Django之session验证的三种姿势

最新推荐文章于 2022-10-05 23:59:25 发布
最新推荐文章于 2022-10-05 23:59:25 发布
阅读量433 收藏
点赞数
文章标签: python 数据库 json
原文链接:http://www.cnblogs.com/ExMan/p/9473814.html
版权

一.什么是session

session是保存在服务端的键值对,Django默认支持Session,并且默认是将Session数据存储在数据库中,即:django_session 表中。

二.FVB中使用装饰器进行session验证

认证装饰器:

1
2
3
4
5
6
7
8
9
10
# 登陆验证
def  auth(func):
  '''判断是否登录装饰器'''
     def  inner(request,  * args,  * * kwargs):
         ck  =  request.session.get( "username" )
         '''如果没有登陆返回到login.html'''
         if  not  ck:
             return  redirect( "/login.html" )
         return  func(request,  * args,  * * kwargs)
     return  inner

 在需要认证的函数执行前加上装饰器认证即可,实际中应用如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
def  login(request):
     if  request.method  = =  "GET" :
         return  render(request,  "login.html" )
     else :
         username  =  request.POST.get( "user" )
         pwd  =  request.POST.get( "pwd" )
         pwd  =  md5(pwd)
         dic  =  { "flag" : False }
         obj  =  User.objects. filter (username = username, pwd = pwd).first()
         if  obj:
             request.session[ "username" =  username
             return  redirect( "/index.html" )
         else :
             print (dic)
             return  HttpResponse(json.dumps(dic))
 
@auth
def  index(request):
     user  =  request.session.get( "username" )
     business  =  Business.objects. all ().values( "name" )
     host_list  =  Host.objects. all ().values( "id" , "host" , "port" , "business__name" )
     username  =  User.objects. all ().values( "username" )
     return  render(request,  'index.html' , { 'host_list' :host_list, "business" :business, "user" :user, "username" :username})
     
@auth
def  addhost(request):
     business  =  Business.objects. all ().values( "name" )
     if  request.method  = =  "POST" :
         user  =  request.session.get( "username" )
         host  =  request.POST.get( "host" )
         port  =  request.POST.get( "port" )
         select_business  =  request.POST.get( "business" )
         business_id  =  Business.objects. filter (name = select_business).values( "id" )[ 0 ]
         host  =  Host.objects.create(host = host,
                                   port = port,
                                   business_id = business_id[ "id" ])
         # host.business.add(*business)
         return  render(request,  "index.html" )
 
     return  render(request,  "index.html" , { "business" :business})
     
@auth
def  up_business(request):
     if  request.method  = =  "POST" :
         user  =  request.session.get( "username" )
         host =  request.POST.get( "host" )
         port =  request.POST.get( "port" )
         business_name  =  request.POST.get( "business" )
         username  =  request.POST.get( "username" )
         print (host,port,business_name,username)
         return  render(request, "保存成功" )

 三.CBV中使用类继承的方式进行session认证

  • cbv是 class based view(基于类)
  • cbv基于dispatch进行反射,get获取,post提交
  • 应用场景:登录认证(继承dispatch,在dispatch里做session验证)

CBV第一种方式继承

1.单继承

扫盲:(继承的时候,一定要清楚self是哪个类实例化出来的对象,下例,self为B实例化的对象,任何属性优先从自己里面找,找不到在去父类里找)

1
2
3
4
5
6
7
8
9
10
11
12
class  A( object ):
     def  aaa( self ):
         print ( 'from A' )
     def  bbb( self ):
         self .aaa()
  
class  B(A):
     def  aaa( self ):
         print ( 'from B' )
  
=  B()
c.aaa()

应用:

