中间件和auth模块

中间件

1.什么是中间件

中间件顾名思义，是介于request与response处理之间的一道处理过程，相对比较轻量级，并且在全局上改变django的输入与输出。因为改变的是全局，所以需要谨慎实用，用不好会影响到性能

2.中间件的作用

如果你想修改请求，例如被传送到view中的HttpRequest对象。 或者你想修改view返回的HttpResponse对象，这些都可以通过中间件来实现。
可能你还想在view执行之前做一些操作，这种情况就可以用 middleware来实现。
Django默认的中间件：（在django项目的settings模块中，有一个 MIDDLEWARE_CLASSES 变量，其中每一个元素就是一个中间件）
MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

3.自定义中间件

from django.utils.deprecation import MiddlewareMixin
class MyMiddle(MiddlewareMixin):
    def process_request(self, request):     # request时触发
        print('middle request')
    def process_response(self, request, response):      # response时触发
        print('process_response')
        return response
    def process_view(self, request, callback, callback_args, callback_kwargs):  # 路由到视图函数之间触发
        print('process_view')
        # callback(request)
    def process_exception(self, request, exception):    # 报错时触发
        return HttpResponse(exception)
    def process_template_response(self, request, response):     # return views.类()时触发
        print('i am process_template_response')
        print(response)
        return views.Test()

4.中间件应用场景

1.做IP访问频率限制
某些IP访问服务器的频率过高，进行拦截，比如限制每分钟不能超过20次。
2.URL访问过滤
如果用户访问的是login视图（放过）
如果访问其他视图，需要检测是不是有session认证，已经有了放行，
没有返回login，这样就省得在多个视图函数上写装饰器了！

5.CSRF_TOKEN跨站请求伪造

在form表单中应用：

<form action="" method="post">
    {% csrf_token %}
    <p>用户名：<input type="text" name="name"></p>
    <p>密码：<input type="text" name="password"></p>
    <p><input type="submit"></p>
</form>

在Ajax中应用:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <script src="/static/jquery-3.3.1.js"></script>
    <title>Title</title>
</head>
<body>
<form action="" method="post">
    {% csrf_token %}
    <p>用户名：<input type="text" name="name"></p>
    <p>密码：<input type="text" name="password" id="pwd"></p>
    <p><input type="submit"></p>
</form>
<button class="btn">点我</button>
</body>
<script>
    $(".btn").click(function () {
        $.ajax({
            url: '',
            type: 'post',
            data: {
                'name': $('[name="name"]').val(),
                'password': $("#pwd").val(),
                'csrfmiddlewaretoken': $('[name="csrfmiddlewaretoken"]').val()
            },
            success: function (data) {
                console.log(data)
            }
        })
    })
</script>
</html>

全站禁用

注释掉中间件 'django.middleware.csrf.CsrfViewMiddleware',

局部禁用

FBV中
from django.views.decorators.csrf import csrf_exempt,csrf_protect
# 不再检测，局部禁用（前提是全站使用）
# @csrf_exempt
# 检测，局部使用（前提是全站禁用）
# @csrf_protect
def csrf_token(request):
    if request.method=='POST':
        print(request.POST)
        return HttpResponse('ok')
    return render(request,'csrf_token.html')

CBV中
from django.views import View
from django.views.decorators.csrf import csrf_exempt,csrf_protect
from django.utils.decorators import method_decorator
@method_decorator(csrf_exempt,name='dispatch')
class Foo(View):
    def dispatch(self, request, *args, **kwargs):
        res = super().dispatch(request, *args, **kwargs)
        return res
    def get(self,request):
        pass
    def post(self,request):
        pass

Auth模块

1.Auth模块常用方法

from django.contrib import auth
authenticate(request, username=name, password=pwd)      用户认证功能,返回一个 User 对象
login(request, user)                                    在后端为该用户生成相关session数据
logout(request)                                         当前请求的session信息会全部清除
is_authenticated()                                      判断当前请求是否通过了认证
login_requierd()                                        装饰器,某个视图添加登录校验
该装饰器需要在settings中添加登录地址
LOGIN_URL = '/login/'  # 这里配置成你项目登录页面的路由
create_user()                                           创建新用户
create_superuser()                                      创建新的超级用户
check_password(password)                                提供的一个检查密码是否正确的方法
set_password(password)                                  修改密码,设置完一定要调用用户对象的save方法

2.User对象的属性

User对象属性：username， password
is_staff ： 用户是否拥有网站的管理权限.
is_active ： 是否允许用户登录, 设置为 False，可以在不删除用户的前提下禁止用户登录。

3.扩展默认的auth_user表

model中
from django.contrib.auth.models import AbstractUser
class UserInfo(AbstractUser):   # 继承父类，并派生新需要的字段
    nid = models.AutoField(primary_key=True)
    phone = models.CharField(max_length=11, null=True, unique=True)
    def __str__(self):
        return self.username
注意，需要在setting中添加AUTH_USER_MODEL = "app名.UserInfo"