Django之csrf与auth模块操作

最新推荐文章于 2024-11-03 13:50:49 发布
最新推荐文章于 2024-11-03 13:50:49 发布
阅读量359 收藏
点赞数 1
分类专栏: Django 文章标签: django csrf python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52596593/article/details/126841517
版权
本文探讨了CSRF的概念、Django中如何通过中间件与表单处理CSRF校验,以及使用Ajax时的验证方法。还介绍了auth模块在用户认证中的角色,包括用户创建、验证和登录装饰器的使用。最后,详解了不同情况下如何在视图中应用csrf_protect和csrf_exempt,以及auth_user表的扩展和切换。
摘要由CSDN通过智能技术生成

csrf简介与策略

        为了避免钓鱼网站的漏洞,csrf要求发送请求的时候服务端响应时会分配一个随机字符串给客户端,当客户端第二次发送请求的时候携带上一次分配到的随机字符串到服务端进行校验

1.CSRF中间件

        django中间件作用于整个项目,CSRF校验就是django中间件的其中之一对全局的所以视图函数或视图类起作用如果将其注释的话则就是所有的都不校验

2.form表单请求

        form请求的CSRF校验只需加一个模版语法即可通过校验,也是最简单的一种使用方法语法格式如下:

<form action="" method"post">
    {% csrf_token %} <!-- 模版语法-->
</form>

3.Ajax请求

        Ajax请求也需要用CSRF来校验,方式有多种

方式一:

<!--方式1-->
{% csrf_token %}
<button id="d1">Ajax请求</button>
<script>
    $('#d1').click(function () {
        $.ajax({
            url:'',
            type:'post',
            // 先编写csrf模版语法 在利用标签查找和值获取
            data:{'username':'haha','csrfmiddlewaretoken':$('[name="csrfmifflewaretoken"]').val()},
            success:function (args){

            }
        }
            
    }

方式二:

<!--方式2-->
<button id="d1">Ajax请求</button>
<script>
    $('#d1').click(function () {
        $.ajax({
            url:'',
            type:'post',
            // 直接利用模版语法即可 引号不能省
            data:{'username':'haha','csrfmiddlewaretoken':'{{csrf_token }}'},
            success:function (args){

            }
        }
            
    }

方式三:

        方式三是一种通用的方法需要编写js,先创建静态文件夹(在django配置文件中配置一下静态文件路径)再创建js文件,js代码无需我们自己编写官方就已经提供了

<!--在网页中引入编写好的js文件-->
<script scr="/static/csrf.js"></script>
function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');

function csrfSafeMethod(method) {
  // these HTTP methods do not require CSRF protection
  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}

$.ajaxSetup({
  beforeSend: function (xhr, settings) {
    if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
      xhr.setRequestHeader("X-CSRFToken", csrftoken);
    }
  }
});

CBV添加装饰器方法

        有时候我们需要针对性的对几个请求需要校验几个不需要,如果靠通过注释中间件的话会导致其所有的统一不校验或者统一全部校验,在FBV与CBV中具体的方式有所不同

1.针对FBV中的校验

\bullet  csrf_protect:校验csrf

\bullet  csrf_exempt:不校验csrf

# 第一步需要先导包
from django.view.decorators.csrf import ccsrf_protect,csrf_exempt

# 用法很简单针对是否需要校验在函数上面加上装饰器即可
# 如果注释了CSRF中间件又想校验下面函数需要加装饰器
@csrf_protect
def login(request):
    return HttpResponse('登陆')


# 如果没有注释CSRF中间件又不想校验下面函数需要加装饰器
@csrf_exempt
def login(request):
    return HttpResponse('登陆')

2.针对CBV中的校验

        针对CBV我们不能直接在类上面直接加装饰器 需要借助专门给CBV添加装饰器的方法同时也有好几种不同的方法:

方式一:

        通过给CBV添加装饰器的方法直接在方法上指名道姓的添加,这种方式只能用于添加csrf_protect对csrf_exempt无效

class MyHome(views.View):
    def get(self,request):
        return HttpResponse('Get')

    @method_decorator(csrf_protect) # 校验post方法
    def post(self,request):
        return HttpResponse('Post')

方式二:

