CSRF auth认证

已于 2023-09-20 13:35:00 修改
阅读量38 收藏
点赞数
分类专栏: Python 文章标签: csrf 中间件 python django
于 2022-05-26 01:13:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45925028/article/details/130960813
版权

csrf相关装饰器

from django.views.decorators.csrf import csrf_exempt,csrf_protect
"""
csrf_exempt 
    忽略csrf校验
csrf_protect
    开启csrf校验
"""
# 针对FBV
@csrf_protect\@csrf_exempt
def login(request):
    return render(request,'login.html')

# 针对CBV
csrf_protect 三种CBV添加装饰器的方式都可以
csrf_exempt  只有一种方式可以生效(给重写的dispatch方法装)

基于中间件思想编写项目

importlib模块
    可以通过字符串的形式导入模块
# 常规导入方式from ccc import bprint(b)  # <module 'ccc.b' from '/Users/jiboyuan/PycharmProjects/day61_1/ccc/b.py'>print(b.name)
# 字符串导入方式import importlibmodule_path = 'ccc.b'res = importlib.import_module(module_path)print(res.name)

from ccc.b import name  # 可以直接导变量数据
import importlib
module_path = 'ccc.b.name'
importlib.import_module(module_path)  # 不可以 最小导入单位是模块文件级别


'''以发送提示信息为需求 编写功能'''
方式1:封装成函数
方式2:封装成配置
import settings
import importlib
def send_all(msg):
    # 1.循环获取配置文件中字符串信息
    for str_path in settings.NOTIFY_FUNC_LIST:  # 'notify.email.Email'
        # 2.切割路径信息
        module_path, class_str_name = str_path.rsplit('.', maxsplit=1)  # ['notify.email','Email']
        # 3.根据module_path导入模块文件
        module = importlib.import_module(module_path)
        # 4.利用反射获取模块文件中对应的类名
        class_name = getattr(module, class_str_name)  # Email  Msg  QQ
        # 5.实例化
        obj = class_name()
        # 6.调用发送消息的功能
        obj.send(msg)

auth认证模块

# django提供给你快速完成用户相关功能的模块
    用户相关功能:创建、认证、编辑...
# django也配套提供了一张'用户表'
    执行数据库迁移命令之后默认产生的auth_user
# django自带的admin后台管理用户登录参考的就是auth_user表
    创建admin后台管理员用户:run manage.py task>>:createsuperuser
    自动对用户密码进行加密处理并保存

auth模块方法大全

from django.contrib import auth
# 1.验证用户名和密码是否正确
    auth.authenticate()
# 2.保存用户登录状态
    auth.login()
# 3.获取当前用户对象
    request.user
# 4.判断当前用户是否登录
    request.user.is_authenticated()
# 5.校验登录装饰器
    from django.contrib.auth.decorators import login_required
    @login_required(login_url='/lg/')  # 局部配置
    @login_required  # 全局配置
    LOGIN_URL = '/lg/'  # 需要在配置文件中添加配置
# 6.修改密码
    request.user.check_password() 
  
  request.user.set_password()
  request.user.save()
# 7.注销登录
  auth.logout(request)
# 8.注册用户
  from django.contrib.auth.models import User
  User.objects.create_superuser()
  User.objects.create_suser()

auth扩展表字段

# 方式1:编写一对一表关系(了解)
# 方式2:类继承(推荐)
from django.contrib.auth.models import AbstractUser
class Users(AbstractUser):
    # 编写AbstractUser类中没有的字段 不能冲突!!!
    phone = models.BigIntegerField()
    addr = models.CharField(max_length=32)

