zoukankan      html  css  js  c++  java
  • Django之中间件、csrf跨站请求伪造、auth模块

    一、中间件

    •  中间件是一个用来处理Django的请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。每个中间件组件都负责做一些特定的功能。

    其实每个Djiango项目中都有中间件,其位置就在:settings.py文件里的MIDDLEWARE配置项,如下图所示:

    MIDDLEWARE = [
        'django.middleware.security.SecurityMiddleware',
        'django.contrib.sessions.middleware.SessionMiddleware',
        'django.middleware.common.CommonMiddleware',
        'django.middleware.csrf.CsrfViewMiddleware',
        'django.contrib.auth.middleware.AuthenticationMiddleware',
        'django.contrib.messages.middleware.MessageMiddleware',
        'django.middleware.clickjacking.XFrameOptionsMiddleware',
    ]

    1、自定义中间件

    django默认有七个中间件,但是django暴露给用户可以自定义中间件并且里面可以写五种方法:

    • process_request(self,request)
    • process_view(self, request, view_func, view_args, view_kwargs)
    • process_template_response(self,request,response)
    • process_exception(self, request, exception)
    • process_response(self, request, response)

      以上方法的返回值可以是None或一个HttpResponse对象,如果是None,则继续按照django定义的规则向后继续执行,如果是HttpResponse对象,则直接将该对象返回给用户。

    自定义一个中间件示例图:

    1.1、process_request

    • 请求来的时候会依次执行每一个中间件里面的process_request方法(如果没有直接通过)
    • process_request有一个参数,就是request,这个request和视图函数中的request是一样的(在交给Django后面的路由之前,对这个request对象可以进行一系列的操作)。
    • 由于request对象是一样的,所以我们可以对request对象进行一系列的操作,包括request.变量名=变量值,这样的操作,我们可以在后续的视图函数中通过相同的方式即可获取到我们在中间件中设置的值。
    • 它的返回值可以是None也可以是HttpResponse对象。返回值是None的话,按正常流程继续走,交给下一个中间件处理,如果是HttpResponse对象,Django将不执行视图函数,而将相应对象返回给浏览器。

    Djiango中process_request方法的执行顺序:

    from django.utils.deprecation import MiddlewareMixin
    
    
    class MD1(MiddlewareMixin):
    
        def process_request(self, request):
            print("MD1里面的 process_request")
    
    
    class MD2(MiddlewareMixin):
        def process_request(self, request):
            print("MD2里面的 process_request")
            pass
    
    # 在settings.py的MIDDLEWARE配置项中注册上述两个自定义中间件:
    
    MIDDLEWARE = [
        'django.middleware.security.SecurityMiddleware',
        'django.contrib.sessions.middleware.SessionMiddleware',
        'django.middleware.common.CommonMiddleware',
        'django.middleware.csrf.CsrfViewMiddleware',
        'django.contrib.auth.middleware.AuthenticationMiddleware',
        'django.contrib.messages.middleware.MessageMiddleware',
        'django.middleware.clickjacking.XFrameOptionsMiddleware',
        'middlewares.MD1',  # 自定义中间件MD1
        'middlewares.MD2'  # 自定义中间件MD2
    ]
    
    # 此时,我们访问一个视图,会发现终端中打印如下内容:
    
    MD1里面的 process_request
    MD2里面的 process_request
    app01 中的 index视图
    
    
    # 把MD1和MD2的位置调换一下,再访问一个视图,会发现终端中打印的内容如下:
    
    MD2里面的 process_request
    MD1里面的 process_request
    app01 中的 index视图

    由此可总结得:

    1. 中间件的process_request方法是在执行视图函数之前执行的。
    2. 当配置多个中间件时,会按照MIDDLEWARE中的注册顺序,也就是列表的索引值,从前到后依次执行的。
    3. 不同中间件之间传递的request都是同一个对象

