Django CBV裝飾器 中介軟體 auth模組 CSRF跨站請求

wuzhixian發表於2021-08-23

CBV新增裝飾器

給CBV新增裝飾器有三種方法,三種方法都需要匯入模組:

from django.utils.decorators import method_decorator

第一種直接在方法上面新增:

from django.utils.decorators import method_decorator


class MyLogin(View):
	@method_decorator(auth)
	def get(self, request):
    return HttpResponse('Is from get')

	def post(self, request):
    return HttpResponse('Is from post')

第二種是在類上面新增:

from django.utils.decorators import method_decorator

@method_decorator(auth, name='get')  # 方法名
class MyLogin(View):
	def get(self, request):
    return HttpResponse('Is from get')

	def post(self, request):
    return HttpResponse('Is from post')

第三種是重寫as_view()裡面的dispatch方法,這種新增完裝飾器之後類裡面的所有方法都被新增上了。

from django.utils.decorators import method_decorator


class MyLogin(View):
    @method_decorator(auth)
    def dispatch(self, request, *args, **kwargs):
        super.__init__()
    def get(self, request):
        return HttpResponse('Is from get')

    def post(self, request):
        return HttpResponse('Is from post')

Django中介軟體

介紹

Django預設有7箇中介軟體:

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

瀏覽器從請求到響應的過程中,Django需要通過這7箇中介軟體處理,這7箇中介軟體都預設繼承了MiddlewareMixin。

Django支援程式設計師自定義中介軟體並且暴露程式設計師五個可自定義的方法。

  • process_request
  • process_response
  • process_view
  • process_template_response
  • process_exception

如何自定義中介軟體

  1. 在專案名或者應用名下建立一個任意名稱的資料夾(在應用下建立路徑有提示,但如果在專案下建立就沒有提示了)

  2. 在該資料夾內建立一個任意名稱的py檔案

  3. 在該py檔案內書寫類(該類必須繼承MiddlewareMixin)

    from django.utils.deprecation import MiddlewareMixin
    

    然後在這個類裡面就可以自定義五個方法了

    (這五個並不是全部都需要書寫,用幾個寫幾個)

  4. 需要將類的路徑以字串的形式註冊到配置檔案中才能生效(也就是setting.py裡面的MIDDLEWARE裡面)

process_request

  1. 請求過來的的時候需要經過每一箇中介軟體裡面的process_request方法結果順序是按照配置檔案中註冊的中介軟體自上而下依次執行。
  2. 如果中介軟體沒有定義process_request方法,那麼會直接跳過執行該中介軟體。
  3. 如果該方法返回了HttpResponse物件,那麼該請求將不再繼續往後執行而是直接原路返回(校驗失敗不允許訪問)process_request方法就是用來做全域性相關的所有限制功能

process_response

  1. 響應走的時候需要經過每一箇中介軟體裡面的process_response方法。該方法有兩個額外的引數request, response。

  2. 該方法必須返回一個HttpResponse物件

    1. 預設返回形參response
    2. 也可以自定義返回HttpResponse
  3. 順序是按照配置檔案中註冊的中介軟體自下而上依次執行。

    如果沒有定義的話,直接跳過執行。

process_view

在路由匹配成功之後執行檢視函式之前,會自動執行中介軟體裡面的該方法,順序自上而下依次執行

process_template_response

返回的HttpResponse物件有render屬性的時候才會觸發

process_exception

當檢視函式中出現異常的情況下觸發

csrf跨站請求偽造

因為CSRF攻擊利用的是衝著瀏覽器分不清發起請求是不是真正的使用者本人,所以防範的關鍵在於在請求中放入黑客所不能偽造的資訊。從而防止黑客偽造一個完整的請求欺騙伺服器。

而Django就使用token驗證來防範CSRF。

CSRF在Django中作為一個獨立的元件,MIDDLEWARE裡面將它註釋掉,它便不再執行。

如果想要提交的post請求能夠通過csrf驗證,需要在html頁面裡面的from表單裡新增一段驗證字串。

csrf驗證 form表單
<form action="" method="post">
    {% csrf_token %}
    <input type="text" placeholder="使用者名稱">
    <input type="password" placeholder="密碼">
    <input type="submit">
</form>
Ajax csrf驗證
<script>
    $('.btn').click(function (){
        $.ajax({

            url:'',
            type:'post',
            // 第一種方式
            // data:{'username':'jesse', 'csrfmiddlewaretoken':$('[name="csrfmiddlewaretoken"]')},
            // 第二種
            data:{'username':'jesse', 'csrfmiddlewaretoken':'{{ csrf_token }}'},
            success:function(){

