Django框架

一、csrf跨站请求伪造

1、简介

​ csrf是django默认中间件中的一道,它用于验证网页的真伪性,通过在在前端页面设置csrf_token令牌,这样转递到后端的信息将会在csrf中间件中进行验证,虚假的网站中不会有csrf令牌的键值对,这样就虚假的网站所传递来的信息将会被csrf中间件所阻挡,无法通过django的中间件层

2、csrf校验策略

form表单csrf策略

通过在form表单内添加{% csrf_token %}

<body>

    <form action="" method="post">

    	  {% csrf_token %}

        <p>用户名:

        <input type="text" name="name" value="">

        </p>

        <p>密码:

        <input type="password" name="pwd" value="">

        </p>

        <input type="submit" value="提交">

    </form>

</body>



在form表单内部添加csrf令牌后,表单内部将会自动生成一个input标签,该标签内部会生成一个name属性和value属性,value属性的值在每次刷新页面时自动生成,当我们在再点击提交后该标签内的值会被传递到django的csrf中间件中进行验证,如果验证没有通过此次提交的所有数据都不会生效

ajax请求csrf策略

方式一:手动添加csrf键值对

    <script>

        $('#button').click(function () {

            $.ajax({

                url:'',

                type:'post',

                data:           {'csrfmiddlewaretoken':$('input[name="csrfmiddlewaretoken"]').val()}

            })

        })

    </script>

方式二:利用模板语法获取

    <script>

        $('#button').click(function () {

            $.ajax({

                url:'',

                type:'post',

                data:{'csrfmiddlewaretoken':'{{ csrf_token }}'}

            })

        })

    </script>

方式三:导入官方JS脚本

    参考:https://www.cnblogs.com/Dominic-Ji/p/9234099.html

3、csrf相关装饰器

​ 在我们编写代码时,可能并不是所有的视图函数都需要校验csrf,例如:

​ 1.整个django项目都校验csrf 但是某些个视图函数\类不想校验

​ 2.整个django项目都不校验csrf 但是某些个视图函数\类需要校验

这时候可以通过以下几种方法来进行验证或取消验证

FBV添加装饰器方式

1、导入模块:

	from django.views.decorators.csrf import csrf_exempt, csrf_protect

2、具体用法:

	# 校验csrf  (settings中csrf中间件没有打开的情况下也会校验)

	@csrf_protect

	def transfer_func(request):pass

	# 不校验csrf

	@csrf_exempt

	def transfer_func(request):pass

CBV添加装饰器方式

1、导入模块:

	from django.views.decorators.csrf import csrf_exempt, csrf_protect

	from django.utils.decorators import method_decorator

	from django.views import View

2、全局不校验的情况下将指定的类/功能函数校验:(三种方式)

	# 方式一:指定类下某个功能函数进行校验

	@method_decorator(csrf_protect, name='post')

	class Login(views.View):

        def post(selfs, request):

            pass

	# 方式二:直接将类中将需要校验的功能函数进行装饰

	class Login(views.View):

        @method_decorator(csrf_protect)

        def post(selfs, request):

            pass

	# 方式三:该类中所有功能函数都校验csrf

	class Login(views.View):

        @method_decorator(csrf_protect)

        def dispatch(self, request, *args, **kwargs):

            return super().dispatch(request, *args, **kwargs)

        def post(selfs, request):

            pass

2、全局校验csrf的情况下指定类不校验:(一种方式)

	class Login(views.View):

        @method_decorator(csrf_exempt)

        def dispatch(self, request, *args, **kwargs):

            return super().dispatch(request, *args, **kwargs)

        def post(selfs, request):

            pass

二、auth认证模块

1、简介

​ django自带一个admin路由 但是需要我们提供管理员账号和密码

如果想要使用admin后台管理 需要先创建表 然后创建管理员账号,直接执行数据库迁移命令即可产生默认的auth_user表,该表就是admin后台管理默认的认证表