1
2
3
4
5
6
7
8
9
10
11
12
13
from  django.views  import  View
class  BaseView(View):
     def  dispatch( self , request,  * args,  * * kwargs):   # 继承父类的dispatch,因为父类里有返回值,所以也要有return
         if  request.session.get( 'username' ):
             response  =  super (BaseView,  self ).dispatch(request,  * args,  * * kwargs)
             return  response
         else :
             return  redirect( '/login.html' )
  
class  IndexView(BaseView):
  
     def  get( self , request,  * args,  * * kwargs):
         return  HttpResponse(request.session[ 'username' ])
 2.多继承(继承顺序从左到右)
1
2
3
4
5
6
7
8
9
10
11
12
class  BaseView( object ):
     def  dispatch( self , request,  * args,  * * kwargs):
         if  request.session.get( 'username' ):
             response  =  super (BaseView, self ).dispatch(request,  * args,  * * kwargs)
             return  response
         else :
             return  redirect( '/login.html' )
  
class  IndexView(BaseView,View): #先去找BaseView,BaseView中未定义在去找View
  
     def  get( self ,request, * args, * * kwargs):
         return  HttpResponse(request.session[ 'username' ])

 CBV第二种方式装饰器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
from  django.utils.decorators  import  method_decorator
  
def  auth(func):  #定义装饰器
     def  inner(request, * args, * * kwargs):
         if  request.session.get( 'username' ):
             obj  =  func(request, * args, * * kwargs)
             return  obj
         else :
             return  redirect( '/login.html' )
     return  inner
  
@method_decorator (auth,name = 'get' )   #放在类顶部就需要method_decorator这个装饰器
class  IndexView(View):
  
     @method_decorator (auth)  #放在dispatch上就相当于全局都需要经过认证
     def  dispatch( self , request,  * args,  * * kwargs):
         if  request.session.get( 'username' ):
             response  =  super (IndexView, self ).dispatch(request,  * args,  * * kwargs)
             return  response
         else :
             return  redirect( '/login.html' )
  
     @method_decorator (auth)
     def  get( self ,request, * args, * * kwargs):
         return  HttpResponse(request.session[ 'username' ])
  
     @method_decorator (csrf_exempt)   # 无效 csrf 放到post函数上的装饰器,是无效的,需要放到dispath上或者类上
     def  post( self ,request, * args, * * kwargs):
         return  HttpResponse(request.session[ 'username' ])

 四.中间件middleware

如下是django的生命周期

 如下为中间件的执行顺序

 - 中间件执行时机:请求到来,请求返回时
  - 中间件是一个类:
  def process_request(self,request):
    print('m2.process_request')

  def process_response(self,request, response):
    print('m2.prcess_response')
    return response

    - 应用:
    - 请求日志
    - 用户登录认证

Django根目录新建md文件夹,新建Middleware.py文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
from  django.utils.deprecation  import  MiddlewareMixin
 
class  M1(MiddlewareMixin):
     '''先执行request,然后到url路由,url之后返回到最上方,在执行view,如果出现错误就直接到response上,执行完,到真正到视图,如果有问题就
     执行exception,从下至上查找,如果找到exception就直接执行exception的return在走response返回用户
     每个中间件中,4个方法不需要都写.
     '''
     def  process_request( self ,request):
 
         if  request.path_info  = =  "/login.html" :
             return  None
         user_info  =  request.session.get( "username" )
         if  not  user_info:
             return  redirect( "/login.html" )

 注:新的django版本可能不存在MiddlewareMixin,需要手动写一下这个类进行继承

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
class  MiddlewareMixin( object ):
     def  __init__( self , get_response = None ):
         self .get_response  =  get_response
         super (MiddlewareMixin,  self ).__init__()
 
     def  __call__( self , request):
         response  =  None
         if  hasattr ( self 'process_request' ):
             response  =  self .process_request(request)
         if  not  response:
             response  =  self .get_response(request)
         if  hasattr ( self 'process_response' ):
             response  =  self .process_response(request, response)
         return  response
 
class  M1(MiddlewareMixin):
 
     def  process_request( self ,request):
 
         if  request.path_info  = =  "/login.html" :
             return  None
         user_info  =  request.session.get( "username" )
         if  not  user_info:
             return  redirect( "/login.html" )

