• Django学习笔记(15)——中间件


      当Django处理一个Request的过程是首先通过中间件,然后再通过默认的URL方式进行的。我们可以在Middleware这个地方把所有Request拦截住,用我们自己的方式完成处理以后直接返回Response,因此了解中间件的构成是非常有必要的。

    1,中间件的概念

      一个完整的Django流程如下:

    Django默认的Middleware如下:

      在Django项目中的settings模块中,有一个MIDDLEWARE_CLASSES变量,其中每一个元素就是一个中间件,如下:

    MIDDLEWARE = [
        'django.middleware.security.SecurityMiddleware',
        'django.contrib.sessions.middleware.SessionMiddleware',
        'django.middleware.common.CommonMiddleware',
        'django.middleware.csrf.CsrfViewMiddleware',
        'django.contrib.auth.middleware.AuthenticationMiddleware',
        'django.contrib.messages.middleware.MessageMiddleware',
        'django.middleware.clickjacking.XFrameOptionsMiddleware',
    ]
    

      每一个中间件都有具体的功能。中间件可以定义五个方法。

    分析源码

      我们可以查看上面middleware 的源码,我们首先导入security:

    from django.middleware.security import SecurityMiddleware
    

      我们查看源码,会发现:

      同样,我们再查看一个:

    from django.middleware.common import CommonMiddleware
    

      我们查看源码,会发现:

    再来继续:

    from django.middleware.csrf import CsrfViewMiddleware
    

      我们查看源码,发现:

      我们是不是发现了一个共同的特点。也就是都有process_request和process_response。但是并不是所有的中间件都有process_request,但是所有中间件都有process_response。而且我们在写中间件的时候,在process_response一定要注意有返回值!!,process_request没有!!,如果process_request有return值的时候,就不会执行后面的程序了(所以这里可以拦截)

    from django.middleware.clickjacking import XFrameOptionsMiddleware
    

      查看源码:

      我们从浏览器发出一个请求Request,得到一个响应后的内容HttpResponse,也就是说,每一个请求都是先通过中间件中的process_request函数,这个函数返回None 或者HttpResponse 对象,如果返回前者,继续处理其他中间件,如果返回前者,继续处理其他中间件,如果返回一个HttpResponse,就处理终止,返回到网页上。

      中间件不用集成任何类(可以继承object),下面一个中间件大概的样子:

    class CommonMiddleware(object):
        def process_request(self, request):
            return None
    
        def process_response(self, request, response):
            return response
    

      还有process_view,process_exception和process_template_response函数。

      中间件顾名思义,是介于request 与 response处理之间的一道处理过程,相对比较轻量级,并且在全局上改变django的输入与输出。因为改变的是全局,所以需要谨慎实用,用不好会影响到性能。

    Django中间层的定义

    Middleware is a framework of hooks into Django’s request/response processing. 
    
    It’s a light, low-level “plugin” system for globally altering Django’s input or output.
    

      如果你想修改请求,例如被传送到view中的HTTPRequest对象。或者你想修改view返回的HTTPResponse对象,这些都可以通过中间件来实现。

      可能你想在view执行之前做一些操作,这种情况就可以用middleware来实现。

    2,自定义中间件的方法

      中间件一共有五个方法:

    process_request(self, request)
    
    process_view(self, request, callback, callback_args, callback_kwargs)
    
    process_template_response()
    
    process_exception(self, request, exception)
    
    process_response(self, request, response)
    

      

    2.1  Request 预处理函数:process_request(self, request)

      这个方法的调用时机在Django接收到request之后,但仍未解析URL以确定应当运行的视图函数。Django向它传入相应的Request对象,以便在方法中修改。

      如果返回None,Django将继续处理这个request,执行后续的中间件,然后调用相应的view。

      如果返回HttpResponse对象,Django将不再执行任何除了process_response以外的其他的中间件以及相应的view,Django将立即返回该HttpResponse。

