session 修改密码python_django项目中用户密码更改后的会话失效解决方法

最新推荐文章于 2021-03-15 15:12:58 发布
最新推荐文章于 2021-03-15 15:12:58 发布
阅读量340 收藏 1
点赞数
文章标签: session 修改密码python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39949954/article/details/111444267
版权
在Django项目中,修改用户密码会导致原有会话失效,为避免用户被迫重新登录,可以通过更新会话认证哈希来解决。Django的`update_session_auth_hash`函数可以在密码修改后更新会话,确保用户体验。本文介绍了如何在密码变更视图中使用此函数以保持用户会话有效。
摘要由CSDN通过智能技术生成

由于修改用户密码是在用户登录后进行的。但是当我完成这个功能后,发现密码一旦修改成功。在刷新的时候,会发现当前登录用户就变成空的了。这是由于密码修改后,原来的会话失效,可以重新到登录界面重新登录,这样可以解决这个问题,但是会影响用户体验。查阅文档https://segmentfault.com/a/1190000003784601,是有专门的解决方法。

这种保护只在MIDDLEWARE_CLASSES中SessionAuthenticationMiddleware开启的情况下应用。如果settings.py由Django ≥ 1.7的startproject生成,它会被包含进来。

在Django 2.0中,会话验证会变成强制性的, 无论是否开启了SessionAuthenticationMiddleware 。 如果你拥有一个1.7之前的项目,或者使用不包含SessionAuthenticationMiddleware的模板生成的项目,考虑在阅读下面的升级说明之后开启它。

如果你的AUTH_USER_MODEL继承自AbstractBaseUser,或者实现了它自己的get_session_auth_hash()方法,验证后的会话会包含这个函数返回的哈希值。在AbstractBaseUser的情况中,这是密码字段的HMAC。如果开启了SessionAuthenticationMiddleware ,Django会验证每个请求带有的哈希值是否匹配服务端计算出来的哈希值。这允许用户通过修改密码来登出所有的会话。

Django中包含的默认的密码修改视图,以及django.contrib.auth中的 django.contrib.auth.views.password_change()和user_change_password视图 ,会使用新的密码哈希值升级会话,以便用户在修改密码是不会登出。如果你拥有自定义的密码修改视图,并且希望具有相似的行为,使用这个函数:

update_session_auth_hash(_request_, _user_)

这个函数接受当前请求,并且会在会话哈希值得到的地方升级用户对象,也会适当地升级会话哈希值。使用示例:

from django.contrib.auth import update_session_auth_hash

def password_change(request):

if request.method == 'POST':

form = PasswordChangeForm(user=request.user, data=request.POST)

if form.is_valid():

form.save()

update_session_auth_hash(request, form.user)

else:

...

如果你在升级一个现存的站点,并且希望开启这一中间件,而不希望你的所有用户之后重新登录,你可以首先升级到DJango1.7并且运行它一段时间,以便所有会话在用户登录时自然被创建,它们包含上面描述的会话哈希。一旦你使用SessionAuthenticationMiddleware开始运行你的站点,任何没有登录并且会话使用验证哈希值升级过的用户的现有会话都会失效,并且需要重新登录。

注意

虽然get_session_auth_hash()给予SECRET_KEY,使用新的私钥升级你的站点会使所有现有会话失效。

如下,是我项目中的代码截图:

from django.contrib.auth import update_session_auth_hash

class ChangePasswordView(FormView):

def change_password(request):

user = request.user # 获取当前登录用户是哪个用户

oldpassword = request.POST.get('a') # 获得前端传过来的旧密码

newpassword = request.POST.get('b') # 获得前端传过来的新密码

if user.check_password(oldpassword): # 判断前端传过来的密码是否正确,如果正确,返回一个值

user.set_password(newpassword) # 把前端输入的新密码加密放进数据库里面

user.save()

update_session_auth_hash(request,user) # 更新session,因为原来的session存放的是旧密码

context={'a':'a'}

return JsonResponse(context)

else:

context={'b':'b'}

return JsonResponse(context)

