Django修改密码强制用户重新登录策略

最新推荐文章于 2022-06-13 09:17:31 发布
最新推荐文章于 2022-06-13 09:17:31 发布
阅读量889 收藏 2
点赞数
分类专栏: Django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bocai_xiaodaidai/article/details/108422550
版权

django会话保持依赖两个中间件SessionMiddlewareAuthenticationMiddleware

SessionMiddleware:用于session的校验和下发(下发至request.session)

AuthenticationMiddleware:通过request.session获取用户对象,并比对此时用户认证和session中存储的认证是否相同.

 

正常使用中的登陆、退出和会话保持

from django.contrib.auth import authenticate, login , logout

def login(request):
if request.method == "POST":
username = request.POST.get('username', '')
password = request.POST.get('password', '')
user = authenticate(username=username, password=password) # 验证用户帐号密码是否正确,通过后返回User对象
if not user:
login(request, user) # 登录,response添加cookie并将session_key记录到django_session
request.session.set_expiry(0) # 设置session失效时间,0表示关闭浏览器失效

return HttpResponseRedirect('/')


from django.contrib.auth import authenticate, login , logout
def logout(request):
	logout(request)	# 清除response的cookie和django_session中记录
    return HttpResponseRedirect('/login')

MIDDLEWARE = (
	# 获取cookie中sessionid对应的django_session并做校验,有效的时候会把session对象增加到request.session
	'django.contrib.sessions.middleware.SessionMiddleware', 
    # 根据request.session获取对应User并校验是否有效
	'django.contrib.auth.middleware.AuthenticationMiddleware',	
)

AuthenticationMiddleware源码:

HASH_SESSION_KEY = '_auth_user_hash'
# auth.get_user
def get_user(request):
    """
    Return the user model instance associated with the given request session.
    If no user is retrieved, return an instance of `AnonymousUser`.
    """
    from .models import AnonymousUser
    user = None
    try:
        user_id = _get_user_session_key(request)
        backend_path = request.session[BACKEND_SESSION_KEY]
    except KeyError:
        pass
    else:
        if backend_path in settings.AUTHENTICATION_BACKENDS:
            backend = load_backend(backend_path)
            user = backend.get_user(user_id)
            # Verify the session
            if hasattr(user, 'get_session_auth_hash'):
                session_hash = request.session.get(HASH_SESSION_KEY)
                session_hash_verified = session_hash and constant_time_compare(
                    session_hash,
                    user.get_session_auth_hash()
                )
                if not session_hash_verified:
                    request.session.flush()
                    user = None
 
    return user or AnonymousUser()

也就是session_hash_verified = session_hash and constant_time_compare(session_hash,user.get_session_auth_hash()),对比session._auth_user_hashuser.get_session_auth_hash()是否相同, django_sessionsession_data默认存储的如下信息:

{
	'_auth_user_id': '25',
	'_auth_user_backend': 'django.contrib.auth.backends.ModelBackend',
	'_auth_user_hash': '54332f14831144a4022e7601c6dd3fcc531a5454',
	'_session_expiry': 0
}

user.get_session_auth_hash()如下(User的父类):

class AbstractBaseUser(models.Model):
    def get_session_auth_hash(self):
        """
        Return an HMAC of the password field.
        """
        key_salt = "django.contrib.auth.models.AbstractBaseUser.get_session_auth_hash"
        return salted_hmac(key_salt, self.password).hexdigest()
那么影响hash的就是user.password,django这么做就是要实现修改密码强制用户自动退出。

 

 

 

 

 

 

 

 

