Django中间件

于 2022-03-28 17:04:56 发布
阅读量211 收藏
点赞数
文章标签: 数据库 多表 外键字段
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Struggle_Hard_Z/article/details/123778211
版权

django中间件

"""
django中间件是django的门户
1.请求来的时候需要先经过中间件才能到达真正的django后端
2.响应走的时候最后也需要经过中间件才能发送出去

django自带七个中间件
"""
django请求生命周期流程图

研究django中间件代码规律
MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

class SessionMiddleware(MiddlewareMixin):
    def process_request(self, request):
        session_key = request.COOKIES.get(settings.SESSION_COOKIE_NAME)
        request.session = self.SessionStore(session_key)
    def process_response(self, request, response):
        return response
      
class CsrfViewMiddleware(MiddlewareMixin):
  	def process_request(self, request):
        csrf_token = self._get_token(request)
        if csrf_token is not None:
            # Use same token next time.
            request.META['CSRF_COOKIE'] = csrf_token
    def process_view(self, request, callback, callback_args, callback_kwargs):
        return self._accept(request)

    def process_response(self, request, response):
        return response
      
class AuthenticationMiddleware(MiddlewareMixin):
    def process_request(self, request):
        request.user = SimpleLazyObject(lambda: get_user(request))

"""
django支持自定义中间件并且暴露给程序员五个可以自定义的方法

		process_request
		
		process_response
	
		process_view
			
		process_template_response
		
		process_exception
"""

如何自定义中间件

"""
1.在项目名或者应用名下创建一个任意名称的文件夹
2.在该文件夹内创建一个任意名称的py文件
3.在该py文件内需要书写类(这个类必须继承MiddlewareMixin)
	然后在这个类里面就可以自定义五个方法了
	(这五个方法并不是全部都需要书写,用几个写几个)
4.需要将类的路径以字符串的形式注册到配置文件中才能生效
MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    '你自己写的中间件的路径1',
    '你自己写的中间件的路径2',
    '你自己写的中间件的路径3',
]

"""
"""
1.必须掌握
		process_request 
			1.请求来的时候需要经过每一个中间件里面的process_request方法
			结果的顺序是按照配置文件中注册的中间件从上往下的顺序依次执行
			2.如果中间件里面没有定义该方法,那么直接跳过执行下一个中间件
			3.如果该方法返回了HttpResponse对象,那么请求将不再继续往后执行
			而是直接原路返回(校验失败不允许访问...)
			process_request方法就是用来做全局相关的所有限制功能
			
		process_response
			1.响应走的时候需要结果每一个中间件里面的process_response方法
			该方法有两个额外的参数request,response
			2.该方法必须返回一个HttpResponse对象
				1.默认返回的就是形参response
				2.你也可以自己返回自己的
			3.顺序是按照配置文件中注册了的中间件从下往上依次经过
				如果你没有定义的话 直接跳过执行下一个
		
		研究如果在第一个process_request方法就已经返回了HttpResponse对象,那么响应走的时候是经过所有的中间件里面的process_response还是有其他情况
		是其他情况
			就是会直接走同级别的process_reponse返回
		
		flask框架也有一个中间件但是它的规律
			只要返回数据了就必须经过所有中间件里面的类似于process_reponse方法
			
			
2.了解即可
		process_view
			路由匹配成功之后执行视图函数之前,会自动执行中间件里面的该放法
			顺序是按照配置文件中注册的中间件从上往下的顺序依次执行
			
		process_template_response
			返回的HttpResponse对象有render属性的时候才会触发
			顺序是按照配置文件中注册了的中间件从下往上依次经过
			
		process_exception
			当视图函数中出现异常的情况下触发
			顺序是按照配置文件中注册了的中间件从下往上依次经过
"""
CBV添加装饰器
# 1. FBV: function based view
# 2. CBV:class based view

def login_auth(func):
    # func => 被加装饰器的函数名
    # func => index
    def inner(request, *args, **kwargs):
        # request = args[0]
        if request.COOKIES.get('username'):
            # 函数执行前要执行的代码
            return func()
        # 函数执行之后要执行的代码
        else:
            return redirect('/login/')

