Django CBV裝飾器 中間件 auth模塊 CSRF跨站請求
CBV添加裝飾器
給CBV添加裝飾器有三種方法,三種方法都需要導入模塊:
from django.utils.decorators import method_decorator
第一種直接在方法上面添加:
from django.utils.decorators import method_decorator
class MyLogin(View):
@method_decorator(auth)
def get(self, request):
return HttpResponse('Is from get')
def post(self, request):
return HttpResponse('Is from post')
第二種是在類上面添加:
from django.utils.decorators import method_decorator
@method_decorator(auth, name='get') # 方法名
class MyLogin(View):
def get(self, request):
return HttpResponse('Is from get')
def post(self, request):
return HttpResponse('Is from post')
第三種是重寫as_view()裏面的dispatch方法,這種添加完裝飾器之後類裏面的所有方法都被添加上了。
from django.utils.decorators import method_decorator
class MyLogin(View):
@method_decorator(auth)
def dispatch(self, request, *args, **kwargs):
super.__init__()
def get(self, request):
return HttpResponse('Is from get')
def post(self, request):
return HttpResponse('Is from post')
Django中間件
介紹
Django默認有7個中間件:
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
瀏覽器從請求到響應的過程中,Django需要通過這7個中間件處理,這7個中間件都默認繼承了MiddlewareMixin。
Django支持程序員自定義中間件並且暴露程序員五個可自定義的方法。
- process_request
- process_response
- process_view
- process_template_response
- process_exception
如何自定義中間件
-
在項目名或者應用名下創建一個任意名稱的文件夾(在應用下創建路徑有提示,但如果在項目下創建就沒有提示了)
-
在該文件夾內創建一個任意名稱的py文件
-
在該py文件內書寫類(該類必須繼承MiddlewareMixin)
from django.utils.deprecation import MiddlewareMixin然後在這個類裏面就可以自定義五個方法了
(這五個並不是全部都需要書寫,用幾個寫幾個)
-
需要將類的路徑以字符串的形式註冊到配置文件中才能生效(也就是setting.py裏面的MIDDLEWARE裏面)
process_request
- 請求過來的的時候需要經過每一個中間件裏面的process_request方法結果順序是按照配置文件中註冊的中間件自上而下依次執行。
- 如果中間件沒有定義process_request方法,那麼會直接跳過執行該中間件。
- 如果該方法返回了HttpResponse對象,那麼該請求將不再繼續往後執行而是直接原路返回(校驗失敗不允許訪問)process_request方法就是用來做全局相關的所有限制功能
process_response
-
響應走的時候需要經過每一個中間件裏面的process_response方法。該方法有兩個額外的參數request, response。
-
該方法必須返回一個HttpResponse對象
- 默認返回形參response
- 也可以自定義返回HttpResponse
-
順序是按照配置文件中註冊的中間件自下而上依次執行。
如果沒有定義的話,直接跳過執行。
process_view
在路由匹配成功之後執行視圖函數之前,會自動執行中間件裏面的該方法,順序自上而下依次執行
process_template_response
返回的HttpResponse對象有render屬性的時候才會觸發
process_exception
當視圖函數中出現異常的情況下觸發
csrf跨站請求偽造
因為CSRF攻擊利用的是衝著瀏覽器分不清發起請求是不是真正的用戶本人,所以防範的關鍵在於在請求中放入黑客所不能偽造的信息。從而防止黑客偽造一個完整的請求欺騙服務器。
而Django就使用token驗證來防範CSRF。
CSRF在Django中作為一個獨立的組件,MIDDLEWARE裏面將它注釋掉,它便不再執行。
如果想要提交的post請求能夠通過csrf驗證,需要在html頁面裏面的from表單里添加一段驗證字符串。
csrf驗證 form表單
<form action="" method="post">
{% csrf_token %}
<input type="text" placeholder="用戶名">
<input type="password" placeholder="密碼">
<input type="submit">
</form>
Ajax csrf驗證
<script>
$('.btn').click(function (){
$.ajax({
url:'',
type:'post',
// 第一種方式
