django中间件的使用、跨站请求伪造（钓鱼网站）以及解决方法、auth模块的详细使用、插拔式源码的原理

django中间件

完整生命周期：

django中间件是类似于是django的保安

请求的时候需要先经过中间件才能到达django后端(urls,views,templates,models)

响应走的时候也需要经过中间件才能到达web服务网关接口

django默认的七个中间件

MIDDLEWARE = [

'django.middleware.security.SecurityMiddleware',

'django.contrib.sessions.middleware.SessionMiddleware',

'django.middleware.common.CommonMiddleware',

'django.middleware.csrf.CsrfViewMiddleware',

'django.contrib.auth.middleware.AuthenticationMiddleware',

'django.contrib.messages.middleware.MessageMiddleware',

'django.middleware.clickjacking.XFrameOptionsMiddleware',

]

django中间件中有五个用户可以自定义的方法

django中间件可以用来做什么(***********************)

1.网站全局的身份校验,访问频率限制,权限校验...只要是涉及到全局的校验你都可以在中间件中完成

2.django的中间件是所有web框架中 做的最好的

如何自定义我们自己的中间件,研究这上面五个方法都有哪些特点

1.如果你想让你写的中间件生效 就必须要先继承MiddlewareMixin

2.在注册自定义中间件的时候 一定要确保路径不要写错

需要我们掌握的方法有

1.process_request()方法

规律

1.请求来的时候 会经过每个中间件里面的process_request方法(从上往下)

2.如果方法里面直接返回了HttpResponse对象 那么会直接返回 不再往下执行

基于该特点就可以做访问频率限制,身份校验,权限校验

2.process_response()方法

规律

1.必须将response形参返回 因为这个形参指代的就是要返回给前端的数据

2.响应走的时候 会依次经过每一个中间件里面的process_response方法(从下往上)

需要了解的方法

3.process_view()

1.在路由匹配成功执行视图函数之前 触发

4.process_exception()

1.当你的视图函数报错时  就会自动执行

5.process_template_response()

1.当你返回的HttpResponse对象中必须包含render属性才会触发

def index(request):

print('我是index视图函数')

def render():

return HttpResponse('什么鬼玩意')

obj = HttpResponse('index')

obj.render = render   #  给obj添加属性，属性名为render，属性值为render

return obj

总结:你在书写中间件的时候 只要形参中有repsonse 你就顺手将其返回 这个reponse就是要给前端的消息

csrf跨站请求伪造

钓鱼网站

　　 通过制作一个跟正儿八经的网站一模一样的页面,骗取用户输入信息 转账交易

　　从而做手脚转账交易的请求确确实实是发给了中国银行,账户的钱也是确确实实

　　少了唯一不一样的地方在于收款人账户不对

内部原理

　　在让用户输入对方账户的那个input上面做手脚

　　给这个input不设置name属性,在内部隐藏一个事先写好的name和value属性的input框

　　这个value的值 就是钓鱼网站受益人账号

防止钓鱼网站的思路

　　网站会给返回给用户的form表单页面 偷偷塞一个随机字符串

　　请求到来的时候 会先比对随机字符串是否一致  如果不一致  直接拒绝(403)

该随机字符串有以下特点

　　1.同一个浏览器每一次访问都不一样

　　2.不同浏览器绝对不会重复

1.form表单发送post请求时： 需要你做得仅仅书写一句话（不再需要注释掉那一行中间件）

{% csrf_token %}

2.ajax发送post请求 如何避免csrf校验的三种方式

1.现在页面上写{% csrf_token %},利用标签查找  获取到该input键值信息

{'username':'jason','csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()}

$('[name=csrfmiddlewaretoken]').val()

2.直接书写'{{ csrf_token }}'

{'username':'jason','csrfmiddlewaretoken':'{{ csrf_token }}'}

{{ csrf_token }}

3.你可以将该获取随机键值对的方法 写到一个js文件中,之后只需要导入该文件即可

新建一个js文件 存放以下代码 之后导入即可（设置为静态文件，去settings中设置STATICFILES_DIRS中的列表，之后再进行引入）

function getCookie(name) {

var cookieValue = null;

if (document.cookie && document.cookie !== '') {

var cookies = document.cookie.split(';');

for (var i = 0; i < cookies.length; i++) {

var cookie = jQuery.trim(cookies[i]);

// Does this cookie string begin with the name we want?

if (cookie.substring(0, name.length + 1) === (name + '=')) {

cookieValue = decodeURIComponent(cookie.substring(name.length + 1));

break;