        在定义类上面提前添加好那些方法需要校验,这个方式同样也不能用来添加csrf_exempt

@method_decorator(csrf_protect,name='post') # 提前指定
class MyHome(views.View):
    def get(self,request):
        return HttpResponse('Get')

    def post(self,request):
        return HttpResponse('Post')

方式三:

        直接影响类中所有的方法同时支持csrf_protect与csrf_exempt

class MyHome(views.View):
    # @method_decorator(csrf_protect)
    @method_decorator(csrf_exempt)
    def dispatch(self,request,*args,**kwargs):
        super(MyHome,self).dispatch(request,*args,**kwargs)

    def get(self,request):
        return HttpResponse('Get')

    def post(self,request):
        return HttpResponse('Post')

ps:针对csrf_exempt只有方式3有效,针对其他装饰器上述三种方式都有效

auth模块简介

        auth模块是强大的django自带的一个用户认证模块,我们在开发网站的时候不可避免的需要用到用户的登录、注册等功能有了auth模块可以给我们带来更快的编写功能,django在执行数据库迁移命令后会产生一个auth_user表配合auth模块做用户认证,该表还是django admin后台管理默认的表

# admin后台管理员账号创建
python manage.py createsuperuser

auth模块常见功能:

# 1.创建用户

from django.contrib.auth.models import User 
User.object.create_user(username,password)
# 注意创建管理员一定要加上邮箱
User.object.create.superuser(username,password,email)
from django.contrib import auth # 导入模块

# 校验用户名和密码是否正确 
auth.authenticate(request,username,password)
# 用户登录
auth.login(request,user_obj)
# 判断用户是否登录
request.user.is_authecticated
# 获取登录用户对象
rquest.user
# 校验密码是否正确
request.user.check_password(old_password)
# 修改密码
request.user.set_password(new_password)
# 修改完记得保存
request.user.save()
# 注销登录
auth.logout(request)

auth给我们提供了装饰器工具,用来快捷的给某个视图添加登录校验,如果用户没有登录则会跳转到django默认的URL '/accounts/login/ ',如果需要自定义登录的URL则需要在配置文件settings.py中通过LOGIN_URL进行修改

