热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

CSRF校验策略及装饰器和auth认证模块

目录csrf跨站请求伪造csrf校验策略csrf相关装饰器auth认证模块auth认证相关模块及操作扩展auth_user表csrf跨站请求伪造钓鱼网站:模仿一个正规的网站让用户在

目录



  • csrf跨站请求伪造

  • csrf校验策略

  • csrf相关装饰器

  • auth认证模块

  • auth认证相关模块及操作

  • 扩展auth_user表


csrf跨站请求伪造

钓鱼网站:模仿一个正规的网站 让用户在该网站上做操作 但是操作的结果会影响到用户正常的网站账户,但是其中有一些猫腻
eg:英语四六级考试需要网上先缴费,但是你会发现卡里的钱扣了但是却交到了一个莫名其妙的账户,并不是真正的四六级官方账户
模拟钓鱼网站案例:转账案例
真实网站:
urls.py
# 转账接口
path('transfer/',views.transfer_func),
views.py:
def transfer_func(request):
if request.method == 'POST':
username=request.POST.get('username')
target_name = request.POST.get('target_name')
mOney= request.POST.get('money')
print(f'{username}给{target_name}转了{money}元')
return render(request,'transferPage.html')
transferPage.html:







我是真的网站

用户名:


他人名:


转账金额:






假网站:
urls.py
# 转账接口
path('transfer/',views.transfer_func),
views.py:
def transfer_func(request):
return render(request,'transferPage.html')







我是假的网站

用户名:


他人名:



转账金额:







csrf校验策略

在提交数据的位置添加唯一标识
1.form表单csrf策略:
form表单内部添加 {% csrf_token %}
2.ajax请求csrf策略
// 方式1:自己动手取值 较为繁琐
{#data:{'csrfmiddlewaretoken':$('input[name="csrfmiddlewaretoken"]').val()},#}
// 方式2:利用模板语法自动获取(一定要用引号引起来)
{#data:{ 'csrfmiddlewaretoken':'{{ csrf_token }}','username':'jason'},#}
// 方式3:直接引入一个js脚本即可(官网提供的)
参考:https://www.cnblogs.com/Dominic-Ji/p/9234099.html

csrf相关装饰器

from django.views.decorators.csrf import csrf_exempt,csrf_protect#导入方法
csrf_exempt #整个django项目都校验csrf,某个视图函数\类不需要进行csrf校验
csrf_protect #整个django项目都不校验csrf,某个视图函数\类需要进行csrf校验

FBV:

#FBV使用直接加就行
@csrf_exempt
def index(request):
pass
"""把csrf_exempt装饰器直接加到index函数中,使该函数不需要经过csrf验证(配置文件开启csrf验证)

FBV:

#FBV使用直接加就行
@csrf_protect
def index(request):
pass
"""把csrf_protect装饰器直接加到index函数中,使该函数需要经过csrf验证(配置文件关闭csrf验证)
FBV:
方式1:对类中某个方法生效
from django import views
from django.utils.decorators import method_decorator
class MyView(views.View):
@method_decorator(csrf_protect)
def post(self,request):
return HttpResponse('from cvb post view')
#配置文件csrf关闭,类中post方法需要csrf验证
方式2:对类中某个方法生效
from django import views
from django.utils.decorators import method_decorator
@method_decorator(csrf_protect,name='post')
class MyView(views.View):
def post(self,request):
return HttpResponse('from cvb post view')
#配置文件csrf关闭,类中post方法需要csrf验证
方式3:对类中所有方法生效
from django.views.decorators.csrf import csrf_exempt,csrf_protect
from django import views
from django.utils.decorators import method_decorator
class MyView(views.View):
@method_decorator(csrf_protect)
def dispatch(self, request, *args, **kwargs):
return super().dispatch(request,*args,**kwargs)
def post(self,request):
return HttpResponse('from cvb post view')
注意有一个装饰器是特例只能有一种添加方式>>>:csrf_exempt
只有在dispatch方法添加才会生效,也就是方式3,类所有方法

