Django基础7——用户认证系统、Session管理、CSRF安全防护机制

文章目录

  • 一、用户认证系统
  • 二、案例:登陆认证
    • 2.1 平台登入
    • 2.2 平台登出
    • 2.3 login_required装饰器
  • 三、Django Session管理
    • 3.1 Django使用Session
      • 3.1.1 Cookie用法
      • 3.1.2 Session用法
    • 3.2 案例:用户登录认证
  • 四、Django CSRF安全防护机制

一、用户认证系统

  • Django内置一个用户认证系统,使用auth模块实现。
  • auth模块提供了登录、注册、效验、修改密码、注销、验证用户是否登录等功能。
    在这里插入图片描述
  • Django默认创建的数据库表。
表名作用
auth_user用户表
auth_user_groups用户所属组的表
auth_user_user_permissions用户权限表
auth_group用户组表
auth_group_permissions用户组权限表
auth_permission存放全部权限的表,其他的表的权限都是从此表中外键连接过去的
django_session保存HTTP状态
django_migrations数据库迁移记录

二、案例:登陆认证

2.1 平台登入

1.登陆成功,进入平台首页;登陆失败,返回错误信息。

###################################################
1、定义url路由规则,ORM/urls.py文件。
from django.contrib import admin
from django.urls import path,include,re_path
from ORM import views
urlpatterns = [path('admin/', admin.site.urls),re_path('^$',views.home),path('myapp/',include('myapp.urls')),path('login/',views.login)
]
###################################################
2、定义视图,ORM/views.py文件。
from django.shortcuts import render,HttpResponse,redirect
from django.contrib import auth
def home(request):return render(request,'index.html')
def login(request):if request.method == "GET":return render(request, 'login.html')elif request.method == "POST":username = request.POST.get('username')password = request.POST.get('password')user = auth.authenticate(username=username, password=password)if user:##验证通过后,将session信息保存到数据库中。auth.login(request, user)   return redirect("/")else:msg = "用户名或密码错误!"return render(request,'login.html',{'msg':msg})
###################################################
3、定义html模板,templates/login.html
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>管理后台页面</title>
</head>
<body>
<ht>欢迎访问管理后台</ht>
<form action="" method="post">用户名 : <input type="text" name="username"><br>密码 : <input type="text" name="password"><br><button type="submit">登录</button><span style="color: red">{{ msg }}</span>
</form>
</body>
</html>
###################################################
4、平台首页渲染模板templates/index.html,新增”退出登录“按钮。
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>平台首页</title>
</head>
<body>
<h1>网站首页</h1>
<a href="/logout"><button>退出登录</button></a>
</body>
</html>

2.进入django管理后台,新增一个测试用户xiaoming,添加auth权限。
在这里插入图片描述
3.测试效果。
在这里插入图片描述
在这里插入图片描述

2.2 平台登出

  • 就是清空django_session表中记录的用户登录状态信息,若数据存在该表中,则认定处于登陆状态;删除数据,则认定登出。

1.退出登录,返回到登陆页面。

###################################################
1、定义url路由规则,ORM/urls.py文件。
from django.contrib import admin
from django.urls import path,include,re_path
from ORM import views
urlpatterns = [path('admin/', admin.site.urls),re_path('^$',views.home),path('myapp/',include('myapp.urls')),path('login/',views.login),path('logout/',views.logout),   ##新增url
]
###################################################
2、新增视图,ORM/views.py文件。
def logout(request):# 清除当前用户的session信息auth.logout(request)return redirect('/login')

2.3 login_required装饰器

  • login_required装饰器:判断用户是否登录,如果没有登录引导至登录页面,登录成功后跳转到目的页面。

1.在settings.py文件设置没有登录默认跳转页面。

##文件末尾添加。
LOGIN_URL = '/login/'

2.在需要登录后才能访问页面的视图添加装饰器。

from django.contrib.auth.decorators import login_required@login_required()    ##语法糖引用装饰器。
def user_add(request):............

3.效果验证。
在这里插入图片描述

三、Django Session管理

Session与Cookie是什么?