            }
        })
    })
</script>

CSRF跨站請求的裝飾器

csrf中介軟體會驗證所有的方法都驗證,但是我們會碰到所有的方法都驗證,但是有幾個函式不驗證的。這時候就要用到裝飾器。

需要驗證的加這個裝飾器:

@csrf_protect

不需要驗證的加這個裝飾器:

@csrf_exempt

# 如果該函式有返回的html不能再加{% csrf_token %}

csrf_protect裝飾器也可以加在CBV當中,與CBV新增裝飾器的用法一致。

csrf_exempt裝飾器只能改寫dispatch方法來新增。

Django Auth元件

Django使用者認證元件一班用在使用者的登入註冊上,用於判斷當前使用者是否合法,呼叫該元件需要匯入auth模組,而且auth的認證功能,依賴於auth_user表。

首先建立一個超級使用者,這樣就可以登入Djangoadmin後臺了,點選pycharm上面的tools選單內的Run manage.py Task,輸入命令(首先庫內得有auth_user表才能建立)

createsuperuser
# 根據提示輸入密碼郵箱

使用需要匯入auth模組:

from django.contrib import auth
auth模組實際使用(驗證使用者,設定session
from django.shortcuts import render, HttpResponse, redirect

# Create your views here.
from django.views import View
from django.contrib import auth

def login(request):
    if request.method == 'POST':
        username = request.POST.get('username')
        password = request.POST.get('password')
        # 利用auth模組驗證使用者是否合法
        '''
        1.自動去auth_user表中進行驗證
        2.把密碼自動加密進行比對
        '''
        # 該方法驗證正確會返回使用者物件,錯誤會返回None
        user_obj = auth.authenticate(request, username=username, password=password)
        print(user_obj)
        if user_obj:
            auth.login(request, user_obj)  # 相當於設定session,記錄使用者狀態
            return redirect('/home/')
    return render(request, 'login.html')

除了驗證使用者和設定session之外auth模組還可以設定驗證裝飾器

from django.contrib.auth.decorators import login_required


# 同樣的使用auth自帶的裝飾器也需要匯入login_required

@login_required(login_url='/login/')
# 該裝飾器使用的時候需要傳 沒有登入 返回的路由,不傳預設訪問自帶的地址account/login 
def func(request):
    return HttpResponse('FUNC PAGE')

修改密碼

is_right = request.user.check_password(old_pwd)
if is_right:
  # 判斷兩次密碼是否一致
  if new_pwd == re_pwd:
    # 修改密碼
    request.user.set_password(new_pwd)
    requesr.user.save()  # 儲存到資料庫
    return redirect('/login/')

登出功能

def logout(request):
  auth.logout(request)  # 清除cookie
  return redirect('/home/')

註冊入庫

from django.contrib.auth.model import User
# 需要匯入模組

def register(request):
  if request.method == 'POST':
    username = request.POST.get('username')
    password = request.POST.get('password')
    User.object.create(username=username,password=password)  # 密碼是名文
    # create_user 密碼是密文

auth_user表的擴充套件

auth_user表的欄位是系統幫我們建立的,在使用的過程中難免會碰到欄位不能滿足我們需求的情況,那麼這種情況該如何對該表進行擴充套件呢?

擴充套件auth_user表需要在models.py中進行,首先我們需要匯入一個模組:

form django.contrib.auth.models import AbstractUser

增加欄位需要繼承AbstractUser

class UserInfo(AbstractUser):
  phone = models.CharField(max_lenth=32)
  addr = models.CharFiled(max_lenth=32)
  # 增加欄位

增加完欄位之後必須在settings.py中寫一個配置

AUTH_USER_MODEL = 'app01.UserInfo'
# 應用名稱.類名

需要注意的是:一旦擴充套件類執行過遷移命令就不能再擴充套件了

相關文章