Django对中间件的调用思想、csrf中间件详细介绍、Django settings源码剖析、Django的Auth模块

目录

• 使用Django对中间件的调用思想完成自己的功能
  • 功能要求
  • importlib模块介绍
  • 功能的实现
• csrf中间件详细介绍
  • 跨站请求伪造
  • Django csrf中间件
    • form表单
    • ajax
      • 方式一
      • 方式二
      • 方式三(官方提供，建议使用此方法)
    • csrf相关装饰器
      • csrf_exempt
      • csrf_protect
    • 在CBV上加csrf装饰器
      • csrf_exempt
      • csrf_protect
• Django settings源码剖析及模仿使用
  • Django settings源码剖析
    • 查看内部配置文件
  • 模仿使用
• Auth模块
  • auth简介
  • auth模块常用方法
    • 创建用户
    • 校验用户名和密码
    • 保存用户登录状态
    • 判断当前用户是否登录
    • 校验原密码
    • 修改密码
    • 注销
    • 校验用户登录状态装饰器
      • 局部登录认证装饰器
      • 全局登录认证装饰器
    • User对象属性(用户登录权限和管理权限)
  • 扩展auth_user表字段
    • 方式一
    • 方式二

使用Django对中间件的调用思想完成自己的功能

中间件的调用只需要在配置文件中添加，如果不使用某个中间件，只需要在配置文件中将对应的字符串注释掉就可以，这种调用执行某一代码的方式是不是很方便呢？下面我们就利用Django对中间件的调用的思想，将自己的功能也实现和中间件一样的调用方式。

功能要求

假设实现的功能：信息的群发，要求我们写好的信息只需要一键发送就可以通过邮件、短信、微信三种方式一起发送出去，如果我们不需要某种通知方式只需要在配置文件中将其注释掉就可以。

importlib模块介绍

动态导入模块importlib，可以按照填入的以点隔开的字符串文件路径获的方式取到对应的文件。使用方法：

module_path = 'notify.msg'
md = importlib.import_module(module_path) #md就是notify文件夹下的msg文件

如果需要获取文件里面定义的函数或者类，可以使用反射的方法(这里将文件当做一个对象，一切皆对象)

cls = getattr(md,cls_name)#将文件名作为对象右面填类的名字就能拿到对应的类

功能的实现

1.建一个群发信息功能的包如下图，将每一张发送信息的方式写在一个独立的文件中。

2.在每一个通知文件中定义对应的通知类如：

class Msg:
    def __init__(self):
        pass

    # 发送信息前的准备

    def send(self, content):
        print(f'Msg通知：{content}')

3.将每一个文件添加到配置文件如下：

NOTIFY_LISTS = [
    'notify.email.Email',
    'notify.msg.Msg',
    'notify.qq.Qq',
    'notify.WeChat.WeChat'
]

4.在init中对类的查找和实例化进行处理

import importlib
import settings
def send_all(content):
    for path in settings.NOTIFY_LISTS:
        module_path,cls_name = path.rsplit('.',maxsplit=1)
        module = importlib.import_module(module_path)
        cls = getattr(module,cls_name)
        obj = cls()
        obj.send(content)

5.在start中调用包实现消息群发的功能

import os,sys
from notify import send_all

sys.path.append(os.path.dirname(__file__))

if __name__ == '__main__':
    send_all('现在测试通知')

Email通知：现在测试通知
Msg通知：现在测试通知
QQ通知：现在测试通知
WeChat通知：现在测试通知

至此功能基本实现。

csrf中间件详细介绍

跨站请求伪造

csrf全称Cross-site request forgery(跨站请求伪造)， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本（XSS）相比，XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。

跨站请求伪造最常见的应用如钓鱼网站，钓鱼网站的具体钓鱼方式：钓鱼网站伪造一个和正规网站界面一模一样的网站，然后将转账(支付)功能的的form表单进行修改，当用户登录时提供的是正规网站的登录接口，而用户支付或转账的对方账户是假的，下面隐藏的是预先设定好的账户(input框的name和value)，这样用户每次给对方进行转账都会将钱转到预先设定好的账户。如何解决跨站请求伪造呢？

从服务端的角度来解决这个问题的思路就是如果每次服务端都能识别出来向我提交请求的是我自己的页面还是别人的页面，那么钓鱼网站就无法在用户访问服务器的过程中伪装成服务端网页给服务端发送转账请求了。而Django中的中间件就是通过这种思想解决跨站请求伪造的问题的。

Django csrf中间件

当用户访问有Django csrf中间件的服务端时Django csrf中间件会给用户的get请求的页面携带一个随机字符串，当用户发送post请求时会校验用户的随机字符串，如果如果校验不通过则直接报403错误，禁止用户提交post请求。

<input type="hidden" name="csrfmiddlewaretoken" value="rJ47FeK9T55wavvVJGY6UxdM1kTMHhTqotGfaXjXIK8Ahz2Uvs02yR9T8bBn5q2D">

能否提交post请求的通常是form表单和ajax请求，Djangocsrf中间件在两种post请求中的使用方式是不同的，具体使用方法如下：

form表单

我们只需在form表单中添加{% csrf_token %}。

<form action="" method="post">
    {% csrf_token %}
    <p>username:<input type="text" name="username"></p>
    <p>target_account:<input type="text" name="target_user"></p>
    <p>money:<input type="text" name="money"></p>
    <input type="submit">
</form>
<input type="hidden" name="csrfmiddlewaretoken" value="rJ47FeK9T55wavvVJGY6UxdM1kTMHhTqotGfaXjXIK8Ahz2Uvs02yR9T8bBn5q2D">

ajax

ajax有三种方式添加中间件标签。

方式一

先在页面任意的位置上书写{% csrf_token %}，然后在发送ajax请求的时候通过标签查找获取随机字符串添加到data自定义对象即：

data:{'username':'xxx','csrfmiddlewaretoken'