auth认证模块

前戏:django自带一个admin路由 但是需要我们提供管理员账号和密码
如果想要使用admin后台管理 需要先创建表 然后创建管理员账号
直接执行数据库迁移命令即可产生默认的auth_user表 该表就是admin后台管理默认的认证表
1.创建超级管理员
python38 manage.py createsuperuser
基于auth_user表编写用户相关的各项功能
登录、校验用户是否登录、修改密码、注销登录等

image


auth认证相关模块及操作

用户注册

urls.py:
# auth用户注册
path('register/',views.register_func),
views.py:
from django.contrib import auth
from django.contrib.auth.models import User
def register_func(request):
if request.method == 'POST':
username = request.POST.get('username')
password= request.POST.get('password')
# 1.校验用户名是否存在
res = User.objects.filter(username=username)
if res:
return HttpResponse('用户名已存在')
# 2.注册用户
# User.objects.create(username=username,password=password) # create方法不可以使用 密码不加密
User.objects.create_user(username=username,password=password) # create_user方法会自动对密码加密
return render(request,'registerPage.html')
registerPage.html:


{% csrf_token %}

username:


password:






用户登录

urls.py:
# auth用户登录
path('login/',views.login_func),
views.py:
def login_func(request):
print(request.user) # 打印当前登录用户
print(request.user.is_authenticated) # 判断当前用户是否已登录
if request.method == 'POST':
username = request.POST.get('username')
password= request.POST.get('password')
# 1.校验用户名和密码是否正确(不分开校验) 自己无法比对密码 必须要使用auth模块提供的方法才可以
user_obj = auth.authenticate(request,username=username,password=password) # 用户名密码正确之后返回的是数据对象
if user_obj:
# 2.用户登录成功(返回给客户端登录的凭证、令牌、随机字符串)
auth.login(request,user_obj) # 自动操作django_session表
return HttpResponse('登录成功')
'''当执行完上述操作后 我们可以通过request.user直接获取当前登录的用户对象数据'''
return render(request,'loginPage.html')
loginPage.html:


{% csrf_token %}

username:


password:






网站首页

模拟博客园,登录显示用户名,没有登录显示注册和登录

urls.py:
# 网站首页
path('home/',views.home_func),
views.py:
def home_func(request):
return render(request,'homePage.html',locals())
homePage.html:

{% if request.user.is_authenticated %}
{{ request.user.username }}
{% else %}
注册
登录
{% endif %}


校验用户是否登录装饰器

方式1:局部配置
urls.py:
# index页面 只有登录的用户才可以看
path('index/',views.index_func),
from django.contrib.auth.decorators import login_required
@login_required(login_url='/login/') #可以明确指定用户没有登录之后跳转到哪个地址
def index_func(request):
return HttpResponse('index页面 只有登录的用户才可以查看')
方式2:全局配置
settings.py:
LOGIN_URL = '/login/'
@login_required
def index_func(request):
return HttpResponse('index页面 只有登录的用户才可以查看')
ps:当局部和全局产生冲突的话,以局部为准

修改密码

urls.py:
# auth用户修改密码
path('set_pwd/',views.set_pwd_func),
views.py:
@login_required
def set_pwd_func(request):
if request.method == 'POST':
old_pwd = request.POST.get('old_pwd')
new_pwd = request.POST.get('new_pwd')
confirm_pwd = request.POST.get('confirm_pwd')
if not new_pwd == confirm_pwd:
return HttpResponse('两次密码不一致')
# 1.判断原密码是否正确
is_right=request.user.check_password(old_pwd)
if not is_right:
return HttpResponse('原密码不正确')
#2.修改密码
request.user.set_password(new_pwd)
request.user.save() # 一定要保存 否则不会修改
return render(request,'setPwdPage.html')
setPwdPage.html:


{% csrf_token %}

原密码:


新密码:


确认密码:






注销登录

urls.py:
# auth用户退出登录
path('logout/',views.logout_func),
views.py:
@login_required
def logout_func(request):
auth.logout(request)
return HttpResponse('用户退出登录')