// data:{'username':'jesse', 'csrfmiddlewaretoken':$('[name="csrfmiddlewaretoken"]')},
// 第二種
data:{'username':'jesse', 'csrfmiddlewaretoken':'{{ csrf_token }}'},
success:function(){
}
})
})
</script>
CSRF跨站請求的裝飾器
csrf中間件會驗證所有的方法都驗證,但是我們會碰到所有的方法都驗證,但是有幾個函數不驗證的。這時候就要用到裝飾器。
需要驗證的加這個裝飾器:
@csrf_protect
不需要驗證的加這個裝飾器:
@csrf_exempt
# 如果該函數有返回的html不能再加{% csrf_token %}
csrf_protect裝飾器也可以加在CBV當中,與CBV添加裝飾器的用法一致。
csrf_exempt裝飾器只能改寫dispatch方法來添加。
Django Auth組件
Django用戶認證組件一班用在用戶的登錄註冊上,用於判斷當前用戶是否合法,調用該組件需要導入auth模塊,而且auth的認證功能,依賴於auth_user表。
首先創建一個超級用戶,這樣就可以登錄Djangoadmin後台了,點擊pycharm上面的tools菜單內的Run manage.py Task,輸入命令(首先庫內得有auth_user表才能創建)
createsuperuser
# 根據提示輸入密碼郵箱
使用需要導入auth模塊:
from django.contrib import auth
auth模塊實際使用(驗證用戶,設置session)
from django.shortcuts import render, HttpResponse, redirect
# Create your views here.
from django.views import View
from django.contrib import auth
def login(request):
if request.method == 'POST':
username = request.POST.get('username')
password = request.POST.get('password')
# 利用auth模塊驗證用戶是否合法
'''
1.自動去auth_user表中進行驗證
2.把密碼自動加密進行比對
'''
# 該方法驗證正確會返回用戶對象,錯誤會返回None
user_obj = auth.authenticate(request, username=username, password=password)
print(user_obj)
if user_obj:
auth.login(request, user_obj) # 相當於設置session,記錄用戶狀態
return redirect('/home/')
return render(request, 'login.html')
除了驗證用戶和設置session之外auth模塊還可以設置驗證裝飾器。
from django.contrib.auth.decorators import login_required
# 同樣的使用auth自帶的裝飾器也需要導入login_required
@login_required(login_url='/login/')
# 該裝飾器使用的時候需要傳 沒有登錄 返回的路由,不傳默認訪問自帶的地址account/login
def func(request):
return HttpResponse('FUNC PAGE')
修改密碼
is_right = request.user.check_password(old_pwd)
if is_right:
# 判斷兩次密碼是否一致
if new_pwd == re_pwd:
# 修改密碼
request.user.set_password(new_pwd)
requesr.user.save() # 保存到數據庫
return redirect('/login/')
註銷功能
def logout(request):
auth.logout(request) # 清除cookie
return redirect('/home/')
註冊入庫
from django.contrib.auth.model import User
# 需要導入模塊
def register(request):
if request.method == 'POST':
username = request.POST.get('username')
password = request.POST.get('password')
User.object.create(username=username,password=password) # 密碼是名文
# create_user 密碼是密文
auth_user表的擴展
auth_user表的字段是系統幫我們創建的,在使用的過程中難免會碰到字段不能滿足我們需求的情況,那麼這種情況該如何對該表進行擴展呢?
擴展auth_user表需要在models.py中進行,首先我們需要導入一個模塊:
form django.contrib.auth.models import AbstractUser
增加字段需要繼承AbstractUser
class UserInfo(AbstractUser):
phone = models.CharField(max_lenth=32)
addr = models.CharFiled(max_lenth=32)
# 增加字段
增加完字段之後必須在settings.py中寫一個配置
AUTH_USER_MODEL = 'app01.UserInfo'
# 應用名稱.類名
需要注意的是:一旦擴展類執行過遷移命令就不能再擴展了