 settings里配置:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
MIDDLEWARE  =  [
     'django.middleware.security.SecurityMiddleware' ,
     'django.contrib.sessions.middleware.SessionMiddleware' ,
     'django.middleware.common.CommonMiddleware' ,
     'django.middleware.csrf.CsrfViewMiddleware' ,
     'django.contrib.auth.middleware.AuthenticationMiddleware' ,
     'django.contrib.messages.middleware.MessageMiddleware' ,
     'django.middleware.clickjacking.XFrameOptionsMiddleware' ,
     'md.Middleware.M1' ,
]
 
WSGI_APPLICATION  =  'BBS.wsgi.application'
 
SESSION_ENGINE  =  'django.contrib.sessions.backends.db'   # 引擎(默认)
 
SESSION_COOKIE_NAME  =  "sessionid"   # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认)
SESSION_COOKIE_PATH  =  "/"   # Session的cookie保存的路径(默认)
SESSION_COOKIE_DOMAIN  =  None   # Session的cookie保存的域名(默认)
SESSION_COOKIE_SECURE  =  False   # 是否Https传输cookie(默认)
SESSION_COOKIE_HTTPONLY  =  True   # 是否Session的cookie只支持http传输(默认)
SESSION_COOKIE_AGE  =  1209600   # Session的cookie失效日期(2周)(默认)
SESSION_EXPIRE_AT_BROWSER_CLOSE  =  False   # 是否关闭浏览器使得Session过期(默认)
SESSION_SAVE_EVERY_REQUEST  =  True   # 是否每次请求都保存Session,默认修改之后才保存(默认)