    2.2  View预处理函数:process_view(self, request, callback, callback_args, callback_kwargs)

      这个方法的调用时机在Django执行完request预处理函数并确定待执行的view(即callback参数)之后,但在view函数实际执行之前。

    request:HttpRequest 对象。
    
    callback:Django将调用的处理request的python函数. 这是实际的函数对象本身,
     而不是字符串表述的函数名。
    
    args:将传入view的位置参数列表,但不包括request参数(它通常是传入view的第一个参数)。
    
    kwargs:将传入view的关键字参数字典。
    

      process_view() 应当返回None或 HttpResponse 对象。如果返回 None, Django将继续处理这个request ,执行后续的中间件, 然后调用相应的view。

    如果返回 HttpResponse 对象,Django 将不再执行任何其它的中间件(不论种类)以及相应的view,Django将立即返回。

    2.3  Template模板渲染函数:process_template_response()

      默认不执行,只有在视图函数的返回结果对象中有render方法才会执行,并把对象的render方法的返回值返回给用户(注意不返回视图函数的return的结果了,而是返回视图函数return值(对象)中render方法的结果)

    2.4  Exception后处理函数:process_exception(self, request, exception)

      这个方法只有在request处理过程中出了问题并且view函数抛出了一个未捕获的异常才会被调用。这个钩子可以用来发送错误通知,将现场相关信息输出到日志文件,或者甚至尝试从错误中自动恢复。

     这个函数的参数除了一贯的request对象之外,还包括view函数抛出的实际的异常对象exception 。

      process_exception() 应当返回None或HttpResponse对象。如果返回None,Django将用框架内置的异常处理机制继续处理相应request。如果返回HttpResponse对象,Django将使用该response对象,而短路框架内置的异常处理机制。

    2.5  Response 后处理函数:process_response(self, request, response)

      这个方法的调用时机在 Django 执行 view 函数并生成 response 之后。

      该处理器能修改response 的内容;一个常见的用途是内容压缩,如gzip所请求的HTML页面。

      这个方法的参数相当直观:request是request对象,而response则是从view中返回的response对象。

      process_response() 必须返回 HttpResponse 对象. 这个 response 对象可以是传入函数的那一个原始对象(通常已被修改),也可以是全新生成的。

    3,  自定义中间件方法练习

    3.1 自定义中间件方法应用1(关于process_request 和 process_response方法)

        当用户发起请求的时候会依次经过所有的中间件,这个时候的请求是process_request,最后到达views的函数中,views函数处理后,在依次穿过中间件,这个时候是process_response,最后返回给请求者。

      上述截图中的中间件都是django中的,我们也可以自己定义一个中间件,我们可以自己写一个类,但是必须继承MiddlewareMixin。

    (为什么必须继承MiddlewareMinxin?  当时是因为我们之前查看settings里面的中间件的情形,他们也是这样定义的。既然都是中间件,我们就需要按照人家的语法来写)

    需要导入:

    from django.utils.deprecation import MiddlewareMixin
    

      

     在 views 中:

    def index(request):
    
        print("view函数...")
        return HttpResponse("OK")
    

      

    在Mymiddlewares.py 中:

    from django.utils.deprecation import MiddlewareMixin
    from django.shortcuts import HttpResponse
    
    class Md1(MiddlewareMixin):
    
        def process_request(self,request):
            print("Md1请求")
    
        def process_response(self,request,response):
            print("Md1返回")
            return response
    
    class Md2(MiddlewareMixin):
    
        def process_request(self,request):
            print("Md2请求")
            #return HttpResponse("Md2中断")
        def process_response(self,request,response):
            print("Md2返回")
            return response
    

      

    结果:

    Md1请求
    Md2请求
    view函数...
    Md2返回
    Md1返回
    

      注意:如果当请求到达请求2的时候直接不符合条件返回,即return HTTPResponse(“Md2中断”),程序将请求直接发给中间件2 返回,然后依次返回到请求者,结果如下:

      返回Md2 中断的页面,后台打印如下:

    Md1请求  
    Md2请求  
    Md2返回  
    Md1返回
    

      流程图如下:

    3.2 自定义中间件方法应用2(关于process_view 方法)