    1.2、process_response

    • 定义process_response方法时,必须给方法传入两个形参,request和response。request就是上述例子中一样的对象,response是视图函数返回的HttpResponse对象(也就是说这是Django后台处理完之后给出一个的一个具体的视图)。该方法的返回值(必须要有返回值)也必须是HttpResponse对象。如果不返回response而返回其他对象,则浏览器不会拿到Django后台给他的视图,而是我的中间件中返回的对象
    from django.utils.deprecation import MiddlewareMixin
    
    
    class MD1(MiddlewareMixin):
    
        def process_request(self, request):
            print("MD1里面的 process_request")
    
        def process_response(self, request, response):
            print("MD1里面的 process_response")
            return response
    
    
    class MD2(MiddlewareMixin):
        def process_request(self, request):
            print("MD2里面的 process_request")
            pass
    
        def process_response(self, request, response):
            print("MD2里面的 process_response")
            return response
    
    
    # 访问一个视图,看一下终端的输出:
    
    MD2里面的 process_request
    MD1里面的 process_request
    app01 中的 index视图
    MD1里面的 process_response
    MD2里面的 process_response

    由此可总结得:

    • 多个中间件中的process_response方法是按照MIDDLEWARE中的注册顺序倒序执行的,也就是说第一个中间件的process_request方法首先执行,而它的process_response方法最后执行,最后一个中间件的process_request方法最后一个执行,它的process_response方法是最先执行。

    了解:

    • process_view:路由匹配成功执行视图之前自动触发(从上往下依次执行)
    • process_exception:当视图函数报错了,自动触发(从下往上依次执行)
    • process_template_response:视图函数返回的对象有一个render()方法(或者表明该对象是一个TemplateResponse对象或等价方法)(从下往上依次执行)

    二、csrf跨站请求伪造

    # form表单中如何跨站请求伪造
    {% csrf_token %}  #这个才是关键
    <input type="hidden" name="csrfmiddlewaretoken" value="2vzoo1lmSWgLTdI2rBQ4PTptJQKRQTRwnqeWRGcpdAQGagRp8yKg8RX2PdkF4aqh">
    # ps:value是动态生成的,每一次刷新都不一样
    from django.views.decorators.csrf import csrf_exempt,csrf_protect
    @csrf_exempt  # 不校验csrf
    def index1(request):
        return HttpResponse('ok')
    
    @csrf_protect  # 校验csrf
    def index2(request):
        return HttpResponse('ok')

    csrf装饰CBV需要注意

    • csrf_protect 跟正常的CBV装饰器一样      有三种
    • csrf_exempt  只能有下面两种方式
    @method_decorator(csrf_exempt,name='dispatch')  # 第一种 
    class Index3(View):
        # @method_decorator(csrf_exempt)   # 第二种  
        def dispatch(self, request, *args, **kwargs):
            super().dispatch(request,*args,**kwargs)  
    
    
    # 其实都市给dispatch加

    三、auth模块(用户功能模块)

    1、auth模块的常用方法

    1.1、authenticate()

    • 提供了用户认证功能,即验证用户名以及密码是否正确,一般需要username 、password两个关键字参数。
    • 如果认证成功(用户名和密码正确有效),便会返回一个 User 对象。
    • authenticate()会在该 User 对象上设置一个属性来标识后端已经认证了该用户,且该信息在后续的登录过程中是需要的。

    用法:

    user = authenticate(username='usernamer',password='password')

    1.2、login(HttpRequest,user)

    • 该函数接受一个HttpRequest对象,以及一个经过认证的User对象。
    • 该函数实现一个用户登录的功能。它本质上会在后端为该用户生成相关session数据。

    用法:

    from django.contrib.auth import authenticate, login
       
    def my_view(request):
      username = request.POST['username']
      password = request.POST['password']
      user = authenticate(username=username, password=password)
      if user is not None:
        login(request, user)
        # Redirect to a success page.
        ...
      else:
        # Return an 'invalid login' error message.
        ...

    1.3、logout(request)

    • 该函数接受一个HttpRequest对象,无返回值。
    • 当调用该函数时,当前请求的session信息会全部清除。该用户即使没有登录,使用该函数也不会报错。

    用法:

    from django.contrib.auth import logout
       
    def logout_view(request):
      logout(request)
      # Redirect to a success page.

