DRF实战2 - 管理员登录

最新推荐文章于 2024-02-28 21:24:08 发布
最新推荐文章于 2024-02-28 21:24:08 发布
阅读量1.4k 收藏 6
点赞数 1
分类专栏: python DRF实战 DRF学习 文章标签: django python session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44663889/article/details/113428495
版权

2 - 管理员登录

后台管理中我们首先需要完成登录功能,我们可以通过改写美多表单登录来完成相应的功能。

login

在后台登录中,由于我们前端服务和后端服务的域名不一样,所以我们首先解决跨域问题。在登录后的状态保持我们采用了JWT的方式

2.1.浏览器的同源策略

1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。

同源策略是浏览器的一个安全功能,不同源的客户端脚本(js文件)在没有明确授权的情况下,不能读写对方资源。只有同一个源的脚本赋予dom、读写cookie、session、ajax等操作的权限。

url由协议、域名、端口和路径组成,如果两个url的协议、域名和端口相同,则这两个url是同源的。

举例来说,http://www.example.com/dir/page.html这个网址,协议是http://,域名是www.example.com,端口是80(默认端口可以省略)。它的同源情况如下。

url 是否同源 原因
http://www.example.com/dir2/other.html 协议、端口、主机相同
https://example.com/dir/other.html 不同的协议(https)
http://www.example.com:81 端口不同(81)
http://news.example.com/ 域名不同

同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。

设想这样一种情况:A网站是一家银行,用户登录以后,又去浏览其他网站。如果其他网站可以读取A网站的 Cookie,会发生什么?

很显然,如果 Cookie 包含隐私(比如存款总额),这些信息就会泄漏。更可怕的是,Cookie 往往用来保存用户的登录状态,如果用户没有退出登录,其他网站就可以冒充用户,为所欲为。因为浏览器同时还规定,提交表单不受同源政策的限制。

由此可见,"同源政策"是必需的,否则 Cookie 可以共享,互联网就毫无安全可言了。

2.2.跨域CORS

我们的前端和后端分别是两个不同的端口

位置 域名
前端服务 127.0.0.1:8080
后端服务 127.0.0.1:8000

cors

现在,前端与后端分别是不同的端口,这就涉及到跨域访问数据的问题,因为浏览器的同源策略,默认是不支持两个不同域名间相互访问数据,而我们需要在两个域名间相互传递数据,这时我们就要为后端添加跨域访问的支持。

我们使用django-cors-headers来解决后端对跨域访问的支持。

使用django-cors-headers扩展

参考文档https://github.com/ottoyiu/django-cors-headers/

安装
pip install django-cors-headers
添加应用
INSTALLED_APPS = (
    ...
    'corsheaders',
    ...
)
中间层设置
MIDDLEWARE = [
    'corsheaders.middleware.CorsMiddleware',
    ...
]
添加白名单
# CORS
CORS_ORIGIN_WHITELIST = (
    '127.0.0.1:8080',
    'localhost:8080',
)
CORS_ALLOW_CREDENTIALS = True  # 允许携带cookie
  • 凡是出现在白名单中的域名,都可以访问后端接口
  • CORS_ALLOW_CREDENTIALS 指明在跨域访问中,后端是否支持对cookie的操作。