from django.contrib.auth.decorators import login_required

@login_required
def My_view(request):
    pass

# 跳转局部配置
login_request(login_url='/login/'
# 跳转全局配置
LOGIN_URL = '/login/'

auth_user表切换

# 1.models.py
	 from django.contrib.auth.models import AbstractUser

    class Userinfo(AbstractUser):
        '''扩展auth_user表中没有的字段'''
        phone = models.BigIntegerField()
        desc = models.TextField()
# 2.settings.py
	 AUTH_USER_MODEL = 'app01.Userinfo'
GG_Bonin
关注
专栏目录
Python Django框架防御CSRF攻击的方法分析
09-18
Python的Web开发框架Django中,CSRF(Cross-site request forgery,跨站请求伪造)是一种常见的安全威胁,它允许攻击者通过受害者在已登录的网站上的合法身份执行恶意操作。为了保护用户免受此类攻击,Django提供...
11.DjangoAuth模块
清风
03-23 1065
1.Auth模块 auth 用户认证模块 本质是设置session django执行ORM数据库迁移会在数据库中自动生成一个用户认证的表: auth_user, auth_user 存放用户的账户信息(用户名, 加密密码, 邮箱...) 0. 导入auth模块 from django.contrib import auth 1. auth.authenticate(request=None, **credentials): 检验账户密码 user_obj = auth.authenticate(r
ngrok验证auth_使用Auth0的CLI身份验证
weixin_26722031的博客
08-30 598
ngrok验证authAuthentication with an Identity as a Service provider, such as Auth0, is pretty straight forward in a web application, but we also want to provide the same convenient SSO experience for our...
H5网页使用支付宝授权登录获取用户信息详解
热门推荐
刺心的博客
06-09 2万+
用户信息授权 用户信息授权主要是为了获取支付宝用户ID(USER_ID)、授权令牌(access_token),便于开发者处理自身业务逻辑的时候使用,例如:获取支付宝用户信息、发会员卡、快捷登录等。授权支持多种场景,如:H5(需安装支付宝手机客户端)、PC、APP(可参考APP支付宝登录)。 PC授权页面示例: H5授权页面示例: 若要实现用户信息授权功能,请按照下面的步骤实现即可。 一、应用设置 您需要先去支付宝开放平台(open.alipay.com),在开发者中心创建登记您的应用,此时
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
**Django CSRF防护详解** CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者诱使用户在当前已登录的Web应用程序上执行非本意的操作。这种攻击通常通过伪装成用户的合法请求来实现,比如...
Django实现的自定义访问日志模块示例
09-21
Django 作为 Python 最流行的 Web 框架之一,虽然内置了一些日志功能,但默认情况下并未提供专门的访问日志模块。为了满足这一需求,我们可以利用 Django 的 Middleware 功能来自定义一个访问日志模块。 #### 一、...
Django小白教程之Django用户注册与登录
09-21
Django提供了`auth`模块,其中包括`authenticate`和`login`方法,用于验证用户并设置session。别忘了处理HTTP POST请求,并使用表单验证用户输入。 在`templates`目录下,创建`register.html`和`userlogin.html`...
django的一些文件
m0_68791463的博客
11-02 208
path('api-docs/', include_docs_urls(title='系统监控-API接口文档')),可以在接口文档页面提示,也可在序列化器模型上加。# 模块coreapi,只针对drf的接口文档。# 在每个类的里面直接加注释,就可以反馈到页面上。'''独立视图集,测试操作所有数据'''help_text='CPU使用率'# 接口文档相关配置。
Django ORM详解: model转字典的几种方法
xiaoming0018的博客
10-31 308
name = models.CharField(max_length=255, unique=True, verbose_name='组名称')create_time = models.DateTimeField(auto_now_add=True, verbose_name='创建时间')update_time = models.DateTimeField(auto_now=True, verbose_name='更新时间')
Django数据模型on_delete属性值
Wgq0731的博客
11-01 311
【代码】Django数据模型on_delete属性值。
Django学习-缓存
weixin_67852201的博客
10-30 356
当遇到这种查询慢的时候 ,我们就可以在查询完数据库的时候,将查询的结果存储到缓存中一份,下次查询的时候直接从缓存中获取,避免查询数据库耗费时间,当然需要设置一个过期时间,来更新缓存。Django中设置缓存-本地内存缓存(测试可以使用,正式都是存储到redis中)Django中设置缓存-文件系统缓存 (不建议使用)Django中设置缓存-数据库缓存。缓存的使用分为整体缓存和局部缓存。
django】RESTful API 设计指南
春天的波菜
11-01 1151
通过上述优化和改造,您的RESTful API设计将更加符合现代最佳实践,提高API的可用性、安全性和可维护性。希望这些建议对您有所帮助!如果有更具体的需求或问题,请随时告诉我。
Django中分组查询(annotate 和 aggregate 使用)
xiaoming0018的博客
10-31 1094
是用于聚合整个查询集的结果,通常用于返回一个值,例如计算查询集中所有结果的数量、平均值、最大值或最小值等。的作用是对数据库中每一行进行聚合操作,并返回一个新的查询集,通常用于计算每个分组的聚合值。到目前为止,我们只是在一个模型中进行各种数据查询操作,但聚合也能在不同模型(即不同数据库表)之间实现,比较简单的情况是一对一或外键关系。根据条件,只能对组的一部分进行聚合。,我们得到数据表进行聚合查询结果,这很有用,但我们还希望对指定的行应用此操作。键的名称是从字段的名称和查询函数的名称派生的,在本例中,键名是。
Django ORM详解:外键使用(外键逻辑关联)与查询优化
xiaoming0018的博客
10-31 781
Django 模型(Models)中定义外键关系,意味着两个表之间的链接关系。例如,我们有一个博客应用,其中有。