weixin_39949954
关注
thinkphp6使用session设置无效问题的解决及注意事项
企业级技术与网站app运营
05-21 1771
相对于5.x版本,6.x版本的代码更加精简,剥离了很多功能模块,如果要使用这些功能模块,需要加载额外的类库或者自己接管相应的流程进行处理。所以,笔者不建议把已经稳定运行的项目升级为了thinkphp6.0版本,官方没有提供自动化升级方案,因为差别的东西还是比较多,仅仅提供了升级指导,很多流程需要手动去进行升级。让人如果是多应用项目,仅仅想让session应用到某个应用,可以在对应的应用的间件开启。里面就包含了当前会话保存的两个session值,一个是上面演示的key,一个是另外写入的vcode。
python关闭浏览器删除session_Django操作session方法
weixin_42348363的博客
01-29 1059
session是存放在服务端的,在django使用session必须要先在数据库创建django_session表,session相关信息都要依赖此表获取sessionrequest.session['status']request.session.get('status')#一般用get,无此键返回None不报错设置session#在使用session之前必须在数据库创建相关的表(djang...
mysql8忘记密码操作
ITBLOG
09-23 271
环境centos7,软件mysql8,如果忘记密码,需要进行已下操作: 1.在/ect/my.cnf添加skip-grant-tables 2.重启mysqld服务:systemctl restart mysqld 3.以无密码方式登录mysql:mysql -uroot 4.修改登陆密码为空:uptate mysql.user set authentication_string='' where user='root' 5.注释掉加在my.cnf里的跳过权限表命令 6.重启mysqld服务:s
session 修改密码python_django用户密码更改后注销
weixin_31999597的博客
01-30 203
我对Django用户更改密码有问题——我在Django建立了几个生产站点,大约一年(或1.8年)没有,但我不记得以前有过这个问题。摘要当用户更改密码时,该用户将注销,但密码已成功更改。详细信息我有一个允许用户更改密码的视图,我使用的是标准的django表单和auth框架,并且强调:更改密码是有效的,它只是将用户注销,以便他们必须再次登录。实际上我并不介意这样,我更希望用户通过消息更新重定向到他们...
django项目用户密码更改后的会话失效解决方法
weixin_33794672的博客
08-17 405
2019独角兽企业重金招聘Python工程师标准>>> ...
Django Session和Cookie分别实现记住用户登录状态操作
09-16
Django框架,有两种主要方法可以实现这一功能:Django Session和Cookie。理解这两者的工作原理和如何在Django使用它们至关重要。 首先,让我们深入了解Cookie。Cookie是由服务器发送到用户浏览器的一小段数据...
python session过期_session的工作原理、django的超时时间设置及session过期判断
weixin_31124869的博客
01-28 1315
1、session原理cookie是保存在用户浏览器端的键值对session是保存在服务器端的键值对session服务端存在的数据为: session = {随机字符串1:{用户1的相关信息}随机字符串2:{用户2的相关信息}} session客户端即客户端的浏览器的cookie存的数据是当前用户对应的随机字符串2、session详细解析(是否过期、失效时间)Session一直是我们做we...
Django使用session保持用户登陆连接的例子
09-18
Django提供了request.session.flush()方法,这个方法会清除当前会话的所有数据,并且使cookie失效。使用flush()是一种安全的做法,因为它可以保证不会遗留下任何会话的私有数据。如果不使用flush()方法,还可以...
Django源码分析之权限系统_擒贼先擒王
weixin_34138056的博客
05-13 255
乍见 Django内置的权限系统已经很完善了,加上django-guardian提供的功能,基本上能满足大部分的权限需求。暂且不说django-guardian,我们先来看下Django内置的权限系统:django.contrib.auth 包。 相识 一般权限系统分为全局权限和对象权限。Django只提供了一个对象权限的框架,具体实现由第三方库dja...
django有关用户的操作
你呢的博客
06-28 1045
1、创建用户 from django.contrib.auth.models import User user = User.objects.create_user('用户名','邮箱','密码') 2、修改密码 user.set_password('新密码') user.save() 3、用户验证 用来验证是否有该数据,认证通过则返回一个User类对象,一项都没通过...
Django密码操作
实践求真知
12-23 1021
一 关于密码操作的思维导图 二 修改密码内置函数源码 @sensitive_post_parameters() @csrf_protect @login_required @deprecate_current_app def password_change(request, # 修改密码模板默认位置 temp...
解决报错:Session为空(未将对象引用设置到对象的实例)
热门推荐
fangzilixia的专栏
03-17 1万+
项目不能使用session ,断点调试也显示session为空,不知道从何入手,网上的资料查了都不符合要求,系统仍旧跑不起,真是要烦躁死。 后来问了下同事。 问题出现在web.config,里面有个默认的sessionState ,写法如下 当sessionstate写成这样时,是可以在本地保存session的,就可
关于django用户登录session记录
jereying的博客
03-15 1638
Session : 一个用户登录了进来,但是电脑突然没电了,当他重新打开电脑登录页面时,是不是需要让系统记住他刚刚已经登录过了呢?这里要引进一个session的概念。 在项目Django默认情况下会将session的一个类所对应数据存到django_session,类名为django.contrib.session.Model.Sessiondjango系统这样做,admin就可以很方便查看到用户登录的各种信息。 session相关配置 只有当配置文件SessionMiddleware激活的时
python如何解析django_sessionsession_data数据
最新发布
09-07
如果你需要直接从数据库查询或解析`session_data`字段,需要先了解该字段存储的是序列化后的数据,通常是pickle序列化的Python对象。 要解析`session_data`,你可以按照以下步骤操作: 1. 从数据库获取`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值