创建超级管理员

1、创建超级管理员需要在pycharm的终端中输入指令:

    python38 manage.py createsuperuser

2、auth认证相关模块及操作

auth 模块

1、导入模块

	from django.contrib import auth  

2、相关功能:

	1.获取用户(判断用户名和密码)

		user_obj = auth.authenticate(request,

                      username=username,

                      password=password)

	# 需要传入三个固定参数,request对象、用户名、密码,返回用户对象

	2.记录用户登陆状态(在前端保存cokie)

		auth.login(request,user_obj)

User 模块

1、导入模块:

	from django.contrib.auth.models import User

2、相关功能:

	1.创建普通用户

		User.objects.create_user(username=username, password=password)

	2.获取登录用户对象数据(需要先用auth模块保存用户登陆状态,未登陆获取到的时匿名)

		request.user

	3.判断用户是否登录(需要先用auth模块保存用户登陆状态)

		request.user.is_authenticated

	4.校验原密码是否正确(需要先用auth模块保存用户登陆状态)

		request.user.check_password(原密码)

	5.修改密码(需要先用auth模块保存用户登陆状态)

       request.user.set_password(新密码)

       request.user.save()

    6.退出登录(需要先用auth模块保存用户登陆状态)

    	auth.logout(request)

login_required 模块

1、导入模块:

	from django.contrib.auth.decorators import login_required

2、相关功能: # 用于校验用户是否登录,未登录可以控制跳转页面

    1.@login_required(login_url='/login/')  局部配置 

    2.@login_required					  全局配置

    	 配置文件中LOGIN_URL = '/login/'

3、拓展auth_user表

还想使用auth模块的功能 并且又想扩展auth_user表的字段

思路1:一对一字段关联

思路2:替换auth_user表

	步骤1:模型层编写模型类继承AbstractUser

   		from django.contrib.auth.models import AbstractUser

       class UserInfo(AbstractUser):

            # 填写AbstractUser表中没有的字段

            phone = models.BigIntegerField()

            desc = models.TextField()

 	步骤2:一定要在配置文件中声明替换关系

        AUTH_USER_MODEL = 'app01.UserInfo'

	ps:替换还有一个前提 就是数据库迁移没有执行过(auth相关表没有创建)

Django框架:13、csrf跨站请求伪造、auth认证模块及相关用法的更多相关文章

  1. django CBV装饰器 自定义django中间件 csrf跨站请求伪造 auth认证模块

    CBV加装饰器 第一种 @method_decorator(装饰器) 加在get上 第二种 @method_decorator(login_auth,name='get') 加在类上 第三种 @met ...

  2. 第三百一十五节,Django框架,CSRF跨站请求伪造

    第三百一十五节,Django框架,CSRF跨站请求伪造  全局CSRF 如果要启用防止CSRF跨站请求伪造,就需要在中间件开启CSRF #中间件 MIDDLEWARE = [ 'django.midd ...

  3. 十三 Django框架,CSRF跨站请求伪造

     全局CSRF 如果要启用防止CSRF跨站请求伪造,就需要在中间件开启CSRF #中间件 MIDDLEWARE = [ 'django.middleware.security.SecurityMidd ...

  4. Web框架之Django重要组件(Django中间件、csrf跨站请求伪造)

    Web框架之Django_09 重要组件(Django中间件.csrf跨站请求伪造)   摘要 Django中间件 csrf跨站请求伪造 一.Django中间件: 什么是中间件? 官方的说法:中间件是 ...

  5. Django中的CSRF(跨站请求伪造)

    Django中的CSRF(跨站请求伪造) Django CSRF  什么是CSFR 即跨站请求伪装,就是通常所说的钓鱼网站. 钓鱼网站的页面和正经网站的页面对浏览器来说有什么区别? (页面是怎么来的? ...

  6. Web框架之Django_09 重要组件(Django中间件、csrf跨站请求伪造)

    摘要 Django中间件 csrf跨站请求伪造 一.Django中间件: 什么是中间件? 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子.它是一个轻量.低级别的插件系统,用于 ...