      Mymiddlewares.py 修改如下:

    from django.utils.deprecation import MiddlewareMixin
    from django.shortcuts import HttpResponse
    
    class Md1(MiddlewareMixin):
    
        def process_request(self,request):
            print("Md1请求")
            #return HttpResponse("Md1中断")
        def process_response(self,request,response):
            print("Md1返回")
            return response
    
        def process_view(self, request, callback, callback_args, callback_kwargs):
            print("Md1view")
    
    class Md2(MiddlewareMixin):
    
        def process_request(self,request):
            print("Md2请求")
            # return HttpResponse("Md2中断")
        def process_response(self,request,response):
            print("Md2返回")
            return response
    
        def process_view(self, request, callback, callback_args, callback_kwargs):
            print("Md2view")
    

      细心的话,会发现我们增加了 process_view 函数。

      views.py 视图函数不用改,还是这样:

    def index(request):
    
        print("view函数...")
        return HttpResponse("OK")
    

      我们运行程式,结果如下:

    Md1请求
    Md2请求
    Md1view
    Md2view
    view函数...
    Md2返回
    Md1返回
    

      下面继续使用流程图分析上面过程:

      当最后一个中间的 process_request 到达路由关系映射之后,返回到中间件1的 process_view ,然后依次往下,到达 views 函数,最后通过 process_response 依次返回到达用户。

      那么这样做有什么意义?

      我们可以发现,process_view() 里面有很多的参数。

    我们捋一遍过程。

      首先,执行中间件1的process_request,然后执行中间件2的 process_request:

    from django.utils.deprecation import MiddlewareMixin
    from django.shortcuts import HttpResponse
    
    class Md1(MiddlewareMixin):
    
        def process_request(self,request):
            print("Md1请求")
    
    
    class Md2(MiddlewareMixin):
    
        def process_request(self,request):
            print("Md2请求")
    

      然后去urls.py 去找到 index() 函数:

    urlpatterns = [
        path('index/', views.index),
    ]
    

      然后返回中间件1的process_view 和中间件2的 process_view,将拿到的 views.index 传到 callback,去执行process_view()。

    from django.utils.deprecation import MiddlewareMixin
    from django.shortcuts import HttpResponse
    
    class Md1(MiddlewareMixin):
    
        def process_view(self, request, callback, callback_args, callback_kwargs):
            print("Md1view")
    
    class Md2(MiddlewareMixin):
    
        def process_view(self, request, callback, callback_args, callback_kwargs):
            print("Md2view")
    

      我们也可以尝试打印 callback这个视图函数,可以看到其结果如下:

    callback =============>
    
    <function  index at 0x103338bf8>
    

      而process_view中 callback_args 和 claaback_kwargs 是视图函数的参数。

      当执行完process_view的时候,就去视图函数执行其函数,然后执行 process_response。

      注意:process_view函数可以用来调用视图函数,我们调用如下:

    from django.utils.deprecation import MiddlewareMixin
    from django.shortcuts import HttpResponse
    
    class Md1(MiddlewareMixin):
    
        def process_request(self,request):
            print("Md1请求")
    
        def process_response(self,request,response):
            print("Md1返回")
            return response
    
        def process_view(self, request, callback, callback_args, callback_kwargs):
            print("Md1 view")
    
    class Md2(MiddlewareMixin):
    
        def process_request(self,request):
            print("Md2请求")
    
        def process_response(self,request,response):
            print("Md2返回")
            return response
    
        def process_view(self, request, callback, callback_args, callback_kwargs):
            print("Md2 view")
            return  HttpResponse("123")
    

      结果如下:

    Md1请求
    Md2请求
    Md1 views
    Md2 views
    Md2返回
    Md1返回
    

      但是请注意,页面返回的是  ‘123’, 而不是我们视图函数里面的 “OK”(为了怕大家混淆,我这里将index的视图函数贴上)。

    def index(request):
    
        return HttpResponse("OK")
    

      如果要返回 OK 的话,怎么做呢?我们修改代码如下:

    class Md1(MiddlewareMixin):
    
        def process_request(self,request):
            print("Md1请求")
            #return HttpResponse("Md1中断")
        def process_response(self,request,response):
            print("Md1返回")
            return response
    
        def process_view(self, request, callback, callback_args, callback_kwargs):
    