跨域实现流程为

1、浏览器会第一次先发送options请求询问后端是否允许跨域,后端查询白名单中是否有这两个域名

2、如过域名在白名单中则在响应结果中告知浏览器允许跨域

3、浏览器第二次发送post请求,携带用户登录数据到后端,完成登录验证操作

op

post

2.3.JWT的原理和构成

JWT

在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。

什么是JWT

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

起源

说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别。

基于session认证认证

我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还

最低0.47元/天 解锁文章
不知如何
关注
专栏目录
DRF框架之认证、授权和登录
graceljh的博客
12-10 1610
一、认证 1.Browsable API页面认证与JWT认证比较 1.Browsable API页面认证 指定permission_classes 添加rest_framework.urls路由 2.Json Web Token认证 最常用的认证方式 Session认证 Token认证 Session认证 保存在服务端,增加服务器开销 分布式架构中,难以维持Session会话同步 CSRF攻击风险 Token认证 保存在客户端 跨语言、跨平台 拓展性强 鉴权性能高 JWT 由三部分组成 header、pla
DRF】用户注册登录及JWT
weixin_30814223的博客
07-09 2838
前言 在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP是无状态的协议,当我们通过帐号密码验证一个用户时,下一个request请求时就把刚刚的用户忘了。于是我们就无法确认该用户的情况,就要再验证一次。所以为了保证系统安全,我们就需要验证用户否处于登录状态。 传统方式 前后端分离通过Restful API进行数据交互时,如何验证用户的登录信息及权限。在原来的项目中,使用的是最传统也是最简单的...
DRF实现多账号的登录
weixin_51445771的博客
06-24 325
django内置的用户认证方式是支持用户名和密码,而实际的项目开发中,登录方式往往不止一种,因此,需要重写用户认证类,指明新的认证方式 django 官方文档 自定义身份认证类 utils/auth.py,在项目中创建一个文件,自定义认证类 from django.contrib.auth.backends import ModelBackend from django.contrib.auth.hashers import check_password from django.db.mo..
DRF实现多方式登录
weixin_47035302的博客
05-30 296
实现多方式登录
DRF基于jwt实现后端登录认证
最新发布
m0_61810345的博客
02-28 1288
Django认证系统中提供的用户模型类及方法很方便,我们可以使用这个模型类,但是字段有些无法满足项目需求,如本项目中需要保存用户的手机号,需要给模型类添加额外的字段。Django提供了用户抽象模型类允许我们继承,扩展字段来使用Django认证系统的用户模型类。我们可以在apps中创建Django应用,并在配置文件中注册应用。在创建好的应用models.py中定义用户的用户模型类。
drf的token登录
llf_cloud的博客
05-17 437
settings.py INSTALLED_APPS = [ ... 'rest_framework.authtoken' ] REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework.authentication.BasicAuthentication', 'rest_framework.authentication.SessionAuthentication',
drf-social-oauth2
05-04
DRF社交OAuth2 该模块为Django REST Framework中的应用程序提供OAuth2社交身份验证支持。 该软件包的目的是帮助为您的REST API设置社交身份验证。 它还有助于设置OAuth2提供程序。 该软件包依赖于和 。 如果您想...
drf-writable-nested:适用于Django REST Framework的可写嵌套模型序列化器
04-29
DRF可写嵌套 ...pip install drf-writable-nested 用法 例如,对于以下模型结构: from django . db import models class Site ( models . Model ): url = models . CharField ( max_length = 100 ) clas
Python库 | drf_spectacular-0.9.4-py2.py3-none-any.whl
03-29
资源分类:Python库 所属语言:Python 资源全名:drf_spectacular-0.9.4-py2.py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
drf-action-serializer:Django Rest框架的序列化器,支持字段的每个操作序列化
02-06
2. `example`目录:可能包含示例项目或代码,展示了如何在实际应用中使用`drf-action-serializer`。 3. `tests`目录:测试用例,验证库的正确性和功能完整性。 4. `README.md`:项目说明文档,介绍如何安装和使用该...
DRF 商城项目 - 用户( 登录, 注册,登出,个人中心 ) 逻辑梳理
weixin_34268843的博客
04-17 581
用户登录 自定义用户登录字段处理 用户的登录时通过 手机号也可以进行登录 需要重写登录验证逻辑 from django.contrib.auth.backends import ModelBackend class CustomBackend(ModelBackend): def authenticate(self, username=None, password=...
Django DRF 登录、注册、分页后端功能实现
老师好,我是安同学
06-11 4039
Django DRF 登录、注册、分页后端功能实现 DRF框架简介 drfdjango框架的一个插件,所以要先安装django; 安装命令:pip3 install djangorestframework 使用drf时,要在settings中注册 1、注册功能 – 实例 --在生活中的实例 创建模型 用于注册和登录使用 # 在 model.py 中创建模型(表) 以User为例 from django.db import models class User(models.M
DRF实战---手机登录和注册
huotong
06-08 3092
手机登录和注册 1.首先我们需要在settings中配置Session https://www.django-rest-framework.org/api-guide/authentication/ 2.配置TokenAuthentication INSTALLED_APPS = ( ... 'rest_framework.authtoken' ) 执行数据库操作 1.ma...
DRF框架登录功能自定义认证和自定义的处理返回数据
GGBond的博客
06-18 2522
1.在users模块创建utils.py,通过这个方法验证是否为正确的用户 from django.contrib.auth.backends import ModelBackend import re from . import models class UserPhoneEmail(ModelBackend): ''' 当前的类是用来定义自定义的认证方法 ''' ...
DRF
weixin_30278311的博客
07-09 604
1. Web应用模式 在开发Web应用中,有两种应用模式: 前后端不分离 前后端分离 2. api接口 为了在团队内部形成共识、防止个人习惯差异引起的混乱,我们需要找到一种大家都觉得很好的接口实现规范,而且这种规范能够让后端写的接口,用途一目了然,减少双方之间的合作成本。 目前市面上大部分公司开发人员使用的接口服务架构主要有:restful、rpc。 rpc: 翻译成中文:远程过程调用...
【10.0】DRF登录认证和权限频率组件
Chimengmeng的博客
07-31 123
【准备数据】 from django.db import models # Create your models here. class UserInfo(models.Model): name = models.CharField(max_length=32) password = models.CharField(max_length=64) class UserTo...
Django DRF认证组件token判断用户登录状态
weixin_30906425的博客
12-10 509
做这件事,需要两张表,一张存token值,一张存用户信息,详细看表 from django.db import models # Create your models here. class UserAuth(object): def authenticate_header(self, request): pass def auth...
DRF登录认证组件
weixin_33698043的博客
12-13 1052
DRF登录认证组件 1.写一个登录认证类(类名随意,类中的方法名固定) from app01 import models from rest_framework import exceptions from rest_framework.authentication import BaseAuthentication class Auth(BaseAuthentication): d...
DRF学习之第三方登录的实现(十六)
weixin_43527478的博客
04-14 491
1.包的安装 2.配置settings文件 向INSTALLED_APPS中加入下述代码 'social_django' 增加微博与qq的backends AUTHENTICATION_BACKENDS = ( 'users.views.CustomBackend', 'social_core.backends.weibo.WeiboOAuth2', 'social_c...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值