扩展auth_user表



推荐阅读
  • 采用IKE方式建立IPsec安全隧道
    一、【组网和实验环境】按如上的接口ip先作配置,再作ipsec的相关配置,配置文本见文章最后本文实验采用的交换机是H3C模拟器,下载地址如 ... [详细]
  • 本文深入探讨了HTTP请求和响应对象的使用,详细介绍了如何通过响应对象向客户端发送数据、处理中文乱码问题以及常见的HTTP状态码。此外,还涵盖了文件下载、请求重定向、请求转发等高级功能。 ... [详细]
  • PHP 过滤器详解
    本文深入探讨了 PHP 中的过滤器机制,包括常见的 $_SERVER 变量、filter_has_var() 函数、filter_id() 函数、filter_input() 函数及其数组形式、filter_list() 函数以及 filter_var() 和其数组形式。同时,详细介绍了各种过滤器的用途和用法。 ... [详细]
  • 本题探讨了在一个有向图中,如何根据特定规则将城市划分为若干个区域,使得每个区域内的城市之间能够相互到达,并且划分的区域数量最少。题目提供了时间限制和内存限制,要求在给定的城市和道路信息下,计算出最少需要划分的区域数量。 ... [详细]
  • 本文详细探讨了HTML表单中GET和POST请求的区别,包括它们的工作原理、数据传输方式、安全性及适用场景。同时,通过实例展示了如何在Servlet中处理这两种请求。 ... [详细]
  • 探讨了如何解决Ajax请求响应时间过长的问题。本文分析了一个从服务器获取少量数据的Ajax请求,尽管服务器已经对JSON响应进行了缓存,但实际响应时间仍然不稳定。 ... [详细]
  • 丽江客栈选择问题
    本文介绍了一道经典的算法题,题目涉及在丽江河边的n家特色客栈中选择住宿方案。两位游客希望住在色调相同的两家客栈,并在晚上选择一家最低消费不超过p元的咖啡店小聚。我们将详细探讨如何计算满足条件的住宿方案总数。 ... [详细]
  • 本文介绍了如何使用JavaScript的Fetch API与Express服务器进行交互,涵盖了GET、POST、PUT和DELETE请求的实现,并展示了如何处理JSON响应。 ... [详细]
  • Java项目分层架构设计与实践
    本文探讨了Java项目中应用分层的最佳实践,不仅介绍了常见的三层架构(Controller、Service、DAO),还深入分析了各层的职责划分及优化建议。通过合理的分层设计,可以提高代码的可维护性、扩展性和团队协作效率。 ... [详细]
  • 本主题面向IT专业人士,介绍了Windows Server 2012 R2和Windows Server 2012中的组托管服务账户(gMSA),涵盖了其应用场景、功能改进、硬件和软件要求以及相关资源。 ... [详细]
  • 在Oracle数据库中,使用Dbms_Output.Put_Line进行输出调试时,若单行字符超过255个,则会遇到ORA-20000错误。本文介绍了一种有效的方法来处理这种情况,通过创建自定义包和视图,实现对长字符串的分割和正确输出。 ... [详细]
  • 在项目部署后,Node.js 进程可能会遇到不可预见的错误并崩溃。为了及时通知开发人员进行问题排查,我们可以利用 nodemailer 插件来发送邮件提醒。本文将详细介绍如何配置和使用 nodemailer 实现这一功能。 ... [详细]
  • 本文详细探讨了JavaScript中的作用域链和闭包机制,解释了它们的工作原理及其在实际编程中的应用。通过具体的代码示例,帮助读者更好地理解和掌握这些概念。 ... [详细]
  • 本文详细介绍了在腾讯云服务器上配置 phpMyAdmin 的方法,包括安装、配置和解决常见问题。通过这些步骤,您可以轻松地在腾讯云环境中部署并使用 phpMyAdmin。 ... [详细]
  • 本文深入探讨了SQL数据库中常见的面试问题,包括如何获取自增字段的当前值、防止SQL注入的方法、游标的作用与使用、索引的形式及其优缺点,以及事务和存储过程的概念。通过详细的解答和示例,帮助读者更好地理解和应对这些技术问题。 ... [详细]
author-avatar
平凡无琦世界
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有