            # return HttpResponse("hello")
    
            response=callback(request,*callback_args,**callback_kwargs)
            return response
    

      结果如下:

    Md1请求
    Md2请求
    view函数...
    Md2返回
    Md1返回
    

      注意:process_view 如果有返回值,会越过其他的 process_view 以及视图函数,但是所有的 process_response都还会执行。

    3.3 自定义中间件方法应用3(关于process_exception 方法)

       Mymiddlewares.py 修改如下:

    class Md1(MiddlewareMixin):
    
        def process_request(self,request):
            print("Md1请求")
    
        def process_response(self,request,response):
            print("Md1返回")
            return response
    
        def process_view(self, request, callback, callback_args, callback_kwargs):
    
            # return HttpResponse("hello")
    
            # response=callback(request,*callback_args,**callback_kwargs)
            # return response
            print("md1 process_view...")
    
        def process_exception(self, request, exception):
            print("md1 process_exception...")
    
    
    
    class Md2(MiddlewareMixin):
    
        def process_request(self,request):
            print("Md2请求")
    
        def process_response(self,request,response):
            print("Md2返回")
            return response
    
        def process_view(self, request, callback, callback_args, callback_kwargs):
            print("md2 process_view...")
    
        def process_exception(self, request, exception):
            print("md2 process_exception...")
    

      结果如下:

    Md1请求
    Md2请求
    md1 process_view...
    md2 process_view...
    view函数...
    Md2返回
    Md1返回
    

      当没有问题(异常)的时候,我们发现,和正常的执行没有任何区别。

      当views出错的时候, process_exception才会执行,我们看报错后的执行流程,如下:

      下面我们来模拟一个错误,执行看流程:

    我们给views.py 里面加一个简单的错误,代码如下:

    def index(request):
        print("index  doing")
        james
        return HttpResponse("index  OK")
    

      我们执行程式,发现其执行流程如下:

    Md1请求
    Md2请求
    md1 process_view...
    md2 process_view...
    view函数...
    md2 process_exception...
    md1 process_exception...
    
    
    
    Traceback (most recent call last):
      File "C:UsersAdministratorAppDataLocalProgramsPythonPython37libsite-packagesdjangocorehandlersexception.py", line 34,
    in inner
        response = get_response(request)
      File "C:UsersAdministratorAppDataLocalProgramsPythonPython37libsite-packagesdjangocorehandlersase.py", line 126, in _
    get_response
        response = self.process_exception_by_middleware(e, request)
      File "C:UsersAdministratorAppDataLocalProgramsPythonPython37libsite-packagesdjangocorehandlersase.py", line 124, in _
    get_response
        response = wrapped_callback(request, *callback_args, **callback_kwargs)
      File "E:ackuppycodeweb开发User_modelusersviews.py", line 7, in index
        james
    NameError: name 'james' is not defined
    
    
    Md2返回 
    Md1返回
    

      并且前端调用如下(当然这是Django自带默认的错误报错程式):

      我们也可以自己设定报错,我们将Mymiddlewares.py 修改如下:

    class Md1(MiddlewareMixin):
    
        def process_request(self,request):
            print("Md1请求")
    
        def process_response(self,request,response):
            print("Md1返回")
            return response
    
        def process_view(self, request, callback, callback_args, callback_kwargs):
    
            # return HttpResponse("hello")
    
            # response=callback(request,*callback_args,**callback_kwargs)
            # return response
            print("md1 process_view...")
    
        def process_exception(self, request, exception):
            print("md1 process_exception...")
    
