Django框架——csrf跨站请求伪造、csrf校验、csrf相关装饰器、auth认证、auth认证相关模块及操作

csrf跨站请求伪造

钓鱼网站：模仿一个正规的网站 让用户在该网站上做操作 但操作的结果会影响到用户正常的网站账户 但是其中有一些猫腻
	eg:英语四六级考试需要网上先缴费 但是你会发现卡里的钱扣了但是却交到了一个莫名其妙的账户 并不是真正的四六级官方账户

# 针对上述情况，它是怎么做到的
# 内部本质
在钓鱼网站上的form表单中，它是写一个没有name属性的input框，它在这个input框下面，在隐藏一个input框，这个隐藏的input框，我给他提前写好name属性和value值，但是用户不知道

# 如何规避上述问题？
在正规网站中给form表单一个唯一标识，然后，表单每次提交的时候，后端都做一个验证 如果正确就可以提交，如果不正确，就直接403(forbidden)

csrf校验策略

在提交数据的位置添加唯一标识

1.form表单csrf策略
	form表单内部添加 {% csrf_token %}
2.ajax请求csrf策略
	$('#d1').click(function () {
        $.ajax({
            url:'',
            type:'post',
            // 方式1 自己手动取值 较为繁琐
            {#data:{'csrfmiddlewaretoken':$('input[name="csrfmiddlewaretoken"]').val()},#}
            // 方式2 利用模版语法自动获取 模版语法一定要引号引起来
            {#data:{'csrfmiddlewaretoken':'{{ csrf_token }}'},#}
            // 方式3 直接引入一个js脚本即可(官网提供的)
            data:{},
            success:function (args) {
                console.log(args)
            }
        })
    })

csrf相关装饰器

整个django项目都校验csrf 但是某些个视图函数\类不需要校验 @csrf_exempt
整个django项目都不校验csrf 但是某些个视图函数\类需要校验  @csrf_protect

FBV添加装饰器的方式(与正常函数添加装饰器一致)
    from django.views.decorators.csrf import csrf_exempt,csrf_protect
    # @csrf_exempt
    @csrf_protect
    def transfer_func(request):
        pass

CBV添加装饰器的方式(与正常情况不一样 需要注意)
主要有三种方式
from django.views import View
from django.utils.decorators import method_decorator
# @method_decorator(csrf_protect,name='post')  # 方式2:单独生效 指名道姓具体让哪个方法生效
class MyView(View):
    # @method_decorator(csrf_protect)  # 方式3:整个类中所有方法都生效
    @method_decorator(csrf_exempt)  # cstf_exempt只有这种添加方式
    def dispatch(self, request, *args, **kwargs):
        return super().dispatch(request,*args,**kwargs)
    # @method_decorator(csrf_protect)  # 方式1:单独针对具体的某个方法生效
    def post(self,request):
        return HttpResponse('from cbv')
    
注意有一个装饰器是特例只能有一种添加方式>>>:csrf_exempt
    只有在dispatch方法上添加才会生效

auth认证模块

前戏:django自带一个admin路由 但是需要我们提供管理员账号和密码
如果想要使用admin后台管理 需要先创建表 然后创建管理员账号
直接执行数据库迁移命令即可产生默认的auth_user表 该表就是admin后台管理默认的认证表
1.创建超级管理员
	python38 manage.py createsuperuser
    
基于auth_user表编写用户相关的各项功能
	登录、校验用户是否登录、修改密码、注销登录等

auth认证相关模块及操作

from django.contrib import auth
from django.contrib.auth.models import User
1.用户注册功能
	1.1 校验用户名是否存在
    	res = User.objects.filter(username=username)
            if res:
            return HttpResponse('用户名已存在')
    1.2 注册该用户
		# User.objects.create(username=username,password=password) # 明文存储
		User.objects.create_user(username=username,password=password) # 密文存储
2.判断用户名和密码是否正确'''auth.authenticate'''
	# 校验用户名和密码是否正确 自己无法比对密码 必须使用auth模块提供方法
	user_obj = auth.authenticate(request,
                                 username=username,
                                 password=password)
    # 用户名和密码正确之后返回的是数据对象 不正确则返回None
    if user_obj
        # 用户登录成功之后返回给客户端登录的凭证
        auth.login(request,user_obj)  #自动操作django_session表
        """
        当执行完上述的操作之后 我们就可以通过request.user直接获取当前登录的用户对象
        request.user 获取当前登录用户对象
        request.user.username 获取当前用户的用户名
        request.user.password 获取当前用户的密码
        request.user.is_authenticated 判断当前用户对象是否已登录 返回True False
        """
3.判断用户是否登录
	request.user.is_authenticated
4.获取登录用户对象数据
	request.user
5.校验用户是否登录的装饰器
	from django.contrib.auth.decorators import login_required
    # 局部指定如果没有登录 跳转的网址
    @login_required(login_url='/login/')	局部配置
    # 全局指定如果没有登录 跳转的网址
    @login_required						  全局配置
    	配置文件中LOGIN_URL = '/login/'
    '''如果局部和全局配置写的跳转网址不一致 局部的优先级高于全局'''
6.校验原密码是否正确
	request.user.check_password(原密码)
7.修改密码
	request.user.set_password(新密码)
    request.user.save()  # 一定要保存 否则不会修改
8.退出登录
	auth.logout(request)