  • 网站采用是HTTP协议,它本身就是一个无状态的,记不住我们上次来浏览器上做了什么事。
  • 这时,服务器给每个用户贴了一个小纸条,上面记录了服务器给我们返回的一些信息。后面服务器看到这张小纸条就知道我们是谁了。
  • 这个小纸条就是Cookie。

Cookie工作原理:

  1. 浏览器第一次访问服务器时,服务器此时肯定不知道它的身份,所以创建一个独特的身份标识数据,格式为key=value,放入到Set-Cookie字段里,随着响应报文发给浏览器。
  2. 浏览器看到有Set-Cookie字段以后就知道这是服务器给的身份标识,于是就保存起来,下次请求时会自动将此key=value值放入到Cookie字段中发给服务器。
  3. 服务器收到请求报文后,发现Cookie字段中有值,就能根据此值识别用户的身份然后提供个性化的服务。
    在这里插入图片描述

Session的作用:

  • 试想一下,如果将用户账户的一些信息都存入Cookie中的话,一旦信息被拦截,那么所有的账户信息都会可能被泄露丢,这是不安全的。
  • 所以就出现了Session,在一次会话中将重要信息保存在Session中,浏览器只记录SessionId,一个SessionId对应一次会话请求。
    在这里插入图片描述

3.1 Django使用Session

3.1.1 Cookie用法

  • 在settings.py配置文件中设置客户端Cookie。
参数描述
SESSION_COOKIE_NAME = “sessionid”Session的cookie保存在浏览器上时的key
即:sessionid=随机字符串(默认)
SESSION_COOKIE_PATH = “/”Session的cookie保存的路径(默认)
SESSION_COOKIE_DOMAIN = NoneSession的cookie保存的域名(默认)
SESSION_COOKIE_SECURE = False是否Https传输cookie(默认)
SESSION_COOKIE_HTTPONLY = True是否Session的cookie只支持http传输(默认)
SESSION_COOKIE_AGE = 1209600Session的cookie失效日期(2周)(默认)
SESSION_EXPIRE_AT_BROWSER_CLOSE = False是否关闭浏览器使得Session过期(默认)
SESSION_SAVE_EVERY_REQUEST = False是否每次请求都保存Session,默认修改之后才保存(默认)

1.设置Cookie过期时间,单位s。

##ORM/settings.py文件末尾添加此行。
SESSION_COOKIE_AGE = 30*60

在这里插入图片描述

2.设置关闭浏览器使得Session过期。

##ORM/settings.py文件末尾添加此行。
SESSION_EXPIRE_AT_BROWSER_CLOSE = True

在这里插入图片描述

3.1.2 Session用法

  • 在视图中操作Session。
参数描述
request.session[‘key’] = value向Session写入键值
request.session.get(‘key’,None)获取Session中键的值
request.session.flush()清除Session数据
request.session.set_expiry(value)Session过期时间

1.自定义向Session写入键值,前端可以拿到该value值。
在这里插入图片描述
在这里插入图片描述

3.2 案例:用户登录认证

1.自己实现登陆验证功能。

############################################################################
##根据上文内容,将login接口试图修改成如下内容。
def login(request):if request.method == "GET":return render(request, 'login.html')elif request.method == "POST":username = request.POST.get('username')password = request.POST.get('password')if username =="qingjun" and password == "citms@123":#登录成功,is_login设置为Truerequest.session['is_login'] = True  request.session[ 'username'] = username   #保存用户名到数据库。return redirect("/")else:msg ="用户名或密码错误 !"return render(request,'login.html',{'msg': msg})############################################################################
1、定义装饰器,可以给其他视图引用,新增文件ORM/main.py。
from django.shortcuts import render,HttpResponse,redirect
def self_login_required(func):def inner(request):is_login = request.session.get('is_login', False)if is_login:return func(request)else:return redirect("/login")return inner
############################################################################
2、引用装饰器。
from ORM.main import self_login_required
@self_login_required
def home(request):return render(request, 'index.html')

2.查看效果。
在这里插入图片描述

四、Django CSRF安全防护机制

概念:

  • CSRF(Cross Site Request Forgery):跨站请求伪造,实现的原理是CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。

Django怎么验证一个请求是不是CSRF?

  • Django处理客户端请求时,会生成一个随机Token,放到Cookie里一起返回,然后需要前端每次POST请求时带上这个Token,可以放到POST数据里键为csrfmiddlewaretoken,或者放到请求头键为X-CSRFToken,Django从这两个位置取,每次处理都会拦截验证,通过比对两者是否一致来判断这个请求是不是非法,非法就返回403状态码。

可以携带CSRF Token发送给服务端的方法:

  1. from表单添加{% csrf_token %}标签,表单会携带一同提交。
  2. 如果你是Ajax请求,需要把csrf token字符串(也是通过拿{% csrf_token %}标签产生的值)放到data里一起提交,并且键名为csrfmiddlewaretoken或者放到请求头传递服务端。
  3. 指定取消某函数视图CSRF防护。