    
    
    class Md2(MiddlewareMixin):
    
        def process_request(self,request):
            print("Md2请求")
    
        def process_response(self,request,response):
            print("Md2返回")
            return response
    
        def process_view(self, request, callback, callback_args, callback_kwargs):
            print("md2 process_view...")
    
        def process_exception(self, request, exception):
            print("md2 process_exception...")
            return HttpResponse(exception)
    

      我们再执行程式,会发现前台是这样的:

      后台是这样的:

    Md1请求
    Md2请求
    md1 process_view...
    md2 process_view...
    view函数...
    md2 process_exception...
    Md2返回 
    Md1返回
    

      我们发现在执行中间件2的process_exception后,不会去执行中间件1 了。因为中间件2将错误处理完之后,直接去执行response了。

    4,中间件应用场景

      由于中间件工作在视图函数执行前,执行后。所以适合所有的请求/一部分请求做批量处理

    1,做IP访问频率限制

      放在中间件类的列表中,阻止某些IP访问了。

      因为某些IP访问服务器的频率过高,所以进行拦截,比如限制每分钟不能超过20次。

    2,缓存

      客户端请求来了,中间件去缓存看看有没有数据,有直接返回给用户,没有再去逻辑层,执行视图函数。

    3,URL访问过滤

      如果用户访问的是login视图

      如果访问的是其他视图(需要检测是不是由session已经有了放行,没有返回login),这样就省的在多个视图函数上写装饰器了!

      那么如何写呢?如下:

    Django通过中间件实现登录验证DEMO

      前提:中间件版的登录验证需要依靠session,所以数据库中要有django_session表。

    urls.py代码:

    from django.conf.urls import url
    from django.contrib import admin
    from app01 import views
    
    urlpatterns = [
        url(r'^admin/', admin.site.urls),
        url(r'^login/$', views.login, name='login'),
        url(r'^index/$', views.index, name='index'),
        url(r'^home/$', views.home, name='home'),
    ]
    

      

    views.py代码:

    from django.shortcuts import render, HttpResponse, redirect
    
    def index(request):
        return HttpResponse("this is index")
    
    def home(request):
        return HttpResponse("this is home")
    
    def login(request):
        if request.method == 'POST':
            user = request.POST.get("user")
            pwd = request.POST.get("pwd")
    
            if user == 'james' and pwd == '123':
                # 设置session
                request.session['user'] = user
                # 获取跳到登录页面之前的URL
                next_url = request.GET.get('next')
                # 如果有,就跳转到登录之前的URL
                if next_url:
                    return redirect(next_url)
                # 否则默认跳转到index页面
                else:
                    return redirect('/index/')
        return render(request, 'login.html')
    

      

    login.html页面代码:

    <!DOCTYPE html>
    <html lang="en">
    <head>
        <meta charset="UTF-8">
        <title>登录页面</title>
    </head>
    <body>
        <form action="{% url 'login' %}" method="post">
            {% csrf_token %}
            <p>
                <label for="user">用户名:</label>
                <input type="text" name="user" id="user">
            </p>
            <p>
                <label for="pwd">密码:</label>
                <input type="text" name="pwd" id="pwd">
            </p>
            <input type="submit" value="登录">
        </form>
    </body>
    </html>
    

      

    mymiddlewares.py 的代码:

    # 自定义中间件
    from django.utils.deprecation import MiddlewareMixin
    from django.shortcuts import redirect, HttpResponse
    
    class AuthMD(MiddlewareMixin):
        white_list = ['/login/', ]  # 白名单
        black_list = ['/black/', ]  # 黑名单
    
        def process_request(self, request):
            next_url = request.path_info
            print(request.path_info, request.get_full_path())
            # 黑名单的网址限制访问
            if next_url in self.black_list:
                return HttpResponse("This is an illegal URL")
            # 白名单的网址或者登录用户不做限制
            elif next_url in self.white_list or request.session.get("user"):
                return 
            else:
                return redirect('/login/?next={}'.format(next_url))
    

      

    settings.py 代码中添加内容如下:

    MIDDLEWARE = [
        'django.middleware.security.SecurityMiddleware',
        'django.contrib.sessions.middleware.SessionMiddleware',
        'django.middleware.common.CommonMiddleware',
        'django.middleware.csrf.CsrfViewMiddleware',
        'django.contrib.auth.middleware.AuthenticationMiddleware',
        'django.contrib.messages.middleware.MessageMiddleware',
        'django.middleware.clickjacking.XFrameOptionsMiddleware',
        # 注意这个中间件是自己加的
        'app01.mymiddleware.AuthMD',
    ]
    