    return inner


# CBV必须继承View
from django.views import View

# CBV添加装饰器
# 1. 导入模块
from django.utils.decorators import method_decorator


# @method_decorator(login_auth, name='get')	# 方式2:可以添加多个
# @method_decorator(login_auth, name='post')
class IndexView(View):
    @method_decorator(login_auth)  # 方式3:给类里面所有的方法添加装饰器,统一
    def dispatch(self, request, *args, **kwargs):
        pass

    # @method_decorator(login_auth)  # 方式1:指名道姓
    def get(self, request):
        return HttpResponse('get')

    def post(self, request):
        return HttpResponse('post')

csrf跨站请求伪造

"""
钓鱼网站
	我搭建一个跟正规网站一模一样的界面(中国银行)
	用户不小心进入到了我们的网站,用户给某个人打钱
	打钱的操作确确实实是提交给了中国银行的系统,用户的钱也确确实实减少了
	但是唯一不同的时候打钱的账户不适用户想要打的账户变成了一个莫名其妙的账户

大学英语四六级
	考之前需要学生自己网站登陆缴费

内部本质
	我们在钓鱼网站的页面 针对对方账户 只给用户提供一个没有name属性的普通input框
	然后我们在内部隐藏一个已经写好name和value的input框

如何规避上述问题
	csrf跨站请求伪造校验
		网站在给用户返回一个具有提交数据功能页面的时候会给这个页面加一个唯一标识
		当这个页面朝后端发送post请求的时候 我的后端会先校验唯一标识,如果唯一标识不对直接拒绝(403 forbbiden)如果成功则正常执行	
"""

如何符合校验

# form表单如何符合校验
<form action="" method="post">
    {% csrf_token %}
    <p>username:<input type="text" name="username"></p>
    <p>target_user:<input type="text" name="target_user"></p>
    <p>money:<input type="text" name="money"></p>
    <input type="submit">
</form>

# ajax如何符合校验
// 第一种 利用标签查找获取页面上的随机字符串
{#data:{"username":'jason','csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()},#}
// 第二种 利用模版语法提供的快捷书写
{#data:{"username":'jason','csrfmiddlewaretoken':'{{ csrf_token }}'},#}
// 第三种 通用方式直接拷贝js代码并应用到自己的html页面上即可
data:{"username":'jason'}

在这里插入图片描述

function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');


function csrfSafeMethod(method) {
  // these HTTP methods do not require CSRF protection
  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}

$.ajaxSetup({
  beforeSend: function (xhr, settings) {
    if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
      xhr.setRequestHeader("X-CSRFToken", csrftoken);
    }
  }
});

csrf相关装饰器

"""
1.网站整体都不校验csrf,就单单几个视图函数需要校验
2.网站整体都校验csrf,就单单几个视图函数不校验
"""
from django.views.decorators.csrf import csrf_protect,csrf_exempt
from django.utils.decorators import method_decorator
"""
csrf_protect  需要校验
    针对csrf_protect符合我们之前所学的装饰器的三种玩法
csrf_exempt   忽视校验
    针对csrf_exempt只能给dispatch方法加才有效
"""
# @csrf_exempt
# @csrf_protect
def transfer(request):
    if request.method == 'POST':
        username = request.POST.get('username')
        target_user = request.POST.get('target_user')
        money = request.POST.get('money')
        print('%s给%s转了%s元'%(username,target_user,money))
    return render(request,'transfer.html')



from django.views import View

# @method_decorator(csrf_protect,name='post')  # 针对csrf_protect 第二种方式可以
# @method_decorator(csrf_exempt,name='post')  # 针对csrf_exempt 第二种方式不可以
@method_decorator(csrf_exempt,name='dispatch')
class MyCsrfToken(View):
    # @method_decorator(csrf_protect)  # 针对csrf_protect 第三种方式可以
    # @method_decorator(csrf_exempt)  # 针对csrf_exempt 第三种方式可以
    def dispatch(self, request, *args, **kwargs):
        return super(MyCsrfToken, self).dispatch(request,*args,**kwargs)

    def get(self,request):
        return HttpResponse('get')