蓝绿色~菠菜
关注
专栏目录
部署Django
JanLEE
07-07 243
使用WSGI进行部署 Django的主要部署平台是WSGI,这是Web服务器和应用程序的Python标准。 Django的startproject管理命令为您设置了一个最小的默认WSGI配置,您可以根据项目的需要对其进行调整,并指导任何符合WSGI的应用服务器使用。 Django包括以下WSGI服务器的入门文档: 如何在Gunicorn中使用Django 如何在uWSGI中使用Django 如何将Django与Apache和 mod_wsgi 从Apache对Django用户数据库进行身份验证
Django 简易教务系统】实现数据库增删查改与登录注册,修改密码等功能
大三了啊
06-28 1301
大家好,我是冈坂日川,前段时间我说打算开始学习全栈,真正学习之后才发现真不是个简单的东西,但好像也不难,就处在中间难度吧,我大概从618号开始接触 Django ,本来打算一星期做完,后面断断续续又碰上端午节,就大概花了9天时间做完了,边学边做,做了一个Django的简易教务系统,实现数据增啥查改和登陆注册修改密码等功能,前端界面也做的还行! 声明 本文包括内容,代码全部原创,转载请先咨询,请勿擅自转载! 实现功能 用户登录注册,退出账号,修改密码等 新注册用户直接保存到数据库,属于普通用户,管理者.
django 强制登录最佳实践
12-12 196
参考: https://python-programming.courses/recipes/django-require-authentication-pages/ 即通过中间件来做AOP拦截。不用每个函数每个类加修饰器/MixIn。 1. 在某个处理用户相关的模块中添加middleware.py, 内容如下: from django.http import HttpRes...
django限制用户重复登陆
weixin_34126215的博客
09-18 4116
总体思路: 找出所有有效的session,然后从session中反解出所对应的用户信息,判断当前待登陆的用户是否已存在有效的session,如果有,则代表已登陆过,否则未登录。 代码实现: from django.contrib.sessions.models import Session from djang.utils import timezone valid_session_obj_l...
Django 用户修改密码
哈嘿_Blog
11-02 7768
Django 用户 修改密码
Django重置密码(异步发送邮箱)
m0_61453038的博客
06-13 589
一、前端点击修改密码,跳转到邮箱修改界面,输入邮箱传到后端 二、后端发送邮件,为保证安全,发送包含code码的地址到邮箱 三、点击邮件里的地址,解析邮件里边的code,跳转到修改密码界面,输入修改的数据传入后端进行修改......
Django切换MySQL数据库.rar
最新发布
06-03
'pool_recycle': 3600, # 连接回收时间(秒),超过这个时间的连接将被强制关闭并重新创建 } ``` 最后,确保你的MySQL服务器有足够的权限给Django用户,以便它可以创建、修改和删除数据库表。在MySQL客户端中执行...
django-shibboleth-remoteuser:在Django中使用Shibboleth的中间件
02-05
6. **安全性**:使用Shibboleth和此中间件可以提高安全性,因为它强制执行统一的身份验证策略,减少了密码泄露等风险。 7. **用户权限管理**:一旦用户通过Shibboleth验证,Django应用可以根据Shibboleth传递的属性...
Django 安全策略与常见漏洞防护
Django中,安全策略包括但不限于用户认证与授权、数据安全与防御、跨站脚本攻击(XSS)与防护、跨站请求伪造(CSRF)攻击与防护等方面的工作。 ## 1.2 为什么Django安全策略至关重要 随着互联网应用的普及,网络...
Django3.0配置文件的安全策略与HTTPS
## 1.1 Django3.0及其配置文件 Django是一个用于快速开发Web应用程序的高级Python Web框架。它提供了许多方便的功能和工具,帮助开发人员轻松构建强大的Web应用程序。 在Django中,配置文件是非常重要的,它存储了...
Django - 边学Django边写毕业设计(day09 个人信息和修改密码
DreamingBetter的博客
09-30 293
2021.9.30 1.个人信息完善 1.1 个人信息form表单实例知识点 首先,实例化表单的时候,要让他有初始数据,得加个**initial={}**属性。 如果修改了表单内容,没有没有在实例化的时候提供instance=要修改的模型实例,则会创建新的一条数据,如果提供了则是修改instance参数传的模型实例。 CharField如果传过来是空的,在数据库中就是空字符串,而不是null了。刚好省的判断是否为null 1.2 form表单知识点 一开始我给不可修改的数据加了disabled属性,发
django项目中用户密码更改后的会话失效解决方法
weixin_33794672的博客
08-17 405
2019独角兽企业重金招聘Python工程师标准>>> ...
django自带用户修改密码
qq_37422923的博客
01-11 457
username = request.user.username print(username) user = auth.authenticate(username=username, password=passwda) myresp = {} if user is not None: if user.is_active: print("验证合法") us...
Django 密码与安全
qq_42239520的博客
06-21 1453
Django 密码与安全 密码是一种用来混淆的技术(把用公开的、标准的信息编码表示的信息通过一种变换手段,将其变为除通信 双方以外其他人所不能读懂的信息编码)。就是将正常的(可识别的)信息转变为无法识别的信息。 但这种无法识别的信息部分是破解(密码泄漏)。 密码的设计需遵守 柯克霍夫原则: 即使密码系统的任何细节已为人悉知,只要密匙(key,又称密钥或秘钥)未泄漏,它也应是安全的。 Django 如何存储密码? User 对象的 password 属性是如下这种格式: <algorithm>
Django 2.0 项目实战 (3): 用户重置密码与退出登录
大江狗
05-11 4445
在之前两篇文章中我们扩展了Django自带的User模型并实现用户登录与注册,并同时实现了查看和编辑用户个人资料的功能。本文是Django实现用户注册登录系列教程的最后一篇,我们将会开发两个功能页面,一个允许用户登录后重置密码,一个是退出登录。本文代码用Django 2.0 + Python 3.X编写。   第一步 重温models.py和urls.py   模型Models设计是...
设置session cookie_lifetime 使浏览器关闭后还能继续保持登录状态或session数组
PHPer的技术记录
05-23 4473
我们一般设置cookie_lifetime为0但一关闭浏览器后session就被删除无法保持登录状态 如果设置cookie_lifetime为7200,则表示存活2个小时,此时就算关闭浏览器也不会删除session,再次打开浏览器 依然保持登录状态 ...
django设置当浏览器关闭时,session失效
热门推荐
刺客的专栏
06-15 1万+
环境:python 2.7 ;django 1.7.2  每一种框架的session的实现方式不一样,最近有一个登陆模块,要求用户关闭浏览器时候session自动失效,这个在java中是默认的,而在django中的session默认是放在数据库中的,网上有人给了如下方法: SESSION_EXPIRE_AT_BROWSER_CLOSE=True;//在配置文件配置,可是该方式无效; 另一种方
django的自带的装饰器或中间件非常简单的实现强制登录
brytlevson的博客
10-11 383
以前刚开使用django 的时候做强制登录是在视图函数里面用session存取登录状态来做强制登录的,其次还可以用django 的中间件可以做强制登录,也是比较简单的,今天给大家介绍的是django自带的装饰器做强制登录。 # 1. 写好登录html def login(request): return render(request, 'portal/login.html') # 2. 在...
Django Admin后台管理用户密码修改
程序就是世界
03-22 271
在Terminal中执行:python manage.py changepassword your_name(其中“your_name”为你要修改密码用户名),根据提示内容修改即可。
Django账号密码验证登陆实现登录限制策略
"django中账号密码验证...总结起来,Django实现账号密码验证登录功能涉及前后端交互、用户验证、登录历史记录以及登录限制策略。通过以上步骤,你可以构建一个基础但功能完善的登录系统,为用户提供安全的登录体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值