转载于:https://www.cnblogs.com/ExMan/p/9473814.html

weixin_30399055
关注
【网络安全】Web应用程序的工作原理
等风来
08-27 7683
Web应用程序是一种通过网络(通常是互联网)访问的、具有交互性和动态功能的软件应用。与普通网页相比,Web应用程序具有以下区别:1.Web应用程序通过与用户进行双向通信,实现了更高级的交互性。用户可以与应用程序进行数据输入、提交表单、执行操作等,而不仅仅是被动地查看静态内容。Web应用程序可以根据用户的输入和行为动态地响应和改变。2.Web应用程序能够根据用户的请求和服务器端的处理,在客户端动态生成内容。相比之下,普通网页是静态的,其内容在服务器上预先生成,并以相同的形式发送给所有用户。3.
2.SDL规范文档
weixin_30872337的博客
02-27 2304
01.安全设计Checklist 输入验证 校验跨信任边界传递的不可信数据(策略检查数据合法性,含白名单机制等)格式化字符串时,依然要检验用户输入的合法性,避免可造成系统信息泄露或者拒绝服务 禁止向Java Runtime.exec()方法传递不可信、未净化的数据(当参数中包含空格,双引号,以-或者/符号开头表示一个参数开关时,可能会导致参数注入漏洞),建议如果可以禁止JVM...
Django基础之Session登录验证
weixin_34054931的博客
11-21 411
from functools import wraps def check_login(func): @wraps(func) def inner(request, *args, **kwargs): next_url = request.get_full_path() if request.session.get("user"):...
Django_session 有效期
vic_torsun的博客
04-06 1036
Django session官方文档: https://docs.djangoproject.com/en/dev/topics/http/sessions/#configuring-the-session-engine 原文: http://blog.csdn.net/qq_24861509/article/details/50177273session的超时时间设置 settings中.
python学习-Django8、Session、登陆与注销、注册
weixin_44634704的博客
07-19 268
Django关于Session配置手册 用户登陆与注销登陆 修改views.py中login函数 def login(request: HttpRequest) -> HttpResponse: hint = '' if request.method == 'POST': username = request.POST.get('username') password = request.POST.get('password') if username and passwo
Django——session登录以及页面取值
Lenskit
06-23 1万+
上一篇中,我们用最简单的方法实现了登陆,但是真实的开发中肯定不现实,我们需要使用session来保存我们需要的数据,并在需要的时候显示在页面上。 我们的登陆代码变成了: def checkuser(request): if request.method == 'POST': user = request.POST.get('username') passwd = request.PO
{Django基础八之cookie和session}一 会话跟踪 二 cookie 三 django中操作cookie 四 session 五 dja...
weixin_33729196的博客
03-07 224
Django基础八之cookie和session 本节目录 一 会话跟踪 二 cookie 三 django中操作cookie 四 sessiondjango中操作session 六 xxx 七 xxx 八 xxx 一 会话跟踪   我们需要先了解一下什么是会话!可以把会话理解为客户端...
卷积神经网络的Python实现,python卷积神经网络训练
super67269的博客
08-14 6979
对于想要自学Python的小伙伴,这里整理了一份系统全面的学习路线,按照这份大纲来安排学习可以少走弯路,事半功倍。第一阶段:专业核心基础阶段目标:1.熟练掌握Python的开发环境与编程核心知识2.熟练运用Python面向对象知识进行程序开发3.对Python的核心库和组件有深入理解4.熟练应用SQL语句进行数据库常用操作5.熟练运用Linux操作系统命令及环境配置6.熟练使用MySQL,掌握数据库高级操作7.能综合运用所学知识完成项目知识点:Python编程基础、Python面向对象、Python高级进阶
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5583
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
完成登录功能,用session记住用户名
weixin_30555125的博客
11-22 134
登录功能完成: js:设置return html:设置 form input onclick="return fnLogin()" py: @app.route设置methods GET POST 读取表单数据 查询数据库 用户名密码对: 记住用户名 跳转到首页 用户名密码不对: 提示相应错误。 session: 从`flas...
Request["userName"]作用
u013169758的专栏
10-23 962
string userName = Request["userName"].ToString();的作用是
Django Session与用户认证模块
热门推荐
CSDN
01-15 1万+
Django中的Session是一种在Web应用程序中跟踪用户状态的机制。它允许您在多个HTTP请求之间存储和检索用户特定的信息。Session通常用于跟踪用户的登录状态、存储用户首选项、购物车信息等。
Django 用户认证-Cookie和Session
搬砖小能手
10-05 720
Django 用户认证-Cookie和Session
[转载]关于requestsession详解
xyjikl
08-04 1万+
前面的话】 在网上经常看到有人对request.getSession(false)提出疑问,我第一次也很迷惑,看了一下J2EE1.3API,看一下官网是怎么解释的。  【官方解释】  getSession  public HttpSessiongetSession(boolean create) Returns the current HttpSessionassociated with
Djangosession 验证机制也可以做到前后端的完全分离
cpxsxn的博客
11-03 2492
Djangosession 验证机制也可以做到,前后端的完全分离。从回答下面的问题,引出咱们的正题。 Django 整个认证过程中,从后端到前端, session id是怎么被触发写入cookie 的? 后端代码调用 response.set_cookie() 就会在响应头里写 Set-Cookie: sessionid=xxxx;Max-Age=1209600;Path=/ , 浏览器...
Django之全局使用request.user.username示例代码
Quincy.Coder的博客
10-11 7674
def pro_mgr(): """ 获取当前登陆用户的项目 :return: """ if DEVELOP_USER_NAME == 'admin': return Project.objects.all() return Project.objects.filter(prj
django判断用户是否登录:cookie与session校验机制
yhn1992的博客
01-31 3765
登录流程: 1. http请求是无状态的: 前端用户可以发起很多url请求,那么服务器如何区分哪个请求对应哪个用户呢?前端请求是独立的,服务器从理论上来说是无法区分哪个请求是哪个用户的,所以出现了cookie和session机制。 2.怎样让服务器区分接收的url请求是哪个用户的? 向url请求头/参数中添加 username和password都是不安全的。可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值