AUTH_USER_MODEL = 'app01.Users'
"""
1.类继承之后 需要重新执行数据库迁移命令 并且库里面是第一次操作才可以
2.auth模块所有的方法都可以直接在自定义模型类上面使用
    自动切换参照表
"""
ps:课下可以先继承表 之后才练习auth所有的方法
Lamb!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
csrfauth模块
Yietong的博客
09-13 456
1. 首先大前提是没有生成 auth_user 表(也就是没进行数据库迁移操作)(有的话需要删干净迁移记录和表)2. 书写一个类, 并继承 AbstractUser 类3. 在类中可以书写你需要扩展的字段, 也可以重写原来的字段username=models.CharField(max_length=12) # 重写字段phone=models.CharField(max_length=32) # 书写新字段。
详解DjangoCSRF认证
钉子
09-24 348
1.csrf原理 csrf要求发送post,put或delete请求的时候,是先以get方式发送请求,服务端响应时会分配一个随机字符串给客户端,客户端第二次发送post,put或delete请求时携带上次分配的随机字符串到服务端进行校验 2.Django中的CSRF中间件 首先,我们知道Django中间件作用于整个项目。 在一个项目中,如果想对全局所有视图函数或视图类起作用时,就可以在...
django中间件 csrf auth认证
weixin_30613433的博客
06-24 110
django中间件 能做全局访问频率限制,身份校验,黑名单,白名单 用法: 新建一个文件夹,文件夹新建一个py文件,文件中写如下代码 注意点:你写的类必须继续MiddlewareMixin from django.utils.deprecation import Middleware...
中间件&csrf&auth认证
我不会玩csdn,我兄弟没面子。
04-24 498
django 中间件 web服务网关接口: WSGI 是一种协议。 wsgiref 与uwsgi都是基于WSGI协议的一种web服务网关接口。 django中间件: 默认有七个中间键: 请求来的时候依次执行process_request方法 请求走的时候依次执行process——response方法 django中间件:全局访问频率限制,身份校验,黑名单、白名单 django中间键会依次从上往下走...
五十一、csrf跨站请求伪造和auth认证模块
weixin_68531269的博客
09-13 377
csrf跨站请求伪造和auth认证模块一 csrf操作二 在form表单中设置csrf三 ajax设置csrfcsrf相关装饰器五 auth认证模块5.1 auth模块常见功能5.2 auth_user表切换六 一 csrf操作 <h1>这是假的网页</h1> <form action="http://127.0.0.1:8000/bank/" method="post"> <p>用户名: <input type="text"
CSRF操作于Auth认证模块(Auth_user表切换|中间件设计项目功能)
主要发布一些日常学习代码及理解
09-13 407
详细介绍了CSRF跨站请求伪造|CSRF解决伪造|CSRF相关装饰器|Auth-user表操作认证Auth-user表切换|中间件拔插式设计
Djangocsrfauth模块操作
weixin_52596593的博客
09-13 323
auth模块是强大的django自带的一个用户认证模块,我们在开发网站的时候不可避免的需要用到用户的登录、注册等功能有了auth模块可以给我们带来更快的编写功能,django在执行数据库迁移命令后会产生一个auth_user表配合auth模块做用户认证,该表还是django admin后台管理默认的表# admin后台管理员账号创建。
Django安全认证机制CSRF
ssshey的博客
07-07 986
Django安全认证机制CSRF
详解DjangoCSRF认证实现
zcg359670476的博客
12-16 323
什么是 CSRF CSRF, Cross Site Request Forgery, 跨站点伪造请求。举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接时,就会向你的网站发来一个请求,你的网站会以为这个请求是用户自己发来的,其实呢,这个请求是那个恶意网站伪造的。 1.csrf原理 csrf要求发送post,put...
Django CSRF认证的几种解决方案
09-17
主要介绍了Django CSRF认证的几种解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Django使用中间键实现csrf认证详解
09-19
主要介绍了Django使用中间键实现csrf认证详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
安全测试 之 安全漏洞 CSRF
Orange_hhh的博客
06-03 364
CSRF(Cross-Site Request Forgery),中文名为“跨站请求伪造”,是一种网络攻击方式,它利用用户已经登录的Web应用程序,通过伪造一个请求,执行非用户意愿的操作。这种攻击通常发生在用户已经登录网站A的情况下,攻击者通过网站B构造一个精心设计的链接或表单,诱使用户点击或提交,从而在用户不知情的情况下,利用其在网站A的登录凭证执行操作,比如转账、更改密码等。
django中,出现CSRF verification failed. Request aborted.错误
Qj60776671的博客
05-31 282
出现CSRF verification failed. Request aborted.错误
CSRF 令牌的生成过程和检查过程
最新发布
u010674101的专栏
06-06 661
Django 中,CSRF 令牌的生成和检查过程是通过 DjangoCSRF 中间件 () 和模板标签 () 自动处理的。
DVWA-CSRF
weixin_45436292的博客
06-01 986
