第二种方式 # @method_decorator(csrf_exempt) # 无效的 # @method_decorator(csrf_protect) # 有效的 def post(self,request): return HttpResponse('post') from django.contrib import auth def xxx(request): if request.method == 'POST': username = request.POST.get('username') password = request.POST.get('password') # 取数据库查询当前用户数据 # models.User.objects.filter(username=username,password=password).first() user_obj = auth.authenticate(username=username,password=password) # 必须要用 因为数据库中的密码字段是密文的 而你获取的用户输入的是明文 print(user_obj) # print(user_obj) # print(user_obj.username) # print(user_obj.password) # 保存用户状态 # request.session['user'] = user_obj auth.login(request,user_obj) # 将用户状态记录到session中 """只要执行了这一句话 你就可以在后端任意位置通过request.user获取到当前用户对象""" return render(request,'xxx.html') def yyy(request): print(request.user) # 如果没有执行auth.login那么拿到的是匿名用户 print(request.user.is_authenticated) # 判断用户是否登录 如果是你们用户会返回False # print(request.user.username) # print(request.user.password) return HttpResponse('yyy') from django.contrib.auth.decorators import login_required # 修改用户密码 @login_required # 自动校验当前用户是否登录 如果没有登录 默认跳转到 一个莫名其妙的登陆页面 def set_password(request): if request.method == 'POST': old_password = request.POST.get('old_password') new_password = request.POST.get('new_password') # 先判断原密码是否正确 is_right = request.user.check_password(old_password) # 将获取的用户密码 自动加密 然后去数据库中对比当前用户的密码是否一致 if is_right: print(is_right) # 修改密码 request.user.set_password(new_password) request.user.save() # 修改密码的时候 一定要save保存 否则无法生效 return render(request,'set_password.html') @login_required def logout(request): # request.session.flush() auth.logout(request) return HttpResponse("logout") from django.contrib.auth.models import User def register(request): if request.method == 'POST': username = request.POST.get('username') password = request.POST.get('password') user_obj = User.objects.filter(username=username) if not user_obj: # User.objects.create(username =username,password=password) # 创建用户名的时候 千万不要再使用create 了 # User.objects.create_user(username =username,password=password) # 创建普通用户 User.objects.create_superuser(username =username,password=password,email='123@qq.com') # 创建超级用户 return render(request,'register.html')
2.1 什么是中间件?
官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。每个中间件组件都负责做一些特定的功能。
但是由于其影响的是全局,所以需要谨慎使用,使用不当会影响性能。
说的直白一点中间件是帮助我们在视图函数执行之前和执行之后都可以做一些额外的操作,它本质上就是一个自定义类,类中定义了几个方法,Django框架会在请求的特定的时间去执行这些方法。
我们一直都在使用中间件,只是没有注意到而已,打开Django项目的Settings.py文件,看到下图的MIDDLEWARE配置项
django中间件 django中间件是类似于是django的保安 请求的时候需要先经过中间件才能到达django后端(urls,views,templates,models) 响应走的时候也需要经过中间件才能到达web服务网关接口 django中间件可以用来做什么(***********************) 1.网站全局的身份校验,访问频率限制,权限校验...只要是涉及到全局的校验你都可以在中间件中完成 2.django的中间件是所有web框架中 做的最好的 django默认的七个中间件 MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', ]
2.2 中间件五种方法
我们进入中间件源码会发现它们就是几个类,里面是几种方法,django中间件中有五个用户可以自定义的方法
需要我们掌握的方法有 1.process_request()方法 规律 1.请求来的时候 会经过每个中间件里面的process_request方法(从上往下) 2.如果方法里面直接返回了HttpResponse对象 那么会直接返回 不再往下执行 基于该特点就可以做访问频率限制,身份校验,权限校验 2.process_response()方法 规律 1.必须将response形参返回 因为这个形参指代的就是要返回给前端的数据 2.响应走的时候 会依次经过每一个中间件里面的process_response方法(倒序:从下往上) 需要了解的方法 3.process_view() 1.在路由匹配成功执行视图函数之前 触发 4.process_exception() 1.当你的视图函数报错时 就会自动执行 5.process_template_response() 1.当你返回的HttpResponse对象中必须包含render属性才会触发 def index(request): print('我是index视图函数') def render(): return HttpResponse('什么鬼玩意') obj = HttpResponse('index') obj.render = render return obj 总结:你在书写中间件的时候 只要形参中有repsonse 你就顺手将其返回 这个reponse就是要给前端的消息
如何自定义我们自己的中间件,研究这上面五个方法都有哪些特点
1.如果你想让你写的中间件生效 就必须要先继承MiddlewareMixin
2.在注册自定义中间件的时候 一定要确保路径不要写错
3.csrf认证 跨站请求伪造
#钓鱼网站
钓鱼网站
通过制作一个跟正儿八经的网站一模一样的页面,骗取用户输入信息 转账交易
从而做手脚
转账交易的请求确确实实是发给了中国银行,账户的钱也是确确实实少了
唯一不一样的地方在于收款人账户不对
内部原理
在让用户输入对方账户的那个input上面做手脚
给这个input不设置name属性,在内部隐藏一个实现写好的name和value属性的input框
这个value的值 就是钓鱼网站受益人账号
#解决方法
防止钓鱼网站的思路: 网站会给返回给用户的form表单页面 偷偷塞一个随机字符串 请求到来的时候 会先比对随机字符串是否一致 如果不一致 直接拒绝(403) 该随机字符串有以下特点: 1.同一个浏览器每一次访问都不一样 2.不同浏览器绝对不会重复