1.Django默认启用CSRF保护机制,当有post请求时,就会被拦截。
在这里插入图片描述
2.此时可以给html模板中添加csrf标签,浏览器可以其值与表单一起提交给服务端。
在这里插入图片描述
在这里插入图片描述
3.还有其他两种方式。

##########################################################
方式2,不建议使用,建议在html模板中添加标签方式返回。
from django.views.decorators.csrf import csrf_exempt
@csrf_exempt
def index(request):
return render(request, 'index.html')
##########################################################
var csrf_token = $("[name='csrfmiddlewaretoken']").val();
var data = {'id': '123', 'csrfmiddlewaretoken': csrf_token};
$.ajax({type: "POST",url: "/api",data: data,dataType: 'json'
})

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/111389.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

3d激光slam建图与定位(2)_aloam代码阅读

1.常用的几种loam算法 aloam 纯激光 lego_loam 纯激光 去除了地面 lio_sam imu激光紧耦合 lvi_sam 激光视觉 2.代码思路 2.1.特征点提取scanRegistration.cpp&#xff0c;这个文件的目的是为了根据曲率提取4种特征点和对当前点云进行预处理 输入是雷达点云话题 输出是 4种特征点…

透过源码理解Flutter InheritedWidget

InheritedWidget的核心是保存值和保存使用这个值的widget&#xff0c;通过对比值的变化&#xff0c;来决定是否要通知那些使用了这个值的widget更新自身。 1 updateShouldNotify和notifyClients InheritedWidget通过updateShouldNotify函数控制依赖其的子组件是否在Inherited…

vue cli构建的项目出现 Uncaught runtime errors

使用 vue/cli 脚手架构建的项目&#xff0c;在 npm run dev 运行后&#xff0c;页面出现 Uncaught runtime errors 报错遮罩层&#xff0c;如下图所示。 报错原因 这种错误通常是运行时出的问题&#xff0c;可能是网络错误&#xff0c;可能是变量未定义等等。 这种错误默认在开…

七、Kafka-Kraft 模式

目录 7.1 Kafka-Kraft 架构7.2 Kafka-Kraft 集群部署 7.1 Kafka-Kraft 架构 左图为 Kafka 现有架构&#xff0c;元数据在 zookeeper 中&#xff0c;运行时动态选举 controller&#xff0c;由controller 进行 Kafka 集群管理 右图为 kraft 模式架构&#xff08;实验性&#xff…

华为数通方向HCIP-DataCom H12-821题库(单选题:161-180)

第161题 以下关于 URPF(Unicast Reverse Path Forwarding) 的描述&#xff0c; 正确的是哪一项 A、部署了严格模式的 URPF&#xff0c;也能够可以同时部署允许匹配缺省路由模式 B、如果部署松散模式的 URPF&#xff0c;默认情况下不需要匹配明细路由 C、如果部署松散模式的…

Java IDEA Web 项目 1、创建

环境&#xff1a; IEDA 版本&#xff1a;2023.2 JDK&#xff1a;1.8 Tomcat&#xff1a;apache-tomcat-9.0.58 maven&#xff1a;尚未研究 自行完成 IDEA、JDK、Tomcat等安装配置。 创建项目&#xff1a; IDEA -> New Project 选择 Jakarta EE Template&#xff1a;选择…

RT-Thread在STM32硬件I2C的踩坑记录

RT-Thread在STM32硬件I2C的踩坑记录 0.前言一、软硬件I2C区别二、RT Thread中的I2C驱动三、尝试适配硬件I2C四、i2c-bit-ops操作函数替换五、Attention Please!六、总结 参考文章&#xff1a; 1.将硬件I2C巧妙地将“嫁接”到RTT原生的模拟I2C驱动框架 2.基于STM32F4平台的硬件I…

Git小白入门——了解分布式版本管理和安装

Git是什么&#xff1f; Git是目前世界上最先进的分布式版本控制系统&#xff08;没有之一&#xff09; 什么是版本控制系统&#xff1f; 程序员开发过程中&#xff0c;对于每次开发对各种文件的修改、增加、删除&#xff0c;达到预期阶段的一个快照就叫做一个版本。 如果有一…

iOS开发Swift-1-Xcode创建项目

1.创建项目 双击Xcode App&#xff0c;选择Create a new Xcode project。 选择创建一个iOS普通的App项目。选择Single View App&#xff0c;点击Next。 填写项目名&#xff0c;组织名称等&#xff0c;点击next。 选择好文件的存储路径&#xff0c;点击create。 2.为前端添加组件…