    # @method_decorator(csrf_protect)  # 针对csrf_protect 第一种方式可以
    # @method_decorator(csrf_exempt)  # 针对csrf_exempt 第一种方式不可以
    def post(self,request):
        return HttpResponse('post')

补充知识点

# 模块:importlib
import importlib
res = 'myfile.b'
ret = importlib.import_module(res)  # from myfile import b
# 该方法最小只能到py文件名
print(ret)

重要思想

import settings
import importlib


def send_all(content):
    for path_str in settings.NOTIFY_LIST:  #'notify.email.Email'
        module_path,class_name = path_str.rsplit('.',maxsplit=1)
        # module_path = 'notify.email'  class_name = 'Email'
        # 1 利用字符串导入模块
        module = importlib.import_module(module_path)  # from notify import email
        # 2 利用反射获取类名
        cls = getattr(module,class_name)  # Email、QQ、Wechat
        # 3 生成类的对象
        obj = cls()
        # 4 利用鸭子类型直接调用send方法
        obj.send(content)

Auth模块

"""
其实我们在创建好一个django项目之后直接执行数据库迁移命令会自动生成很多表,这些表里面有auth开头的,django开头的
	django_session
	auth_user
django在启动之后就可以直接访问admin路由,需要输入用户名和密码,数据参考的就是auth_user表,并且还必须是管理员用户才能进入

创建超级用户(管理员)
	python3 manage.py createsuperuser
	
依赖于auth_user表完成用户相关的所有功能
"""

方法总结

# 1.比对用户名和密码是否正确
user_obj = auth.authenticate(request,username=username,password=password)
# 括号内必须同时传入用户名和密码
print(user_obj)  # 用户对象  jason   数据不符合则返回None
print(user_obj.username)  # jason
print(user_obj.password)  # 密文

# 2.保存用户状态
auth.login(request,user_obj)  # 类似于request.session[key] = user_obj
# 主要执行了该方法 你就可以在任何地方通过request.user获取到当前登陆的用户对象

# 3.判断当前用户是否登陆
request.user.is_authenticated()	# 验证是否登录成功

# 4.获取当前登陆用户
request.user

# 5.校验用户是否登陆装饰器
from django.contrib.auth.decorators import login_required
# 局部配置
@login_required(login_url='/login/') 
# 全局配置
LOGIN_URL = '/login/'
	1.如果局部和全局都有 该听谁的?
    局部 > 全局
	2.局部和全局哪个好呢?
    全局的好处在于无需重复写代码 但是跳转的页面却很单一
    局部的好处在于不同的视图函数在用户没有登陆的情况下可以跳转到不同的页面

# 6.比对原密码
request.user.check_password(old_password)

# 7.修改密码
request.user.set_password(new_password)  # 仅仅是在修改对象的属性
request.user.save()  # 这一步才是真正的操作数据库

# 8.注销
auth.logout(request)	# request.session.flush()

# 9.注册
from django.contrib.auth.models import User # User就是auth_user表
# 操作auth_user表写入数据
User.objects.create(username=username,password=password)  # 写入数据  不能用create 密码没有加密处理
# 创建普通用户
User.objects.create_user(username=username,password=password)
# 创建超级用户(了解):使用代码创建超级用户 邮箱是必填的 而用命令创建则可以不填
User.objects.create_superuser(username=username,email='123@qq.com',password=password)

如何扩展auth_user表

from django.db import models
from django.contrib.auth.models import User,AbstractUser
# Create your models here.