}

}

}

return cookieValue;

}

var csrftoken = getCookie('csrftoken');

 

 

function csrfSafeMethod(method) {

  // these HTTP methods do not require CSRF protection

  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));

}

 

$.ajaxSetup({

  beforeSend: function (xhr, settings) {

if (!csrfSafeMethod(settings.type) && !this.crossDomain) {

  xhr.setRequestHeader("X-CSRFToken", csrftoken);

}

  }

});

1.当你网站全局都需要校验csrf的时候 有几个不需要校验该如何处理

2.当你网站全局不校验csrf的时候 有几个需要校验又该如何处理

from django.utils.decorators import method_decorator

from django.views.decorators.csrf import csrf_exempt,csrf_protect

FBV装饰时直接使用装饰器：@csrf_exempt和@crsf_protect

# 这两个装饰器在给CBV装饰的时候 有一定的区别

如果是csrf_protect 那么有三种方式

# 第一种方式

# @method_decorator(csrf_protect,name='post')  # 有效的

class MyView(View):

# 第三种方式  

# @method_decorator(csrf_protect)

def dispatch(self, request, *args, **kwargs):

res = super().dispatch(request, *args, **kwargs)

return res

def get(self,request):

return HttpResponse('get')

# 第二种方式

# @method_decorator(csrf_protect)  # 有效的

def post(self,request):

return HttpResponse('post')

如果是csrf_exempt 只有两种(只能给dispatch装)   特例

@method_decorator(csrf_exempt,name='dispatch')  # 第二种可以不校验的方式

class MyView(View):

# @method_decorator(csrf_exempt)  # 第一种可以不校验的方式

def dispatch(self, request, *args, **kwargs):

res = super().dispatch(request, *args, **kwargs)

return res

def get(self,request):

return HttpResponse('get')

def post(self,request):

return HttpResponse('post')

总结 装饰器中只有csrf_exempt是特例,其他的装饰器在给CBV装饰的时候 都可以有三种方式

课后作业:

将昨天的写的登陆认证装饰器 加载CBV上

auth模块的功能

查询用户

from django.contrib import auth

user_obj = auth.authenticate(username=username,password=password)  # 必须要用 因为数据库中的密码字段是密文的 而你获取的用户输入的是明文

记录用户状态

auth.login(request,user_obj)  # 将用户状态记录到session中

只要执行了这行代码，可以在后端的任意位置通过request.user获取当前用户对象。

判断用户是否登录

print(request.user.is_authenticated)  # 判断用户是否登录  如果是匿名用户会返回False

用户登录之后 获取用户对象

print(request.user)  # 如果没有执行auth.login那么拿到的是匿名用户

校验用户是否登录（装饰器）

from django.contrib.auth.decorators import  login_required

@login_required(login_url='/xxx/')  # 局部配置，login_url可以控制未登录时跳转的页面。

def index(request):

pass

# 全局配置  settings文件中，控制上面装饰器跳转的页面

LOGIN_URL = '/xxx/'  

验证密码是否正确

request.user.check_password(old_password)

修改密码

request.user.set_password(new_password)

request.user.save()  # 修改密码的时候 一定要save保存 否则无法生效

退出登陆

auth.logout(request)  # request.session.flush()

注册用户

# User.objects.create(username =username,password=password)  # 创建用户名的时候 千万不要再使用create 了，因为创建的记录密码不是加密的

# User.objects.create_user(username =username,password=password)  # 创建普通用户

User.objects.create_superuser(username =username,password=password,email='123@qq.com')  # 创建超级用户  邮箱必填

自定义auth_user表

from django.contrib.auth.models import AbstractUser

# Create your models here.

# 第一种 使用一对一关系  不考虑

# 第二种方式   使用类的继承

class Userinfo(AbstractUser):

# 千万不要跟原来表中的字段重复 只能创新

phone = models.BigIntegerField()

avatar = models.CharField(max_length=32)

# 一定要在配置文件中 告诉django

# 告诉django  orm不再使用auth默认的表  而是使用你自定义的表

AUTH_USER_MODEL = 'app01.Userinfo'  # '应用名.类名'

1.执行数据库迁移命令（需要重新设置新的数据库）

所有的auth模块功能 全部都基于你创建的表

而不再使用auth_user 

settings功能插拔式源码实现原理。（day59中的最后一个知识点）

原文地址：https://www.cnblogs.com/yangjiaoshou/p/11588051.html