观察后端代码,只要password_new等于password_conf就可以修改密码。由于这两个参数是通过GET传递的,所以直接构造payload。这种URL可能会被发现意图,所以我们可以将它转换为短链接。
Web前端安全问题分类综合以及XSS、CSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识
JINGWHALE
06-06 773
本文介绍了Web前端安全问题分类综合以及XSS、CSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识。Web前端作为与用户直接交互的界面,其安全性问题直接关系到用户体验和数据安全。近年来,随着前端技术的快速发展,Web前端安全问题也日益凸显。因此,加强生产安全意识,深入理解并防范前端安全问题,对于保障整个Web应用的安全性至关重要。
速率限制中间件AspNetCoreRateLimit
A_nanda的博客
06-03 952
如果客户端每秒发出 3 个请求,并且您设置了每秒 个呼叫的限制,则其他限制(如每分钟或每天计数器)将仅记录第一个呼叫,即未被阻止的呼叫。如果设置为 ,则限制将应用于每个端点,如 中所示。例如,如果设置为每秒 5 次调用的限制,则客户端可以每秒调用 5 次,但也可以调用 5 次。当您的 Kestrel 服务器位于反向代理后面时,用于提取客户端 IP,如果您的代理使用不同的标头,则使用此选项进行设置。在常规规则中搜索匹配项,如果匹配的常规规则具有 IP 规则中不存在的已定义时间段,则也会使用此常规规则。
spring boot auth2 认证流程源码
06-03
Spring Boot提供了Spring Security来实现OAuth2认证,下面是Spring Boot OAuth2认证过程的简要流程: 1. 用户访问客户端,客户端需要获取用户授权,重定向到授权服务器的授权页面; 2. 用户在授权页面输入账号密码并授权,授权服务器验证用户身份并返回授权码; 3. 客户端使用授权码向授权服务器请求访问令牌; 4. 授权服务器验证授权码并颁发访问令牌; 5. 客户端使用访问令牌向资源服务器请求数据。 下面是Spring Boot OAuth2认证的源码实现: 1. 导入OAuth2依赖 ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.security.oauth.boot</groupId> <artifactId>spring-security-oauth2-autoconfigure</artifactId> <version>2.1.0.RELEASE</version> </dependency> ``` 2. 配置授权服务器 ```java @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Autowired private AuthenticationManager authenticationManager; @Autowired private UserDetailsService userDetailsService; @Autowired private DataSource dataSource; @Autowired private PasswordEncoder passwordEncoder; @Bean public TokenStore tokenStore() { return new JdbcTokenStore(dataSource); } @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.jdbc(dataSource) .withClient("client") .secret(passwordEncoder.encode("secret")) .authorizedGrantTypes("password", "refresh_token") .scopes("read", "write") .accessTokenValiditySeconds(1800) .refreshTokenValiditySeconds(3600); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.tokenStore(tokenStore()) .authenticationManager(authenticationManager) .userDetailsService(userDetailsService); } } ``` 3. 配置资源服务器 ```java @Configuration @EnableResourceServer public class ResourceServerConfig extends ResourceServerConfigurerAdapter { @Override public void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/api/**").authenticated() .and().csrf().disable(); } } ``` 4. 配置安全认证 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Autowired private PasswordEncoder passwordEncoder; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService) .passwordEncoder(passwordEncoder); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .anyRequest().authenticated() .and().formLogin().permitAll(); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 以上是Spring Boot OAuth2认证的简要流程和源码实现,具体的实现细节可以参考Spring官方文档和源码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lamb!

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值