扩展auth_user表

还想使用auth模块的功能 并且邮箱扩展auth_user表的字段
思路1:一对一字段关联
思路2:替换auth_user表
    步骤1:模型层编写模型类继承AbstractUser
        from django.contrib.auth.models import AbstractUser
        class UserInfo(AbstractUser):
        # 只能填写AbstractUser表中没有的字段
        phone = models.BigIntegerField()
        desc = models.TextField()
    步骤2:一定要在配置文件中声明替换关系
        AUTH_USER_MODEL = 'app01.UserInfo'
    ps:替换还有一个前提 就是数据库迁移没有执行过(auth相关表没有创建)
        
总结注意事项：
"""
1.我们在扩展字段的时候，默认的字段我们不要动，只写我们想要增加的字段
2.如果你扩展了这张表，那么auth_user表就不存在了，有的是你自己新建的这张表
3.新建出来的这张表里面的字段，有之前auth_user表中所有的字段外加你自己添加的字段
4.需要在配置文件中添加一个变量，告诉django我要用现在这张新的表替代原来的auth_user表
		AUTH_USER_MODEL = 'app01.UserInfo'  '应用名.类名'
5.如果你在扩展的这张表之前已经执行了数据库迁移命令，需要重新换库
6.如果你已经迁移了，还想扩展怎么办？
	6.1 换库
	6.2 删很应用的migrations文件夹
7.得出结论：在执行迁移命令之前就扩展好
"""

总结auth模块方法

模块导入
from django.contrib import auth

# 用户认证 验证用户名和密码是否正确 成功则返回用户对象 不正确则返回None 
auth.authenticate(request,username=username,password=password)

# 该函数接受一个HttpRequest对象,以及一个经过认证的User对象
# 该函数实现一个用户登录的功能 本质上会在后端为该用户生成相关session数据
auth.login(request,认证成功返回的用户对象)
"""
    # 获取当前登录用户对象
    request.user 
    # 获取当前用户的用户名
    request.user.username 
    # 获取当前用户的密码
    request.user.password 
    # 判断当前用户是否登录
    request.user.is_authenticated
"""

# 当前登录的用户session信息会清楚 没有登录也不会报错
auth.logout(request)

# 校验用户是否登录装饰器
from django.contrib.auth.decorators import login_required
@login_required
def func():
    pass

# 创建普通用户 需提供必要参数(username,password)等
create_user()

# 创建超级用户
create_superuser()

# 校验密码是否正确
request.user.check_password('密码')

# 修改密码
request.user.set_password('密码')
request.user.save()

本栏目推荐文章
• openpyxl模块---------------------------------------------提取身份证信息及计算年龄
• argparse模块的使用
• 字节微服务HTTP框架Hertz使用与源码分析｜拥抱开
• IDEA项目名称后面出现中括号，模块Modules的名子和文件夹名称不同，可以右键修改名称也可以在File->Project Structure 修改Modules的Name(快捷键ctrl+Shift+Alt+s)
• 深入理解spring框架：剖析多线程模式下数据库连接
• openpyxl模块--------------------------------重复数据
• Django客户端应用1向服务端应用2发送POST请求并接收解析数据
• NUS CS1101S：SICP JavaScript 描述：三、模块化、对象和状态
• 测试模块是否导入成功
• 【C语言】模块划分、编译器工作原理

csrf auth 框架 模块 Djangocsrf auth框架 模块 框架 模块django csrf 框架 模块django auth 模块 方法csrf auth 模块 基础django auth 模块django auth 框架django 16.0 csrf 框架 模块django 18.0 模块auth django post csrf js