# 第一种:一对一关系  不推荐
# class UserDetail(models.Model):
#     phone = models.BigIntegerField()
#     user = models.OneToOneField(to='User')


# 第二种:面向对象的继承
class UserInfo(AbstractUser):
    """
    如果继承了AbstractUser
    那么在执行数据库迁移命令的时候auth_user表就不会再创建出来了
    而UserInfo表中会出现auth_user所有的字段外加自己扩展的字段
    这么做的好处在于你能够直接点击你自己的表更加快速的完成操作及扩展
    
    前提:
        1.在继承之前没有执行过数据库迁移命令
            auth_user没有被创建,如果当前库已经创建了那么你就重新换一个库
        2.继承的类里面不要覆盖AbstractUser里面的字段名
            表里面有的字段都不要动,只扩展额外字段即可
        3.需要在配置文件中告诉django你要用UserInfo替代auth_user(******)
            AUTH_USER_MODEL = 'app01.UserInfo'
                                '应用名.表名'
    """
    phone = models.BigIntegerField()
    
    
"""
你如果自己写表替代了auth_user那么
auth模块的功能还是照常使用,参考的表页由原来的auth_user变成了UserInfo

"""
Struggle_Hard_Z
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Django的url反向解析
人生苦短,LET US GO
03-17 476
Django中提供了一个关于URL的映射的解决方案,可以做两个方向的使用: 1.普通解析过程:由客户端的浏览器发起一个url请求,Django根据URL解析,把url中的参数捕获,调用相应的视图,获取相应的数据,然后返回给客户端显示。 2.反向解析:通过一个视图的名字,再加上一些参数和值,逆向获取相应的URL。 Django提供了三种不同反向解析处理方式: 1.在模板templates中,...
关于CSRF及Django中如何处理
weixin_30437847的博客
04-05 172
CSRF介绍 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本攻击(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻...
反射的基本概念及在django中的应用
weixin_30762087的博客
03-24 306
# 1.反射的基本概念 Python中为了能够实现代码的可重复性和动态性,提供了很多动态的执行代码的方法,我们最常见的就是os模块中提供的os.path中常用的获取路径的方法,还有更多的方法比如url中request方法获取url地址,而反射与这上述提到的相同就是为了动态的判断,动态的获取。 os模块动态的获取地址 1 print(__file__) 2 print(os.pa...
Django jason day12(70)
yinlingjishu的博客
11-12 146
每日测验 """ 1.什么是cookie和session,你能描述一下它们的由来和工作机制吗(切勿糊弄,敷衍了事) 2.django中如何操作cookie和session,请写出尽量多的操作方法,并针对session的操作方法详细内部发生的事情,django默认的session失效时间是多久(切勿糊弄,敷衍了事) 3.面相对象中的__init__和__new__的区别是什么,利用__new__可以实现什么 4.如何给CBV添加装饰器,列举你所知道的几种方式 """ 内容回顾 forms组件源码 # 入
ORM 的映射与反射
weixin_41632383的博客
10-27 398
ORM (Object Relational Mapping)作为一个后端框架的构建的组成部分, 主要实现对象对关系型数据库的映射关系。可以无需再去编写原生sql,取代代之的是基于面向对象的思想去编写类、对象、调用相应的方法等,ORM会将其转换/映射成原生SQL然后交给pymysql执行的。 orm的通常使用顺序是, 先编写model 然后通过model 生成迁移文件 “migrations” 再通过migrations 生成对应的数据表。数据表的字段条目与model 的属性可以做到一一对应。 这就通常呈
Django 中间件
12-20
Django中间件是框架的核心组件之一,它提供了一种机制,允许开发者在Django处理HTTP请求和响应的生命周期中插入自定义逻辑。中间件可以理解为一系列钩子,它们在HttpRequest对象被传递到视图函数(view)以及视图...
Django中间件基础用法详解
09-19
主要介绍了Django中间件基础用法详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Python Django中间件使用原理及流程分析
