django 各中间件作用

django.middleware.security.SecurityMiddleware

一些安全设置，比如XSS脚本过滤、ssl重定向

django.contrib.sessions.middleware.SessionMiddleware

session支持中间件，加入这个中间件，会在数据库中生成一个django_session的表。

django.middleware.common.CommonMiddleware

通用中间件，会处理一些URL，比如baidu.com会自动的处理成www.baidu.com。比如/blog/111会处理成/blog/111/自动加上反斜杠。

django.middleware.csrf.CsrfViewMiddleware

跨域请求伪造中间件。加入这个中间件，在提交表单的时候会必须加入csrf_token，cookie中也会生成一个名叫csrftoken的值，也会在header中加入一个HTTP_X_CSRFTOKEN的值来放置CSRF攻击。

django.contrib.auth.middleware.AuthenticationMiddleware

向每个接收到的HttpRequest对象添加user属性，表示当前登录的用户。

还有class RemoteUserMiddleware
使用web服务器提供认证的中间件。详见使用REMOTE_USER进行认证。
class SessionAuthenticationMiddleware
当用户修改密码的时候使用户的会话失效。在MIDDLEWARE_CLASSES中，这个中间件必须出现在django.contrib.auth.middleware.AuthenticationMiddleware之后。

django.contrib.messages.middleware.MessageMiddleware

消息中间件。展示一些后台信息给前端页面。如果需要用到消息，还需要在INSTALLED_APPS中添加django.contrib.message才能有效。如果不需要，可以把这两个都删除。

django.middleware.clickjacking.XFrameOptionsMiddleware

防止通过浏览器页面跨Frame出现clickjacking（欺骗点击）攻击出现。

自定义中间件

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'api.middlewares.check_request.CheckMaliceClientMiddleWare' ##我们自己定义的中间件
]
在顶级顶级目录managen.py 编写 vim api/middlewares/check_request.py
from django.core.cache import cache
from django.http import HttpResponseForbidden
import redis

class CheckMaliceClientMiddleWare:
    def __init__(self,get_response):
        self.get_response = get_response
        self.poll  = redis.ConnectionPool(host='127.0.0.1')
        self.redis = redis.Redis(connection_pool=self.poll)

    def __call__(self,request):
        source_ip =  request.META['REMOTE_ADDR']
        if self.redis.llen(source_ip) >= 10:
             return HttpResponseForbidden('
Forbidden Your Access Many
')
        self.redis.expire(source_ip,'60');
        self.redis.lpush(source_ip,'1')
        response = self.get_response(request)
        return response
  该中间件目的是 检索一分钟内如果同一个ip请求超过10次或者等于10次我们直接返回403 不让他到views
测试：
[15/May/2018 08:32:02] "GET /api/self/ HTTP/1.1" 200 568
[15/May/2018 08:32:02] "GET /api/self/ HTTP/1.1" 200 568
[15/May/2018 08:32:02] "GET /api/self/ HTTP/1.1" 200 568
[15/May/2018 08:32:02] "GET /api/self/ HTTP/1.1" 200 568
[15/May/2018 08:32:03] "GET /api/self/ HTTP/1.1" 200 568
[15/May/2018 08:32:03] "GET /api/self/ HTTP/1.1" 200 568
[15/May/2018 08:32:03] "GET /api/self/ HTTP/1.1" 200 568
[15/May/2018 08:32:03] "GET /api/self/ HTTP/1.1" 200 568
[15/May/2018 08:32:04] "GET /api/self/ HTTP/1.1" 200 568
[15/May/2018 08:32:04] "GET /api/self/ HTTP/1.1" 200 568
[15/May/2018 08:32:05] "GET /api/self/ HTTP/1.1" 403 35

更详细一些的中间件解释：
Django内置的中间件说明