      AuthMD 中间件注册后,所有的请求都要走AuthMD的process_request方法。如果URL在黑名单中,则返回This is an illegal  URL的字符串;访问的URL在白名单或者session中有user用户名,则不作阻拦走正常流程;正常的URL但是需要登录后访问,让浏览器跳转到登录页面。

      注意:AuthMD中间件中需要session,所以AuthMD注册的位置要在session中间的下方。

      如果黑名单的多,我们使用中间件简单,如果少,我们直接使用装饰器简单,就省去了写代码的麻烦,所以应用场景还是要看情况。

     

    6,跨站请求伪造

    1,简介

      django为用户实现防止跨站请求伪造的功能,通过中间件

    django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。

    全局:

      中间件 django.middleware.csrf.CsrfViewMiddleware

    局部:

    • @csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
    • @csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。

    注:from django.views.decorators.csrf import csrf_exempt,csrf_protect

    2,方式

      方式1:

    $.ajaxSetup({
        data: {csrfmiddlewaretoken: '{{ csrf_token }}' },
    });
    

      方式2:

    <form>
    {% csrf_token %}
    </form>
    
    $.ajax({
        data:{
        "csrfmiddlewaretoken":$("[name='csrfmiddlewaretoken']").val();
    }})
    

      方法3:

    <script src="{% static 'js/jquery.cookie.js' %}"></script>
    
    $.ajax({
     
        headers:{"X-CSRFToken":$.cookie('csrftoken')},
     
    })
    

      

    3,应用

    普通表单

    veiw中设置返回值:
      return render_to_response('Account/Login.html',data,context_instance=RequestContext(request))  
         或者
         return render(request, 'xxx.html', data)
      
    html中设置Token:
      {% csrf_token %}
    

      

    ajax

      对于传统的form,可以通过表单的方式将token再次发送到服务端,而对于ajax的话,使用如下方式:

    views.py

    from django.template.context import RequestContext
    # Create your views here.
      
      
    def test(request):
      
        if request.method == 'POST':
            print request.POST
            return HttpResponse('ok')
        return  render_to_response('app01/test.html',context_instance=RequestContext(request))
    

      

    text.html

    <!DOCTYPE html>
    <html>
    <head lang="en">
        <meta charset="UTF-8">
        <title></title>
    </head>
    <body>
        {% csrf_token %}
      
        <input type="button" onclick="Do();"  value="Do it"/>
      
        <script src="/static/plugin/jquery/jquery-1.8.0.js"></script>
        <script src="/static/plugin/jquery/jquery.cookie.js"></script>
        <script type="text/javascript">
            var csrftoken = $.cookie('csrftoken');
      
            function csrfSafeMethod(method) {
                // these HTTP methods do not require CSRF protection
                return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
            }
            $.ajaxSetup({
                beforeSend: function(xhr, settings) {
                    if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
                        xhr.setRequestHeader("X-CSRFToken", csrftoken);
                    }
                }
            });
            function Do(){
      
                $.ajax({
                    url:"/app01/test/",
                    data:{id:1},
                    type:'POST',
                    success:function(data){
                        console.log(data);
                    }
                });
      
            }
        </script>
    </body>
    </html>
    

      

    更多:https://docs.djangoproject.com/en/dev/ref/csrf/#ajax

     https://www.cnblogs.com/huchong/p/7819296.html

    https://www.cnblogs.com/yuanchenqi/articles/9036479.html

    (自己的学习笔记,不喜勿喷,谢谢)

  • 相关阅读:
    判断页面访问端是电脑还是手机?
    Vue使用总结
    JS面向对象,创建,继承
    你不得不知的逻辑或(||)与(&&)非(!)
    前端必备PS技巧
    你真的熟悉background吗?
    JS运动从入门到兴奋1
    过目不忘JS正则表达式
    W3C、MDN及html常用标签介绍
    js数据处理-----数据拷贝
  • 原文地址:https://www.cnblogs.com/wj-1314/p/10947508.html
Copyright © 2020-2023  润新知