    1.4、is_authenticated()

    • 用来判断当前请求是否通过了认证

    用法:

    def my_view(request):
      if not request.user.is_authenticated():
        return redirect('%s?next=%s' % (settings.LOGIN_URL, request.path))

    1.5、login_requierd()

    • auth 给我们提供的一个装饰器工具,用来快捷的给某个视图添加登录校验。

    用法:

    from django.contrib.auth.decorators import login_required
          
    @login_required
    def my_view(request):
      ...
    • 若用户没有登录,则会跳转到django默认的 登录URL '/accounts/login/ ' 并传递当前访问url的绝对路径 (登陆成功后,会重定向到该路径)。
    • 如果需要自定义登录的URL,则需要在settings.py文件中通过LOGIN_URL进行修改。

    示例:

    LOGIN_URL = '/login/'  # 这里配置成你项目登录页面的路由

    1.6、create_user()

    • auth 提供的一个创建新用户的方法,需要提供必要参数(username、password)等。

    用法:

    from django.contrib.auth.models import User
    user = User.objects.create_user(username='用户名',password='密码',email='邮箱',...)

    1.7、create_superuser()

    • auth 提供的一个创建新的超级用户的方法,需要提供必要参数(username、password)等。

    用法:

    from django.contrib.auth.models import User
    user = User.objects.create_superuser(username='用户名',password='密码',email='邮箱',...)

    1.8、check_password(password)

    • auth 提供的一个检查密码是否正确的方法,需要提供当前请求用户的密码。
    • 密码正确返回True,否则返回False。

    用法:

    ok = user.check_password('密码')

    1.9、set_password(password)

    • auth 提供的一个修改密码的方法,接收 要设置的新密码 作为参数。
    • 注意:设置完一定要调用用户对象的save方法!!!

    用法:

    user.set_password(password='')
    user.save()
    @login_required
    def set_password(request):
        user = request.user
        err_msg = ''
        if request.method == 'POST':
            old_password = request.POST.get('old_password', '')
            new_password = request.POST.get('new_password', '')
            repeat_password = request.POST.get('repeat_password', '')
            # 检查旧密码是否正确
            if user.check_password(old_password):
                if not new_password:
                    err_msg = '新密码不能为空'
                elif new_password != repeat_password:
                    err_msg = '两次密码不一致'
                else:
                    user.set_password(new_password)
                    user.save()
                    return redirect("/login/")
            else:
                err_msg = '原密码输入错误'
        content = {
            'err_msg': err_msg,
        }
        return render(request, 'set_password.html', content)
    一个修改密码的简单示例

    2、User对象的属性

    • User对象属性:username, password
    • is_staff : 用户是否拥有网站的管理权限.
    • is_active : 是否允许用户登录, 设置为 False,可以在不删除用户的前提下禁止用户登录。

    3、扩展默认的auth user表

    • 我们可以通过继承内置的 AbstractUser 类,来定义一个自己的Model类。
    from django.contrib.auth.models import AbstractUser
    class UserInfo(AbstractUser):
        """
        用户信息表
        """
        nid = models.AutoField(primary_key=True)
        phone = models.CharField(max_length=11, null=True, unique=True)
        
        def __str__(self):
            return self.username

    注意:

    • 按上面的方式扩展了内置的auth_user表之后,一定要在settings.py中告诉Django,我现在使用我新定义的UserInfo表来做用户认证。写法如下:
    # 引用Django自带的User表,继承使用时需要设置
    AUTH_USER_MODEL = "app名.UserInfo"
    • 一旦我们指定了新的认证系统所使用的表,我们就需要重新在数据库中创建该表,而不能继续使用原来默认的auth_user表了。
  • 相关阅读:
    [kuangbin带你飞]专题十六 KMP & 扩展KMP & ManacherK
    [kuangbin带你飞]专题十六 KMP & 扩展KMP & Manacher J
    [kuangbin带你飞]专题十六 KMP & 扩展KMP & Manacher I
    pat 1065 A+B and C (64bit)(20 分)(大数, Java)
    pat 1069 The Black Hole of Numbers(20 分)
    pat 1077 Kuchiguse(20 分) (字典树)
    pat 1084 Broken Keyboard(20 分)
    pat 1092 To Buy or Not to Buy(20 分)
    pat 1046 Shortest Distance(20 分) (线段树)
    pat 1042 Shuffling Machine(20 分)
  • 原文地址:https://www.cnblogs.com/wangyisen/p/11047792.html
Copyright © 2011-2022 走看看