2. 程式人生 > >詳解Django的CSRF認證

詳解Django的CSRF認證

阿新 發佈:2018-12-14

1.csrf原理

csrf要求傳送post,put或delete請求的時候,是先以get方式傳送請求,服務端響應時會分配一個隨機字串給客戶端,客戶端第二次傳送post,put或delete請求時攜帶上次分配的隨機字串到服務端進行校驗

2.Django中的CSRF中介軟體

首先,我們知道Django中介軟體作用於整個專案。

在一個專案中,如果想對全域性所有檢視函式或檢視類起作用時,就可以在中介軟體中實現,比如想實現使用者登入判斷,基於使用者的許可權管理(RBAC)等都可以在Django中介軟體中來進行操作

Django內建了很多中介軟體,其中之一就是CSRF中介軟體

MIDDLEWARE_CLASSES = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

上面第四個就是Django內建的CSRF中介軟體

3.Django中介軟體的執行流程

Django中介軟體中最多可以定義5個方法

process_request
process_response
process_view
process_exception
process_template_response

Django中介軟體的執行順序

1.請求進入到Django後,會按中介軟體的註冊順序執行每個中介軟體中的process_request方法
    如果所有的中介軟體的process_request方法都沒有定義return語句,則進入路由對映,進行url匹配
    否則直接執行return語句,返回響應給客戶端
2.依次按順序執行中介軟體中的process_view方法
    如果某個中介軟體的process_view方法沒有return語句,則根據第1步中匹配到的URL執行對應的檢視函式或檢視類
    如果某個中介軟體的process_view方法中定義了return語句,則後面的檢視函式或檢視類不會執行,程式會直接返回
3.檢視函式或檢視類執行完成之後,會按照中介軟體的註冊順序逆序執行中介軟體中的process_response方法
    如果中介軟體中定義了return語句,程式會正常執行,把檢視函式或檢視類的執行結果返回給客戶端
    否則程式會丟擲異常
4.程式在檢視函式或檢視類的正常執行過程中
    如果出現異常,則會執行按順序執行中介軟體中的process_exception方法
    否則process_exception方法不會執行
    如果某個中介軟體的process_exception方法中定義了return語句,則後面的中介軟體中的process_exception方法不會繼續執行了
5.如果檢視函式或檢視類中使用render方法來向客戶端返回資料,則會觸發中介軟體中的process_template_response方法

4.Django CSRF中介軟體的原始碼解析

Django CSRF中介軟體的原始碼

class CsrfViewMiddleware(MiddlewareMixin):

    def _accept(self, request):
        request.csrf_processing_done = True
        return None

    def _reject(self, request, reason):
        logger.warning(
            'Forbidden (%s): %s', reason, request.path,
            extra={
                'status_code': 403,
                'request': request,
            }
        )
        return _get_failure_view()(request, reason=reason)

    def _get_token(self, request):
        if settings.CSRF_USE_SESSIONS:
            try:
                return request.session.get(CSRF_SESSION_KEY)
            except AttributeError:
                raise ImproperlyConfigured(
                    'CSRF_USE_SESSIONS is enabled, but request.session is not '
                    'set. SessionMiddleware must appear before CsrfViewMiddleware '
                    'in MIDDLEWARE%s.' % ('_CLASSES' if settings.MIDDLEWARE is None else '')
                )
        else:
            try:
                cookie_token = request.COOKIES[settings.CSRF_COOKIE_NAME]
            except KeyError:
                return None

            csrf_token = _sanitize_token(cookie_token)
            if csrf_token != cookie_token:
                # Cookie token needed to be replaced;
                # the cookie needs to be reset.
                request.csrf_cookie_needs_reset = True
            return csrf_token

    def _set_token(self, request, response):
        if settings.CSRF_USE_SESSIONS:
            request.session[CSRF_SESSION_KEY] = request.META['CSRF_COOKIE']
        else:
            response.set_cookie(
                settings.CSRF_COOKIE_NAME,
                request.META['CSRF_COOKIE'],
                max_age=settings.CSRF_COOKIE_AGE,
                domain=settings.CSRF_COOKIE_DOMAIN,
                path=settings.CSRF_COOKIE_PATH,
                secure=settings.CSRF_COOKIE_SECURE,
                httponly=settings.CSRF_COOKIE_HTTPONLY,
            )
            patch_vary_headers(response, ('Cookie',))

    def process_request(self, request):
        csrf_token = self._get_token(request)
        if csrf_token is not None:
            # Use same token next time.
            request.META['CSRF_COOKIE'] = csrf_token

    def process_view(self, request, callback, callback_args, callback_kwargs):
        if getattr(request, 'csrf_processing_done', False):
            return None

