目录
钓鱼网站:模仿一个正规的网站 让用户在该网站上做操作 但是操作的结果会影响到用户正常的网站账户,但是其中有一些猫腻eg:英语四六级考试需要网上先缴费,但是你会发现卡里的钱扣了但是却交到了一个莫名其妙的账户,并不是真正的四六级官方账户模拟钓鱼网站案例:转账案例真实网站:urls.py# 转账接口 path('transfer/',views.transfer_func),views.py:def transfer_func(request): if request.method == 'POST': username=request.POST.get('username') target_name = request.POST.get('target_name') mOney= request.POST.get('money') print(f'{username}给{target_name}转了{money}元') return render(request,'transferPage.html')transferPage.html: 我是真的网站 用户名: 他人名: 转账金额: 假网站:urls.py# 转账接口 path('transfer/',views.transfer_func),views.py:def transfer_func(request): return render(request,'transferPage.html') 我是假的网站 用户名: 他人名: 转账金额:
用户名:
他人名:
转账金额:
在提交数据的位置添加唯一标识1.form表单csrf策略: form表单内部添加 {% csrf_token %}2.ajax请求csrf策略 // 方式1:自己动手取值 较为繁琐 {#data:{'csrfmiddlewaretoken':$('input[name="csrfmiddlewaretoken"]').val()},#} // 方式2:利用模板语法自动获取(一定要用引号引起来) {#data:{ 'csrfmiddlewaretoken':'{{ csrf_token }}','username':'jason'},#} // 方式3:直接引入一个js脚本即可(官网提供的) 参考:https://www.cnblogs.com/Dominic-Ji/p/9234099.html
from django.views.decorators.csrf import csrf_exempt,csrf_protect#导入方法csrf_exempt #整个django项目都校验csrf,某个视图函数\类不需要进行csrf校验csrf_protect #整个django项目都不校验csrf,某个视图函数\类需要进行csrf校验
FBV:
#FBV使用直接加就行@csrf_exemptdef index(request): pass"""把csrf_exempt装饰器直接加到index函数中,使该函数不需要经过csrf验证(配置文件开启csrf验证)
#FBV使用直接加就行@csrf_protectdef index(request): pass"""把csrf_protect装饰器直接加到index函数中,使该函数需要经过csrf验证(配置文件关闭csrf验证)FBV:方式1:对类中某个方法生效from django import viewsfrom django.utils.decorators import method_decoratorclass MyView(views.View): @method_decorator(csrf_protect) def post(self,request): return HttpResponse('from cvb post view')#配置文件csrf关闭,类中post方法需要csrf验证方式2:对类中某个方法生效from django import viewsfrom django.utils.decorators import method_decorator@method_decorator(csrf_protect,name='post')class MyView(views.View): def post(self,request): return HttpResponse('from cvb post view')#配置文件csrf关闭,类中post方法需要csrf验证方式3:对类中所有方法生效from django.views.decorators.csrf import csrf_exempt,csrf_protectfrom django import viewsfrom django.utils.decorators import method_decoratorclass MyView(views.View): @method_decorator(csrf_protect) def dispatch(self, request, *args, **kwargs): return super().dispatch(request,*args,**kwargs) def post(self,request): return HttpResponse('from cvb post view')注意有一个装饰器是特例只能有一种添加方式>>>:csrf_exempt只有在dispatch方法添加才会生效,也就是方式3,类所有方法
前戏:django自带一个admin路由 但是需要我们提供管理员账号和密码如果想要使用admin后台管理 需要先创建表 然后创建管理员账号直接执行数据库迁移命令即可产生默认的auth_user表 该表就是admin后台管理默认的认证表1.创建超级管理员 python38 manage.py createsuperuser基于auth_user表编写用户相关的各项功能 登录、校验用户是否登录、修改密码、注销登录等
用户注册
urls.py:# auth用户注册path('register/',views.register_func),views.py:from django.contrib import authfrom django.contrib.auth.models import Userdef register_func(request): if request.method == 'POST': username = request.POST.get('username') password= request.POST.get('password') # 1.校验用户名是否存在 res = User.objects.filter(username=username) if res: return HttpResponse('用户名已存在') # 2.注册用户 # User.objects.create(username=username,password=password) # create方法不可以使用 密码不加密 User.objects.create_user(username=username,password=password) # create_user方法会自动对密码加密 return render(request,'registerPage.html')registerPage.html: {% csrf_token %} username: password:
username:
password:
用户登录
urls.py:# auth用户登录path('login/',views.login_func),views.py:def login_func(request): print(request.user) # 打印当前登录用户 print(request.user.is_authenticated) # 判断当前用户是否已登录 if request.method == 'POST': username = request.POST.get('username') password= request.POST.get('password') # 1.校验用户名和密码是否正确(不分开校验) 自己无法比对密码 必须要使用auth模块提供的方法才可以 user_obj = auth.authenticate(request,username=username,password=password) # 用户名密码正确之后返回的是数据对象 if user_obj: # 2.用户登录成功(返回给客户端登录的凭证、令牌、随机字符串) auth.login(request,user_obj) # 自动操作django_session表 return HttpResponse('登录成功') '''当执行完上述操作后 我们可以通过request.user直接获取当前登录的用户对象数据''' return render(request,'loginPage.html')loginPage.html: {% csrf_token %} username: password:
网站首页模拟博客园,登录显示用户名,没有登录显示注册和登录
urls.py:# 网站首页path('home/',views.home_func),views.py:def home_func(request): return render(request,'homePage.html',locals())homePage.html: {% if request.user.is_authenticated %} {{ request.user.username }} {% else %} 注册 登录 {% endif %}
校验用户是否登录装饰器
方式1:局部配置urls.py:# index页面 只有登录的用户才可以看path('index/',views.index_func),from django.contrib.auth.decorators import login_required@login_required(login_url='/login/') #可以明确指定用户没有登录之后跳转到哪个地址def index_func(request): return HttpResponse('index页面 只有登录的用户才可以查看')方式2:全局配置settings.py:LOGIN_URL = '/login/'@login_requireddef index_func(request): return HttpResponse('index页面 只有登录的用户才可以查看')ps:当局部和全局产生冲突的话,以局部为准
修改密码
urls.py:# auth用户修改密码path('set_pwd/',views.set_pwd_func),views.py:@login_requireddef set_pwd_func(request): if request.method == 'POST': old_pwd = request.POST.get('old_pwd') new_pwd = request.POST.get('new_pwd') confirm_pwd = request.POST.get('confirm_pwd') if not new_pwd == confirm_pwd: return HttpResponse('两次密码不一致') # 1.判断原密码是否正确 is_right=request.user.check_password(old_pwd) if not is_right: return HttpResponse('原密码不正确') #2.修改密码 request.user.set_password(new_pwd) request.user.save() # 一定要保存 否则不会修改 return render(request,'setPwdPage.html')setPwdPage.html: {% csrf_token %} 原密码: 新密码: 确认密码:
原密码:
新密码:
确认密码:
注销登录
urls.py:# auth用户退出登录path('logout/',views.logout_func),views.py:@login_requireddef logout_func(request): auth.logout(request) return HttpResponse('用户退出登录')
京公网安备 11010802041100号