使用Django REST framework构建RESTful API
qq_36287830的博客
11-01 721
Django REST framework 是一个用于构建Web API的框架,它旨在使构建API变得简单和快速。DRF提供了许多强大的功能,如自动化的API浏览界面、序列化器、视图集、路由等。可以创建自定义视图来处理特定的业务逻辑。通过本文,你已经学习了如何使用Django REST framework构建RESTful API。
python/Django模型/数据库迁移/创建数据库表
ededabo的博客
10-28 436
Django应用的。Django模型/数据库迁移/创建数据库表
计算机毕业设计django+大模型租房推荐系统 租房可视化 租房大屏可视化 租房爬虫 spark 58同城租房爬虫 房源推荐系统
全网粉丝100W+、全栈领域优质创作者、B站、github、CSDN等社区技术专家、专注于高端精品毕业项目源码实战
11-01 1134
计算机毕业设计django+大模型租房推荐系统 租房可视化 租房大屏可视化 租房爬虫 spark 58同城租房爬虫 房源推荐系统
Django响应
最新发布
m0_68791463的博客
11-03 171
data只需传递Python的内建类型数据即可,如果是Django的模型类对象,那么就是用序列化数据(Python的字典数据)传递给data。HTTPResponse(content=响应体,content_type=响应体数据类型,status=状态码),是HTTPResponse的子类,适用于处理json格式的数据,但是不能返回模板。是Django rest-framework框架中封装好的响应对象。可以修改返回的数据类型,适用于返回图片,视频,音频等二进制文件。是由Django创造的,
利用 django auth 模块写一个登录和注册模块
06-06
好的,下面是基于 Django auth 模块的登录和注册模块的示例代码: ## 注册模块 ### 1. 创建注册页面 在 templates 目录下创建一个 register.html 文件,该文件包含一个表单,用户可以输入用户名和密码: ```html <!DOCTYPE html> <html> <head> <title>注册</title> </head> <body> <h2>注册</h2> <form method="post"> {% csrf_token %} {{ form.as_p }} <button type="submit">注册</button> </form> </body> </html> ``` ### 2. 创建注册视图 在 views.py 文件中创建一个 register 视图,该视图处理用户提交的注册表单,并将新用户保存到数据库中: ```python from django.shortcuts import render, redirect from django.contrib.auth.forms import UserCreationForm def register(request): if request.method == 'POST': form = UserCreationForm(request.POST) if form.is_valid(): form.save() return redirect('login') else: form = UserCreationForm() return render(request, 'register.html', {'form': form}) ``` 在上面的代码中,我们使用 Django 自带的 UserCreationForm 表单处理用户提交的注册表单。如果表单数据有效,我们将表单数据保存到数据库中,并将用户重定向到登录页面。 ## 登录模块 ### 1. 创建登录页面 在 templates 目录下创建一个 login.html 文件,该文件包含一个表单,用户可以输入用户名和密码: ```html <!DOCTYPE html> <html> <head> <title>登录</title> </head> <body> <h2>登录</h2> <form method="post"> {% csrf_token %} {{ form.as_p }} <button type="submit">登录</button> </form> </body> </html> ``` ### 2. 创建登录视图 在 views.py 文件中创建一个 login 视图,该视图处理用户提交的登录表单,并验证用户名和密码是否匹配: ```python from django.shortcuts import render, redirect from django.contrib.auth.forms import AuthenticationForm from django.contrib.auth import authenticate, login def login_view(request): if request.method == 'POST': form = AuthenticationForm(data=request.POST) if form.is_valid(): username = form.cleaned_data.get('username') password = form.cleaned_data.get('password') user = authenticate(username=username, password=password) if user is not None: login(request, user) return redirect('home') else: form = AuthenticationForm() return render(request, 'login.html', {'form': form}) ``` 在上面的代码中,我们使用 Django 自带的 AuthenticationForm 表单处理用户提交的登录表单。如果表单数据有效,我们使用 authenticate 函数验证用户名和密码是否匹配。如果匹配成功,我们使用 login 函数将用户登录到系统中,并将用户重定向到网站首页。 ### 3. 创建网站首页 在 urls.py 文件中创建一个网站首页的路由: ```python from django.urls import path from .views import register, login_view, home urlpatterns = [ path('register/', register, name='register'), path('login/', login_view, name='login'), path('', home, name='home'), ] ``` 在 views.py 文件中创建一个 home 视图,该视图返回网站首页的 HTML 页面: ```python from django.shortcuts import render def home(request): return render(request, 'home.html') ``` 在 templates 目录下创建一个 home.html 文件,该文件包含网站首页的 HTML 代码。 这就是基于 Django auth 模块的登录和注册模块的示例代码。希望对你有所帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值