12-17
一、什么是Django中间件  Django 中间件是用来处理Django的请求request和响应response的框架级别的钩子,它是一个轻量,低级别的插件系统,用于全局范围内改变Django的输入,输出。每个中间件组件都负责做一些特定...
djangorequestslogger:Django中间件将所有请求记录到数据库中的系统
05-15
这是一个简单的Django中间件,用于将所有http请求记录到django应用程序中。 它记录请求数据,响应,HTTP方法和请求IP。 目前,该模型仅以PostgreSQL作为数据库运行。 要求 Python(3.4、3.5、3.6) Django(1.11,...
Python Django中间件中间件函数,全局异常处理操作示例
09-18
总之,Django中间件提供了一种灵活的方式,使得开发者可以在请求和响应的生命周期中添加自定义逻辑,同时全局异常处理也得以实现,确保了应用程序的健壮性。正确地使用和设计中间件对于提升Django应用的功能性和可...
深入了解Django中间件及其方法
12-31
==中间件是一个用来处理Django的请求和响应的框架级别的钩子==。它是一个轻量、低级别的插件系统,用于在==全局范围内==改变Django的输入和输出。每个中间件组件负责做一些特定的功能。 由于其影响的是全局,所以...
Django中间件工作流程及写法实例代码
09-20
Django中间件Django框架中的一个重要组成部分,它允许开发者在请求处理的生命周期中插入自定义的行为。中间件提供了一种灵活的方式,可以在请求到达视图函数之前或响应返回给客户端之前进行操作,例如日志记录、...
Django中间件拦截未登录url实例详解
09-18
本文将详细解释如何使用Django中间件来拦截未登录用户访问特定URL的实例。 首先,我们来看一下如何通过装饰器在视图层实现拦截。Django提供了一个内置的装饰器`@login_required`,可以在视图函数前添加此装饰器,以...
python之django框架类视图(views)路由反射解读
最爱嫣夜来
06-23 988
最近一直在看django框架的rest-framework库,尝试看了一下源码,觉得挺有意思的。这里记录一下自己对于django在使用rest_framework写类视图以及路由分发到类视图函数执行的整个过程,给自己这7秒钟记忆的脑子存个档,方便以后查看。 第一部分 示例代码 依赖包: django==2.1.7 djangorestframework==3.11.0 mysqlclient==1.4.6 第一步:定义models模型类,这里随便写了一个 from django.db import
CSRF与钓鱼链接攻击
球球的博客
03-20 5627
CSRF发生的原理和过程,验证Referer这种不靠谱的防御即绕过
Django 配置CSRF(跨站点请求伪造)保护
qq_39046786的博客
06-16 2555
Django 配置CSRF(跨站点请求伪造)保护 配置 在项目的setings.py文件中 添加如下。 MIDDLEWARE = [ 'django.middleware.csrf.CsrfViewMiddleware', ] 跨域请求伪造保护实现主要分为两步 第一步: Django 的 CSRF 保护要求请求的Referer 标头与标头中存在的来源相匹配Host。例如,这可以防止针对 的POST请求subdomain.example.com成功api.example.com。如果您需要
Django系列(2)-设置token失效时间
罗小辉的专栏
07-24 6168
PS: 本篇中的token,指的是rest_framework的token。 新建token.py,比较token时间戳 import datetime from rest_framework.authentication import TokenAuthentication, get_authorization_header from rest_framework.exceptions impo...
django 中间件
最新发布
01-09
Django中,中间件是一个用于处理请求和响应的组件。它可以在请求到达视图之前或响应返回给客户端之前对请求和响应进行处理。中间件可以用于执行各种任务,例如身份验证、日志记录、错误处理等。 以下是两个Django中间件的例子: 1. SessionMiddleware(会话中间件): ```python django.contrib.sessions.middleware.SessionMiddleware ``` 会话中间件用于处理会话数据。它负责在请求和响应之间存储和检索会话数据。会话数据可以用于在不同请求之间存储用户特定的信息,例如登录状态、购物车内容等。 2. MessageMiddleware(消息中间件): ```python django.contrib.messages.middleware.MessageMiddleware ``` 消息中间件用于处理消息通知。它负责在请求和响应之间存储和检索消息数据。消息可以用于向用户显示一次性通知,例如成功消息、错误消息等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值