今日内容概要

• django中间件

  首先呢django自带七个中间件 每个中间件都有各自对应的功能

  并且django还支持自定义中间件

  在用django开发项目的时候 ，只要涉及到全局相关的功能都可以使用中间件方便完成

  
  
  
  
  • 全局用户身份校验
  
  
  • 全局用户权限校验
  
  
  • 全局用户访问频率校验
  
  
  
  



• 基于django中间件一个重要的编程思想

  
  



• scrf跨站请求伪造

  
  



• auth模块/settings源码

  
  

今日内容详细

django中间件

"""
django中间件是django的门户
1.请求来的时候需要先经过中间件才能到达真正的django后端
2.响应走的时候最后也需要经过中间件才能发送出去
django自带七个中间件
"""
django请求生命周期流程图
研究django中间件代码规律
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
class SessionMiddleware(MiddlewareMixin):
def process_request(self, request):
session_key = request.COOKIES.get(settings.SESSION_COOKIE_NAME)
request.session = self.SessionStore(session_key)
def process_response(self, request, response):
return response

class CsrfViewMiddleware(MiddlewareMixin):
def process_request(self, request):
csrf_token = self._get_token(request)
if csrf_token is not None:
# Use same token next time.
request.META['CSRF_COOKIE'] = csrf_token
def process_view(self, request, callback, callback_args, callback_kwargs):
return self._accept(request)
def process_response(self, request, response):
return response

class AuthenticationMiddleware(MiddlewareMixin):
def process_request(self, request):
request.user = SimpleLazyObject(lambda: get_user(request))
"""
django支持程序员自定义中间件并且暴露给程序员五个可以自定义的方法
1.必须掌握
process_request

process_response
2.了解即可
process_view

process_template_response

process_exception
"""


如何自定义中间件

"""
1.在项目名或者应用名下创建一个任意名称的文件夹
2.在该文件夹内创建一个任意名称的py文件
3.在该py文件内需要书写类(这个类必须继承MiddlewareMixin)
# from django.utils.deprecation import MiddlewareMixin
然后在这个类里面就可以自定义五个方法了
(这五个方法并不是全部都需要书写，用几个写几个)
4.需要将类的路径以字符串的形式注册到配置文件中才能生效
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
"自己写的中间件"
]
"""
"""
1.必须掌握
process_request 请求来的时候
1.请求来的时候需要经过每一个中间件里面的process_request方法
经过的顺序是按照配置文件中注册的中间件从上往下的顺序依次执行
2.如果中间件里面没有定义该方法，那么直接跳过执行下一个中间件
3.如果该方法返回了HttpResponse对象 那么请求不再继续往后执行
而是直接原路返回(校验失败不允许访问...)
process_request方法就是用来做全局相关的所有限制功能

process_response
1.响应走的时候需要结果每一个中间件里面的process_response方法
该方法有两个额外的参数request,responsee
2.该方法必须返回一个HttpResponse对象
1.默认返回的就是形参response
2.你也可以自己返回自己的
3.顺序是按照配置文件中注册了的中间件从下往上依次经过
如果没有定义的话 直接跳过执行下一个
研究如果在第一个process_request方法就已经返回了HttpResponse对象，那么响应走的时候是经过所有的中间件里面的process_response还是其他情况???
会直接走同级别的process_reponse返回
flask框架也有一个中间件但是它的规律
只要返回数据了就必须经过所有中间件里面的process_reponse方法

2.了解即可
process_view
路由匹配成功之后执行视图函数之前 会自动执行中间件里面的该方法
顺序是按照配置文件中注册了的中间件从下往上依次经过
process_template_response
返回的HttpResponse对象有render属性的时候才会触发
顺序是按照配置文件中注册了的中间件从下往上依次经过
process_exception
当视图函数中出现异常的情况下触发
顺序是按照配置文件中注册了的中间件从下往上依次经过
"""


csrf跨站请求伪造

"""
钓鱼网站
搭建一个跟正规网站一模一样的界面(中国银行)
用户不小心进入我们的网站,用户给某个人打钱
打钱的操作确确实实是提交给了中国银行的系统，用户的钱也确确实实减少了
但是唯一不同的是打钱的账户不是用户想要打的账户变成了一个莫名其妙的账户
大学英语四六级
考之前需要学生自己网站登陆缴费
内部本质
我们在钓鱼网站的页面 针对对方账户 只给用户提供一个没有name属性的普通input框
然后我们在内部隐藏一个已经写好name和value的input框

如何规避上述问题
csrf跨站请求伪造校验
网站再给用户返回一个具有提交数据功能页面的时候会给这个页面加一个唯一标识
当这个页面朝后端发送post请求的时候 我的后端会先校验
"""


如何符合校验

# form表单如何符合校验

{% csrf_token %}


username:

csrf相关装饰器

"""
1.网站整体都不校验csrf 就单单几个视图函数需要校验
2.网站整体都校验csrf 就单单几个视图函数不校验
"""
from django.views.decorators.csrf import csrf_protect,csrf_exempt
from django.utils.decorators import method_decorator
"""
scrf_protect 需要校验
针对csrf_protect符合我们之前所学的装饰器三种玩法
scrf_exempt 忽视校验
针对csrf_exempt只能给dispatch方法加才有效
"""
# @csrf_protect
# @csrf_exempt
def transfer(request):
if request.method == 'POST':
username = request.POST.get('username')
target_user = request.POST.get('target_user')
mOney= request.POST.get('money')
print('%s给%s转了%s元'%(username,target_user, money))
return render(request, 'transfer.html')
from django.views import View
# @method_decorator(csrf_protect,name='post') # 针对csrf_protect 第二种方式可以
# @method_decorator(csrf_exempt,name='post') # 针对csrf_exempt 第二种方式不可以
class MyCsrfToken(View):
@method_decorator(csrf_exempt)
def dispatch(self, request, *args, **kwargs): # 针对csrf_protect 第三种方式
return super(MyCsrfToken, self).dispatch(request,*args,**kwargs)
def get(self, request):
return HttpResponse('get')
# @method_decorrator(csrf_protect) # 针对csrf_protect 第一种方式可以
# @method_decorator(csrf_exempt) # 针对csrf_exempt 第二种方式可以
def post(self, request):
return HttpResponse('post')


补充知识点

# 模块: importlib
# 模块:importlib
import importlib
res = 'myfile.b'
ret = importlib.import_module(res) # from myfile import b
# 该方法最小只能到py文件名
print(ret)