3.1 csrf认证具体用法
1.form表单发送post请求的时候 需要你做得仅仅书写一句话
{% csrf_token %}
2.ajax发送post请求 如何避免csrf校验(三种方式)
1.现在页面上写{% csrf_token %},利用标签查找 获取到该input键值信息
$('[name=csrfmiddlewaretoken]').val()
data:{'username':'jason','csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()}
2.直接书写'{{ csrf_token }}'
{{ csrf_token }}
data:{'username':'jason','csrfmiddlewaretoken':'{{ csrf_token }}'}
3.你可以将该获取随机键值对的方法 写到一个js文件中,之后只需要导入该文件即可(前后端分离中用的多)
新建一个js文件 存放以下代码 之后导入即可 (django官网提供的)
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie !== '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) === (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
var csrftoken = getCookie('csrftoken');
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
beforeSend: function (xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
});
3.2 局部csrf认证
【问题一】当你网站全局都需要校验csrf的时候 有几个不需要校验该如何处理
【问题二】当你网站全局不校验csrf的时候 有几个需要校验又该如何处理
我们会用到两个装饰器csrf_exempt, csrf_protect,在CBV和FBV中用法不同
#在FBV中:
当其他都校验一个函数不校验就装饰@csrf_exempt 当其他都不校验只有一个函数需要校验就装饰@csrf_protect
from django.utils.decorators import method_decorator from django.views.decorators.csrf import csrf_exempt,csrf_protect
#在CBV中:不能直接装饰需要借助method_decorator,这两个装饰器装饰用法也有一定的区别:
如果是csrf_protect 那么有三种方式 # 第一种方式 # @method_decorator(csrf_protect,name='post') # 有效的 class MyView(View): # 第三种方式 # @method_decorator(csrf_protect) def dispatch(self, request, *args, **kwargs): res = super().dispatch(request, *args, **kwargs) return res def get(self,request): return HttpResponse('get') # 第二种方式 # @method_decorator(csrf_protect) # 有效的 def post(self,request): return HttpResponse('post') 如果是csrf_exempt 只有两种(只能给引入dispatch,给他装) @method_decorator(csrf_exempt,name='dispatch') # 第二种可以不校验的方式 class MyView(View): # @method_decorator(csrf_exempt) # 第一种可以不校验的方式 def dispatch(self, request, *args, **kwargs): res = super().dispatch(request, *args, **kwargs) return res def get(self,request): return HttpResponse('get') def post(self,request): return HttpResponse('post') 总结 装饰器中只有csrf_exempt是特例,其他的装饰器在给CBV装饰的时候 都可以有三种方式
二、auth组件
auth模块
如果你想用auth模块 那么你就用全套,不要一会儿用auth的方法,一会用原生方法
跟用户相关的功能模块
用户的注册 登陆 验证 修改密码 ...
执行数据库迁移命令之后 会生成很多表 其中的auth_user是一张用户相关的表格
添加数据
createsuperuser 创建超级用户 超级用户就可以拥有登陆django admin后台管理的权限
2.1 auth模块基本功能
查询用户 from django.contrib import auth # models.User.objects.filter(username=username,password=password).first() 不能这样写,因为密码是密文 user_obj = auth.authenticate(username=username,password=password) # 必须要用 因为数据库中的密码字段是密文的 而你获取的用户输入的是明文 # user_obj是个对象,可以点出属性 记录用户状态 # request.session['user'] = user_obj 自己就不要这样写了 auth.login(request,user_obj) # 将用户状态记录到session中,只要执行了这一句话 #你就可以在后端任意位置通过request.user获取到当前用户对象,未登录显示匿名用户 判断用户是否登录 print(request.user.is_authenticated) # 判断用户是否登录,如果是匿名用户会返回False 用户登录之后 获取用户对象 print(request.user) # 如果没有执行auth.login那么拿到的是匿名用户 校验用户是否登录 from django.contrib.auth.decorators import login_required #自带的登陆装饰器 # 自动校验当前用户是否登录 如果没有登录 默认跳转到 一个莫名其妙的登陆页面,所以我们要给定跳转连接 @login_required(login_url='/xxx/') # 局部配置 def index(request): pass # 全局配置 settings文件中 LOGIN_URL = '/xxx/' 验证密码是否正确 request.user.check_password(old_password) 修改密码 request.user.set_password(new_password) request.user.save() # 修改密码的时候 一定要save保存 否则无法生效 退出登陆 auth.logout(request) # request.session.flush() 注册用户 # User.objects.create(username =username,password=password) # 创建用户名的时候 千万不要再使用create了,密码不是密文保存的 User.objects.create_user(username =username,password=password) # 创建普通用户 User.objects.create_superuser(username =username,password=password,email='123@qq.com') # 创建超级用户可用于登录admin后台 邮箱必填
2.2 自定义auth_user表
from django.contrib.auth.models import AbstractUser # 第一种 使用一对一关系关联额外一张表 不考虑 # 第二种方式 使用类的继承 class Userinfo(AbstractUser): # 千万不要跟原来表中的字段重复 只能创新 phone = models.BigIntegerField() avatar = models.CharField(max_length=32) # 一定要在配置文件中 告诉django,orm不再使用auth默认的表 而是使用你自定义的表 AUTH_USER_MODEL = 'app01.Userinfo' # '应用名.类名' # 执行数据库迁移命令 所有的auth模块功能 全部都基于你创建的表 而不再使用auth_user
