django session以及csrf token的创建过程

最新推荐文章于 2024-05-02 19:15:16 发布
最新推荐文章于 2024-05-02 19:15:16 发布
阅读量1k 收藏 3
点赞数 1
分类专栏: python 文章标签: WEB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cy_shichao/article/details/86087430
版权
本文介绍了Django中session的使用,特别是用户登录过程中的session创建和CSRF token验证。当用户首次访问登录页面时,没有cookie信息。用户登录时,POST请求携带的csrfmiddlewaretoken与cookie中的CSRF TOKEN通过相同的解密算法验证,成功后在响应头中设置新的csrftoken,确保安全性。登录成功后,sessionid存储在cookie中,用户在后续访问中保持登录状态。
摘要由CSDN通过智能技术生成

(列出一个连接:该连接详细介绍了django session的基础用法,有兴趣的看:
https://www.cnblogs.com/zhaof/p/6281468.html
关于上述连接补充一点,request.session是一个既管理db中全部session也处理session_key对应
的当前session的一个对象,当前session的相关数据都存储在request.session._session中,有兴趣可以参看源码/site-packages/django/contrib/session/backends/db.py)

我们都知道session对应的是用户信息,django为登录的用户创建session的过程如下:

1、用户首次打开登录页面时,由于之前没有登录过,所以request头中不包含cookie字段
在这里插入图片描述
在这里插入图片描述

登录页面返回时会让用户设置csrf token
在这里插入图片描述

2、用户输入用户名和密码后,点击登录:

最低0.47元/天 解锁文章
叫我猪头就行
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解决Django提交表单报错:CSRF token missing or incorrect的问题
09-17
当你遇到"CSRF token missing or incorrect"的错误时,通常意味着Django无法找到或验证表单中的CSRF令牌,这可能是由于以下几个原因: 1. **缺失的CSRF令牌**:在Django的POST表单中,你需要包含`{% csrf_token %}`...
django 会话 Session
achieve_success的博客
06-04 188
(1)、session介绍 Session是由服务端生成默认保存到数据库中的一段信息。 对于敏感、重要的信息,建议要储在服务器端,不能存储在浏览器中。 (2)、session原理 第一次访问服务端时生成session并且生成一个随机字符串作为session的唯 一标识(sessionid)保存到数据库。 然后将sessionid设置给cookie,并且返回给浏览器, 当浏览器下次访问时携带sess...
djangoSession 和cookies机制
QWERTY55555的专栏
04-18 210
一、http请求是无状态的,请求一和请求二没有关联 二、为了解决http 无状态,浏览器有了自动存储cookies 的机制。 cookies 是键值对,类似python里面的字典。 三、浏览器可以直接将用户名和密码存储在cookies中实现登录,这种是不安全的。直接暴露了信息,为了解决这个问题,服务器有了sessionSession 是服务器将客户端登录成功后生成的sessionId给客户端...
Django整合多种认证方式
最新发布
小蜜蜂1010的博客
05-02 1563
这一篇主要总结Django整合的多种身份认证方式;是上一篇的延续
django设置csrf_token
qq_43593912的博客
05-11 3593
一、关于csrf_token csrf:跨站请求伪造,防止其他人改造,盗取信息,反正就是一种网站的防护措施 服务器端:设置随机的csrf_token,get请求的时候就该设置好 客户端:携带上相应的csrf_token,post请求的时候携带上 二、form表单设置csrf_token 通过模板标签进行设置 当提交post请求的时候会自动带上 三、针对某个类视图设置csrf_token fr...
django项目后台开发】TokenSession的区别、Token的生成方式(1)
python全栈
05-17 1063
一、什么是JWT Json web token (JWT), 是为了在⽹络应⽤环境间传递声明⽽执⾏的⼀种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适⽤于分布式站点的单点登录(SSO)场景。JWT的声明⼀般被⽤来在身份提供者和服务提供者间传递被认证的⽤户身份信息,以便于从资源服务器获取资源,也可以增加⼀些额外的其它业务逻辑所必须的声明信息,该token也可直接被⽤于认证,也可被加密。 二、token的认证和传统的session认证的区别 1、传统的session认证
Python自动化运维 - Django(三)CSRF - Cookie&Session
anhuoqiu1787的博客
03-20 265
CSRF跨站请求伪造   CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 CSRF攻击...
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。...
详解DjangoCSRF认证实现
09-20
另外,对于使用Ajax的POST请求,也需要确保在请求头中携带CSRF token,例如设置为`X-CSRFToken`。 总的来说,DjangoCSRF认证实现是其安全性的重要组成部分,有效地防止了恶意的跨站请求,保护了用户的数据安全。...
Python Django框架防御CSRF攻击的方法分析
09-18
2. **存储CSRF令牌**:同时,Django会在用户的浏览器中设置一个名为`csrftoken`的Cookie。这个Cookie包含了与隐藏字段中相同的安全令牌。 3. **验证CSRF令牌**:当用户提交表单时,这两个CSRF令牌(隐藏字段中的和...
Django CSRF跨站请求伪造防护过程解析
09-18
1. **生成CSRF令牌**:Django会在每个用户会话开始时生成一个唯一的CSRF令牌,并将其存储在用户session中,同时也会设置一个名为`csrftoken`的HTTP Cookie。 2. **表单集成**:在Django的HTML表单中,通过模板...
Web安全—CSRF(Token)
weixin_44431280的博客
02-14 3787
CSRFToken Token:令牌,和Session,Cookie一样,都是身份标识,Token通常存在于URL和Cookie中 Token作用: 1,防止表单重复提交 服务端收到客户端发送的Token后,如果和Session中的值相同,此时客户端中session中的Token会更新 2,防止CSRF(跨站请求攻击) 举例: 构造的CSRF,因为Token的原因,所以攻击失败 Token产生过程: 当客户端请求服务端页面时,服务端会生成一个随机数Token存放在Session中,同时也会将sessio
常用的认证机制之session认证和token认证
python全栈
08-13 4334
一、session认证 1、session认证的过程: 前端输入用户名和密码进行登录操作,后端拿到用户名和密码后,会把md5进行加密,加密之后,拿上加密后的密文到用户表中查找密文是否一致,判断用户是否存在,如果用户存在,则认证通过;认证成功后后端会生成session_id(后端会话当中的一个键,表中的一个key值),将session_id默认保存在会话表,当这条数据一旦记录完之后,会将session_key数据作为session_id放到响应头的set-cookie字段中; 浏览器接下来的操作为:将响应头中
CSRF攻击预防的Token生成原理
热门推荐
陈万洲的专栏
12-30 1万+
以往我们讲到CSRF,谈及都是CSRF的攻击原理,这次讲一下预防CSRF,生成Token背后的加密原理和具体实现例示。 1.Token构成。 从需求功能上来讲,为了防止CSRF工具,token需要具有不重复,另外,还含有特定的功能信息,比如过期时间戳。 下面的图描述了一个token的数据构成: Token的数据结构。 ---------------------------
Django Session管理
运维@小兵的博客
01-27 594
文章目录一、Session与Cookie是什么`1.1.Cookie是怎么工作的?``1.2.为什么需要Session?`二、Django使用Session`2.1.在settings.py配置文件中设置客户端Cookie:``2.2.在视图中操作Session:`三、自己实现用户登录认证 参考视频:https://ke.qq.com/course/320021 一、Session与Cookie是什么 就像你去电商平台购物一样,而网站采用是HTTP协议,它本身就是一个无状态的,是记不住你上次来做了什么事
Django的会话技术(Cookie/Session/Token/密码安全)
Dorisi_H_n_q的博客
06-02 1028
————解决痛点————1.解决短连接无法保存用户状态的问题2.延长了请求的生命周期————Cookie————1.客户端会话技术(数据存储在客户端)2.以key-value的形式进行存储3.cookie的操作都是通过Response来实现的4.典型场景:购物车、登录信息5.支持过期时间6.Cookie清除策略:①默认关闭浏览器时cookie自动清除②配置Cookie过期时间:max-age=0 ...
python csrf token cookie_DjangoCSRF_TOKEN和Cookie和Session实例浅析
weixin_34190683的博客
12-23 142
在book应用文件夹的views.py文件,编写视图函数,代码如下:from django.shortcuts import renderfrom .forms import BookInfoFormfrom django.http import HttpResponse# Create your views here.def bookform(request): if request.me...
Djangosession实现用户登录
05-12
Django 中,我们可以使用 session 来实现用户登录。下面是一个简单的示例: 1. 首先,在 `settings.py` 文件中,配置 session 参数: ```python SESSION_ENGINE = 'django.contrib.sessions.backends.db' SESSION_COOKIE_NAME = 'sessionid' SESSION_EXPIRE_AT_BROWSER_CLOSE = True SESSION_SAVE_EVERY_REQUEST = True ``` 这里使用数据库存储 session,并设置了 session 的过期时间为关闭浏览器即过期,每次请求都保存 session。 2. 在视图函数中,实现登录逻辑: ```python from django.contrib.auth import authenticate, login from django.shortcuts import render, redirect def login_view(request): if request.method == 'POST': username = request.POST.get('username') password = request.POST.get('password') user = authenticate(request, username=username, password=password) if user is not None: login(request, user) return redirect('home') else: message = '用户名或密码错误' else: message = '' return render(request, 'login.html', {'message': message}) ``` 这里使用 `authenticate` 函数验证用户身份,如果验证通过,则使用 `login` 函数登录用户,并跳转到首页。如果验证不通过,则返回登录页面,并提示错误信息。 3. 在模板中,实现登录表单: ```html {% if message %} <p>{{ message }}</p> {% endif %} <form method="post"> {% csrf_token %} <label for="username">用户名:</label> <input type="text" id="username" name="username" required> <label for="password">密码:</label> <input type="password" id="password" name="password" required> <button type="submit">登录</button> </form> ``` 这里使用 `POST` 方法提交用户名和密码,注意要加上 CSRF 令牌。 以上就是使用 session 实现用户登录的基本流程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值