Unity3D 如何在ECS架构下,用Unity引擎进行游戏开发详解

前言 Unity3D是一款强大的游戏引擎&#xff0c;它提供了丰富的功能和工具&#xff0c;可以帮助开发者快速构建高质量的游戏。而Entity Component System&#xff08;ECS&#xff09;是Unity3D中一种新的架构模式&#xff0c;它可以提高游戏的性能和可扩展性。本文将详细介绍在…

【链表OJ】相交链表 环形链表1

前言: &#x1f4a5;&#x1f388;个人主页:​​​​​​Dream_Chaser&#xff5e; &#x1f388;&#x1f4a5; ✨✨刷题专栏:http://t.csdn.cn/UlvTc ⛳⛳本篇内容:力扣上链表OJ题目 目录 一.leetcode 160. 相交链表 1.问题描述: 2.解题思路: 二.leetcode 141.环形链表 …

C语言:指针类型的意义

1.指针的类型决定了解引用时访问几个字节 2.指针的类型决定了指针1、-1跳过几个字节 一、指针的类型决定指针解引用时访问几个字节 例如 int 型指针解引用时访问4个字节 char 型指针解引用时访问1个字节 详解代码如下&#xff1a; int b 0x11223344&#xff08;十六进制&…

h5分享页适配手机电脑

实现思路 通过media媒体查询结合rem继承html文字大小来实现。 快捷插件配置 这里使用了VSCode的px to rem插件。 先在插件市场搜索cssrem下载插件&#xff1b; 配置插件 页面编写流程及适配详情 配置meta h5常用配置信息:<meta name"viewport" content&quo…

Oracle数据传输加密方法

服务器端“dbhome_1\NETWORK\ADMIN\”sqlnet.ora文件中添加 SQLNET.ENCRYPTION_SERVER requested SQLNET.ENCRYPTION_TYPES_SERVER (RC4_256) 添加后新的链接即刻生效&#xff0c;服务器无需重新启动。 也可以通过Net manager管理工具添加 各个参数含义如下&#xff1a; 是…

双向交错CCM图腾柱无桥单相PFC学习仿真与实现(3)硬件功能实现

前言 前面介绍了双向交错CCM图腾柱的系统设计仿真实现&#xff0c;仿真很理想 双向交错CCM图腾柱无桥单相PFC学习仿真与实现&#xff08;1&#xff09;系统问题分解_卡洛斯伊的博客-CSDN博客 然后又介绍了SOG锁相环仿真实现的原理 双向交错CCM图腾柱无桥单相PFC学习仿真与实…

元素居中的方法总结

垂直居中 行内元素垂直居中 单行文本垂直居中 1.line-height: 200px; <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8" /><meta name"viewport" content"widthdevice-width, initial-scale1.0&…

IDEA如何打jar包

IntelliJ IDEA如何打jar包 1、无maven打jar包 1、编写好Java项目后&#xff0c;点击File --> Project Structure&#xff0c;然后按照以下图示步骤进行打包操作 若项目还存在一些额外的文件&#xff0c;可通过以下方式&#xff0c;将文件添加到jar包中。 //如果我们将项目…

tp5使用redis及redis7.2安装到window系统上面

redis安装教程 redis7.2安装到window系统上面 https://download.csdn.net/download/qq_39161501/88269037 解决方案&#xff1a;修改配置php.ini文件 打开Apache目录下的php.ini文件&#xff0c;搜索extension&#xff0c;在空白处加上下列代码&#xff1a; 注&#xff1a;e…

K8s简介之什么是K8s

1.概述 Kubernetes&#xff0c;也被称为K8s或Kube,是谷歌推出来的业界最受欢迎的容器编排器。在开始之前&#xff0c;让我们对容器引擎和容器有一个基本的了解。 2.什么是容器引擎&#xff1f; 容器引擎允许你绑定一个和运行一个应用在容器里&#xff0c;这是一个松散隔离的…

05-基础例程5

基础例程5 1、超声波测距 实验介绍 ​ HC-SR04超声波传感器是一款测量距离的传感器。其原理是利用声波在遇到障碍物反射接收结合声波在空气中传播的速度计算的得出。 外观 管脚功能的定义 VCC&#xff1a;供电电源&#xff1b;Trig&#xff1a;触发信号&#xff1b;Echo&a…