Django流程周期图例
浏览器的数据基于HTTP协议传输hml数据,经过django自带WSGI接收数据,并进行数据,经过默认的七个中间键,传输到urls路由层经行任务分发,在视图层views函数进行处理,视图层函数通过接收的数据结合前端文件templates与数据库orm处理.处理结果返回先经过默认的七个中间键, 然后通过WSGI发到前端浏览器.
Django中的中间件
django默认中间件有七个,在settings文件中.如下图所示.WSGI中的传输过来数据,以及后端处理后的数据都要经过这七个中间件处理.数据进入从上往下执行,数据传出从下往上执行.
(做测试将'django.middleware.csrf.CsrfViewMiddleware',注掉)
# django默认的七个中间件
MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', # 此处添加自定义组件类的字符串类型路径模块调用路径 ]
中间件的一些共同方法属性
每个中间件都是一个类,有不同的作用.这些类都有一些共同共同的方法属性.
process_requerst()方法. 这个方法也可以有返回值,如果有返回值,必须返回hml对象.如图①指令所示.一旦有返回值,数据在当前中间件停止往下传输, 将通过中间件中的process_respons方法原路返回.
1.请求来的时候 会经过每个中间件里面的process_request方法(从上往下)
2.如果方法里面直接返回了HttpResponse对象 那么会直接返回 不再往下执行
ps: 基于该特点就可以做访问频率限制,身份校验,权限校验.
process_responese()方法. 这个方法必须有返回值,且是response. 数据返回通过此方法.
1.必须将response形参返回 因为这个形参指代的就是要返回给前端的数据
2.响应走的时候 会依次经过每一个中间件里面的process_response方法(从下往上)
process_view()方法: 在路由匹配成功执行视图函数之前触发
process_excetion()方法:当你的视图函数报错时 就会自动执行
process_template_response()方法:当你返回的HttpResponse对象中必须包含render属性才会触发
from django.utils.deprecation import MiddlewareMixin from django.shortcuts import HttpResponse # 中间件类继承 MiddlewareMixin类 class MyMdd(MiddlewareMixin): def process_request(self, request): # 不需要返回值,也可有返回值 print('中间件第一个,MyMdd下process_request') # return HttpResponse('process_request') # ① def process_response(self, request, response): print('中间件第一个,MyMdd下response') return response # 必须返回response对象 def process_view(self, request, view_func, view_args, view_kwargs): print('中间件第一个,MyMdd下process_views') print(request) print(view_func) print(view_args) print(view_kwargs) def process_exception(self, request, exception): print('中间件第一个,MyMdd下process_exception') def process_template_response(self, request, response): print('中间件第一个,MyMdd下process_template_response') return response
csrf跨站请求
钓鱼网站
通过制作和正常网站一样的网站,是用户不能分辨真贱,在伪造网站上输入用户信息.
其原理: 在input输入框上做手脚, 给定的input不设name数属性, 在内部隐藏一个设定好的name和values属性的input框.
防止钓鱼网站的方法,就是在form表单页面放置一个随机字符串, 请求来时比对随机字符串来校验.
这个随机字符串有: 同一个浏览器每次访问都不一样, 不同浏览器不会重复
这个就crsf码
在前端页面加上: {% csrf_token %}
Ajax发送post请求, 避免csrf校验
# 1.现在页面上写{% csrf_token %},利用标签查找 获取到该input键值信息 data:{'username':'jason', 'csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()} # 2.直接书写'{{ csrf_token }}' data: {'username':'jason','csrfmiddlewaretoken':'{{ csrf_token }}'} # 3.你可以将该获取随机键值对的方法 写到一个js文件中,之后只需要导入该文件即可, # 新建一个js文件 存放以下代码 之后导入即可 function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie !== '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = jQuery.trim(cookies[i]); // Does this cookie string begin with the name we want? if (cookie.substring(0, name.length + 1) === (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } var csrftoken = getCookie('csrftoken'); function csrfSafeMethod(method) { // these HTTP methods do not require CSRF protection return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method)); } $.ajaxSetup({ beforeSend: function (xhr, settings) { if (!csrfSafeMethod(settings.type) && !this.crossDomain) { xhr.setRequestHeader("X-CSRFToken", csrftoken); } } });
网站全局校验与全局不校验
FBV校验与CBV校验
from django.views.decorators.csrf import csrf_exempt,csrf_protect # 校验模块
csrf_exempt是csrf取消校验函数, 做装饰器使用, 在做cbv装饰器时需要指定装饰对象
@method_decorator(csrf_exempt,name='dispatch') # 第二种可以不校验的方式 class MyView(View): def dispatch(self, request, *args, **kwargs): res = super().dispatch(request, *args, **kwargs) return res
csrf_protect是csrf校验函数
from django.views.decorators.csrf import csrf_exempt,csrf_protect # 这两个装饰器在给CBV装饰的时候 有一定的区别 如果是csrf_protect 那么有三种方式 # 第一种方式 # @method_decorator(csrf_protect,name='post') # 有效的 class MyView(View): # 第三种方式 # @method_decorator(csrf_protect) def dispatch(self, request, *args, **kwargs): res = super().dispatch(request, *args, **kwargs) return res def get(self,request): return HttpResponse('get') # 第二种方式 # @method_decorator(csrf_protect) # 有效的 def post(self,request): return HttpResponse('post')
auth模块
与用户相关模块,用户的注册登陆,验证,修改密码等模块.
模块功能
查询用户
django.contrib import auth user_obj = auth.authenticate(username=username,password=password) # 必须要用 因为数据库中的密码字段是密文的 而你获取的用户输入的是明文
记录用户状态
auth.login(request,user_obj) # 将用户状态记录到session中
判断用户是否登录
print(request.user.is_authenticated) # 判断用户是否登录 如果是你们用户会返回False
用户登录之后 获取用户对象
print(request.user) # 如果没有执行auth.login那么拿到的是匿名用户
校验用户是否登录
from django.contrib.auth.decorators import login_required @login_required(login_url='/xxx/') # 局部配置 def index(request): pass
验证密码是否正确
request.user.check_password(old_password)
修改密码
request.user.set_password(new_password) request.user.save() # 修改密码的时候 一定要save保存 否则无法生效
退出登陆
auth.logout(request) # request.session.flush()
注册用户
# User.objects.create(username =username,password=password) # 创建用户名的时候 千万不要再使用create 了 # User.objects.create_user(username =username,password=password) # 创建普通用户 User.objects.create_superuser(username =username,password=password,email='[email protected]') # 创建超级用户 邮箱必填
自定义auth_user表 from django.contrib.auth.models import AbstractUser # Create your models here. # 第一种 使用一对一关系 不考虑 # 第二种方式 使用类的继承 class Userinfo(AbstractUser): # 千万不要跟原来表中的字段重复 只能创新 phone = models.BigIntegerField() avatar = models.CharField(max_length=32) # 一定要在配置文件中 告诉django # 告诉django orm不再使用auth默认的表 而是使用你自定义的表 AUTH_USER_MODEL = 'app01.Userinfo' # '应用名.类名'