  7. django 中间键 csrf 跨站请求伪造

    django中间件和auth模块   Django中间件 由django的生命周期图我们可以看出,django的中间件就类似于django的保安,请求一个相应时要先通过中间件才能到达django后端( ...

  8. Django框架 之 基于Ajax中csrf跨站请求伪造

    Django框架 之 基于Ajax中csrf跨站请求伪造 ajax中csrf跨站请求伪造 方式一 1 2 3 $.ajaxSetup({     data: {csrfmiddlewaretoken: ...

  9. Django框架(十二)-- 中间件、CSRF跨站请求伪造

    中间件 一.什么是中间件 请求的时候需要先经过中间件才能到达django后端(urls,views,templates,models) 响应的时候也需要经过中间件才能到达web服务网关接口 djang ...

  10. Django框架(十六)-- 中间件、CSRF跨站请求伪造

    一.什么是中间件 中间件是介于request与response处理之间的一道处理过程,相对比较轻量级,并且在全局上改变django的输入与输出 二.中间件的作用 如果你想修改请求,例如被传送到view ...

随机推荐

  1. 两将军问题和TCP三次握手

    两将军问题,又被称为两将军悖论.两军问题, 是一个经典的计算机思想实验. 首先, 为避免混淆,我们需要认识到两将军问题虽然与拜占庭将军问题相关,但两者不是一个东西.拜占庭将军问题是一个更通用的两将军问 ...

  2. 现有一个接口DataOperation定义了排序方法sort(int[])和查找方法search(int[],int),已知类QuickSort的quickSort(int[])方法实现了快速排序算法

    欢迎大家加入我的社区:http://t.csdn.cn/Q52km 社区中不定时发红包 文章目录 1.UML类图 2.源码: 3.优缺点分析 1.UML类图 2.源码: package com.bac ...

  3. grpc中的拦截器

    0.1.索引 https://waterflow.link/articles/1665853719750 当我们编写 HTTP 应用程序时,您可以使用 HTTP 中间件包装特定于路由的应用程序处理程序 ...

  4. python环境安装(pyhon和pycharm)

    一.python安装 在地址栏输入https://www.python.org/进入python官网, 点击windows后会出现各种可供下载的历史版本, 安装包下载后,双击运行 点击下一步 勾选下面 ...

  5. 7.httpie

    可以使用curl或httpie测试我们的服务器.Httpie是用Python编写的用户友好的http客户端   安装:pip3 install httpie #get请求示例 输入命令:http ht ...

  6. 二十九、Helm常用命令

    # 创建一个chart范例 helm create HELM-NAME # 检查chart语法 helm lint ./HELM-NAME # 使用默认chart部署到k8s helm install ...

  7. 八、指定节点pod运行在固定节点

    指定pod运行在固定节点 一.指定固定节点:Pod.spec.nodeName Pod.spec.nodeName 将 Pod 直接调度到指定的 Node 节点上,会跳过 Scheduler 的调度策 ...

  8. 下一代工具链「GitHub 热点速览 v.22.43」

    作为一个前端工程师,你这周被下一代的前端工具链 Turbo 刷屏了吗?不只是 Turbo 这个小工具,作为一个社区生产力工具,本周思否还开源了他们的问答系统 answer,能直接用上相关的技术标签也省 ...

  9. JS 可编辑表格的实现(进阶)

    1.前言 在普通的可编辑表格的基础上,改进可编辑表格.数据来自外部的json(模拟服务端),通过json数据生成可编辑表格.根据实际情况,表格没有新增数据功能.表格的可编辑列,计算的列,每列的数据大小 ...

  10. 论文笔记 - An Explanation of In-context Learning as Implicit Bayesian Inference

    这位更是重量级.这篇论文对于概率论学的一塌糊涂的我简直是灾难. 由于 prompt 的分布与预训练的分布不匹配(预训练的语料是自然语言,而 prompt 是由人为挑选的几个样本拼接而成,是不自然的自然 ...