首页 > 其他分享 >12.23

12.23

时间:2023-01-02 15:01:11浏览次数:51  
标签:12.23 request 校验 auth django user csrf

今日内容

1.csrf跨站请求伪造

2.csrf校验策略

3.csrf相关装饰器

4.auth认证模块

5.auth认证模块操作

6.扩展auth_user表

1.csrf跨站请求伪造

模仿一个正规的网站,让用户在该网站上做操作,操作的结果会影响到用户正常的网站账户,其中有一些猫腻
	eg:英语四六级考试需要网上先缴费,但是你会发现卡里的钱扣了但是却交到了一个莫名其妙的账户,并不是真正的四六级官方账户
        
模拟钓鱼网站案例:转账案例
内部隐藏标签

2.csrf校验策略

在提交数据的位置添加唯一标识 
1.form表单csrf策略
	form表单内部添加 {% csrf_token %}
2.ajax请求csrf策略
方式1:自己动手取值,较为繁琐
   {#data:{'csrfmiddlewaretoken':$('input[name="csrfmiddlewaretoken"]').val()},#}
方式2:利用模板语法自动获取(一定要用引号引起来)
   {#data:{ 'csrfmiddlewaretoken':'{{ csrf_token }}','username':'jason'},#}
方式3:直接引入一个js脚本即可(官网提供的)
 	参考:https://www.cnblogs.com/Dominic-Ji/p/9234099.html

3.csrf相关装饰器

整个django项目都校验csrf,但是某些个视图函数\类不想校验
整个django项目都不校验csrf,但是某些个视图函数\类需要校验

FBV添加装饰器的方式(与正常函数添加装饰器一致)
from django.views.decorators.csrf import csrf_exempt, csrf_protect
# @csrf_exempt
@csrf_protect
def transfer_func(request):pass

CBV添加装饰器的方式(与正常情况不一样 需要注意)
主要有三种方式
 @method_decorator(csrf_protect, name='post')  # 方式2:单独生效
class MyView(views.View):
    @method_decorator(csrf_protect)  # 方式3:整个类中生效
    def dispatch(self, request, *args, **kwargs):
        return super().dispatch(request, *args, **kwargs)

    # @method_decorator(csrf_protect)  # 方式1:单独生效
    def post(self, request):
        return HttpResponse('from cbv post view')
  
注意有一个装饰器是特例只能有一种添加方式>>>:csrf_exempt
只有在dispatch方法添加才会生效

4.auth认证模块

django自带一个admin路由,但是需要我们提供管理员账号和密码
如果想要使用admin后台管理,需要先创建表,然后创建管理员账号
直接执行数据库迁移命令即可产生默认的auth_user表,该表就是admin后台管理默认的认证表
1.创建超级管理员
	python38 manage.py createsuperuser
基于auth_user表编写用户相关的各项功能
	登录、校验用户是否登录、修改密码、注销登录等

5.auth认证模块操作

from django.contrib import auth
from django.contrib.auth.models import User
1.用户注册功能
    User.objects.create_user(username=username, password=password)
2.判断用户名和密码是否正确
	user_obj = auth.authenticate(request,
                       username=username,
                       password=password)  
3.判断用户是否登录
	request.user.is_authenticated
4.获取登录用户对象数据
	request.user
5.校验用户是否登录装饰器
	from django.contrib.auth.decorators import login_required
    @login_required(login_url='/login/')  局部配置 
    @login_required						全局配置
 	 配置文件中LOGIN_URL = '/login/'
6.校验原密码是否正确
	request.user.check_password(原密码)
7.修改密码
	request.user.set_password(新密码)
 	request.user.save()
8.退出登录
	auth.logout(request)

6.扩展auth_user表

想使用auth模块的功能,并且又想扩展auth_user表的字段
思路1:一对一字段关联
思路2:替换auth_user表
	步骤1:模型层编写模型类继承AbstractUser
   		from django.contrib.auth.models import AbstractUser
       class UserInfo(AbstractUser):
        # 填写AbstractUser表中没有的字段
        phone = models.BigIntegerField()
        desc = models.TextField()
 	步骤2:一定要在配置文件中声明替换关系
        AUTH_USER_MODEL = 'app01.UserInfo'
ps:替换还有一个前提,就是数据库迁移没有执行过(auth相关表没有创建)

标签:12.23,request,校验,auth,django,user,csrf
From: https://www.cnblogs.com/yueq43/p/17019913.html

相关文章

  • 【12.17-12.23】博客精彩回顾
    一、优秀文章推荐1.​​Java基本语法(上):变量与运算符.md​​2.​​构建一个应用程序,用于在基于内存的数据库中存储POJO(普通旧Java对象)​​3.​​Go语言的并发编程​​4......
  • 2022.12.23
    好崩溃我在博客园上试着搜自己写的实验代码结果搜不到,搜到的全是乱七八糟的也就是说,1、很有可能已经有前辈写了实验的代码,但是我搜不到2、我费了很多劲写的博客不会有......
  • 力扣每日一题2022.12.23---2011. 执行操作后的变量值
    存在一种仅支持4种操作和1个变量X的编程语言:   ++X和X++使变量X的值加1   --X和X--使变量X的值减1最初,X的值是0给你一个字符串数组operati......