1 中间件:request对象,response
-process_request
-返回None,继续往下走
-返回response对象,直接返回
-process_response
-处理response
-定义一个类,继承MiddlewareMixin
-配置文件配置(执行顺序)
2 中间件能干什么
-全局的登陆认证
-记录日志(访问日志,登录日志,客户端类型。。。)
-对ip地址进行限制(一分钟访问十次)
3 csrf,xsrf:跨站请求伪造
4 django中处理csrf攻击
1 form表单形式 {% csrf_token %}
2 ajax提交:手动传,2种方式
3 ajax提交:放到请求头中
$.ajax({
url: '/transfer/',
headers:{'X-CSRFToken':'sssssss','name':'lqz'},
method: 'post',
data: {to_user: $('#id_name').val(), money: $('#id_money').val(),csrfmiddlewaretoken:'{{csrf_token}}'},
success: function (data) {
console.log(data)
}
})
4 请求头中的数据,django如何获取
-request.META.get('HTTP_字段名大写')
5 django的csrf中间件
-全局使用csrf,中间件解开
-局部禁用:在视图函数上加一个装饰器csrf_exempt
-全局禁用,中间件加注释
-局部使用:在视图函数上加一个装饰器csrf_protect
1 auth组件介绍
1 django提供的用户认证,创建,修改密码。。。用户相关操作
2 不需要创建用户表了,默认带了
3 插入数据(创建用户):
python3 manage.py createsuperuser
2 auth组件常用方法
2.1 authenticate()
#作用
提供了用户认证功能,即验证用户名以及密码是否正确,一般需要username 、password两个关键字参数。
如果认证成功(用户名和密码正确有效),便会返回一个 User 对象
#使用
user = authenticate(username='usernamer',password='password')
2.2 login(HttpRequest, user)
# 作用:
该函数接受一个HttpRequest对象,以及一个经过认证的User对象。
该函数实现一个用户登录的功能。它本质上会在后端为该用户生成相关session数据
#使用
登录成功后调用
login(request, user)
2.3 logout(request)
#作用
该函数接受一个HttpRequest对象,无返回值。
当调用该函数时,当前请求的session信息会全部清除。该用户即使没有登录,使用该函数也不会报错
# 使用
from django.contrib.auth import logout
def logout_view(request):
logout(request)
2.4 is_authenticated
# 作用
用来判断当前请求是否通过了认证。
# 使用
# 视图类中使用
if not request.user.is_authenticated():
#模板中使用
{% if request.user.is_authenticated %}
{{ request.user.username }} 欢迎你
{% else %}
<a href="/auth_login/">请去登录</a>
{% endif %}
2.5 login_requierd()
#作用
auth 给我们提供的一个装饰器工具,用来快捷的给某个视图添加登录校验。
#使用
from django.contrib.auth.decorators import login_required
2.6 create_user()
# 作用
auth 提供的一个创建新用户的方法,需要提供必要参数(username、password)等。
# 使用
from django.contrib.auth.models import User
user = User.objects.create_user(username='用户名',password='密码',email='邮箱',...)
2.7 create_superuser()
#作用
auth 提供的一个创建新的超级用户的方法,需要提供必要参数(username、password)等。
# 使用
from django.contrib.auth.models import User
user = User.objects.create_superuser(username='用户名',password='密码',email='邮箱',...)
2.8 check_password(password)
# 作用
auth 提供的一个检查密码是否正确的方法,需要提供当前请求用户的密码。
密码正确返回True,否则返回False。
# 使用
ok = user.check_password('密码')
2.9 set_password(password)
###
#作用
auth 提供的一个修改密码的方法,接收 要设置的新密码 作为参数。
注意:设置完一定要调用用户对象的save方法!!!
# 使用
user.set_password(password='')
user.save()
3 User对象的属性
User对象属性:username, password
is_staff : 用户是否拥有网站的管理权限.如果没有,后台admin登录不进去
is_active :是否允许用户登录, 设置为 False,可以在不删除用户的前提下禁止用户登录。
4 扩展默认的auth_user表
# 第一种方案:
一对一
from django.contrib.auth.models import User
class user_detail(models.Model):
user=models.OneToOneField(to=User)
phone=models.CharField(max_length=32)
# 第二种方案,继承AbstractUser类来扩写
class Meta:
abstract = True #这个表是个抽象表,只用来继承,不会在数据库生成表
# 使用步骤
-大前提是auth_user表没有创建之前干*******
-写一个类,继承AbstractUser
-在类中扩写字段(可以重写原来有的字段)
class MyAuthUser(AbstractUser):
username=models.CharField(max_length=12)
phone=models.CharField(max_length=32)
-在配置文件中配置********
# 引用Django自带的User表,继承使用时需要设置
AUTH_USER_MODEL = "app01.MyAuthUser"
# 如果auth_user表已经有了,还想扩写
-删库
-清空项目中所有migration的记录
-清空源码中admin,auth俩app的migration的记录
补充
1 django启动流程
1 配置文件中指定WSGI_APPLICATION = 'day60.wsgi.application'
2 被wsgi服务器管理,一旦有请求进来,会触发application()
3 实际触发WSGIHandler类的__call__传入environ, start_response
4 把environ包装成request对象,执行中间件,执行路由,执行视图函数,返回response
5 最终结束django