        if getattr(callback, 'csrf_exempt', False):
            return None

        if request.method not in ('GET', 'HEAD', 'OPTIONS', 'TRACE'):
            if getattr(request, '_dont_enforce_csrf_checks', False):
                return self._accept(request)

            if request.is_secure():
                referer = force_text(
                    request.META.get('HTTP_REFERER'),
                    strings_only=True,
                    errors='replace'
                )
                if referer is None:
                    return self._reject(request, REASON_NO_REFERER)

                referer = urlparse(referer)

                if '' in (referer.scheme, referer.netloc):
                    return self._reject(request, REASON_MALFORMED_REFERER)

                if referer.scheme != 'https':
                    return self._reject(request, REASON_INSECURE_REFERER)

                good_referer = (
                    settings.SESSION_COOKIE_DOMAIN
                    if settings.CSRF_USE_SESSIONS
                    else settings.CSRF_COOKIE_DOMAIN
                )
                if good_referer is not None:
                    server_port = request.get_port()
                    if server_port not in ('443', '80'):
                        good_referer = '%s:%s' % (good_referer, server_port)
                else:
                    good_referer = request.get_host()

                good_hosts = list(settings.CSRF_TRUSTED_ORIGINS)
                good_hosts.append(good_referer)

                if not any(is_same_domain(referer.netloc, host) for host in good_hosts):
                    reason = REASON_BAD_REFERER % referer.geturl()
                    return self._reject(request, reason)

            csrf_token = request.META.get('CSRF_COOKIE')
            if csrf_token is None:
                return self._reject(request, REASON_NO_CSRF_COOKIE)

            request_csrf_token = ""
            if request.method == "POST":
                try:
                    request_csrf_token = request.POST.get('csrfmiddlewaretoken', '')
                except IOError:
                    pass

            if request_csrf_token == "":
                request_csrf_token = request.META.get(settings.CSRF_HEADER_NAME, '')

            request_csrf_token = _sanitize_token(request_csrf_token)
            if not _compare_salted_tokens(request_csrf_token, csrf_token):
                return self._reject(request, REASON_BAD_TOKEN)

        return self._accept(request)

    def process_response(self, request, response):
        if not getattr(request, 'csrf_cookie_needs_reset', False):
            if getattr(response, 'csrf_cookie_set', False):
                return response

        if not request.META.get("CSRF_COOKIE_USED", False):
            return response

        self._set_token(request, response)
        response.csrf_cookie_set = True
        return response

從上面的原始碼中可以看到,CsrfViewMiddleware中介軟體中定義了process_request,process_view和process_response三個方法

先來看process_request方法

def _get_token(self, request):  
    if settings.CSRF_USE_SESSIONS:  
        try:  
            return request.session.get(CSRF_SESSION_KEY)  
        except AttributeError:  
            raise ImproperlyConfigured(  
                'CSRF_USE_SESSIONS is enabled, but request.session is not '  
 'set. SessionMiddleware must appear before CsrfViewMiddleware ' 'in MIDDLEWARE%s.' % ('_CLASSES' if settings.MIDDLEWARE is None else '')  
            )  
    else:  
        try:  
            cookie_token = request.COOKIES[settings.CSRF_COOKIE_NAME]  
        except KeyError:  
            return None  
  
  csrf_token = _sanitize_token(cookie_token)  
        if csrf_token != cookie_token:  
            # Cookie token needed to be replaced;  
 # the cookie needs to be reset.  request.csrf_cookie_needs_reset = True  
 return csrf_token

def process_request(self, request):  
        csrf_token = self._get_token(request)  
        if csrf_token is not None:  
            # Use same token next time.  
      request.META['CSRF_COOKIE'] = csrf_token

從Django專案配置資料夾中讀取CSRF_USE_SESSIONS的值,如果獲取成功,則從session中讀取CSRF_SESSION_KEY的值,預設為'_csrftoken',如果沒有獲取到CSRF_USE_SESSIONS的值,則從傳送過來的請求中獲取CSRF_COOKIE_NAME的值,如果沒有定義則返回None。

再來看process_view方法

在process_view方法中,先檢查檢視函式是否被csrf_exempt裝飾器裝飾,如果檢視函式沒有被csrf_exempt裝飾器裝飾,則程式繼續執行,否則返回None。接著從request請求頭中或者cookie中獲取攜帶的token並進行驗證,驗證通過才會繼續執行與URL匹配的檢視函式,否則就返回403 Forbidden錯誤。

實際專案中,會在傳送POST,PUT,DELETE,PATCH請求時,在提交的form表單中新增

{% csrf_token %}

即可,否則會出現403的錯誤

5.csrf_exempt裝飾器和csrf_protect裝飾器

5.1 基於Django FBV

在一個專案中,如果註冊起用了CsrfViewMiddleware中介軟體,則專案中所有的檢視函式和檢視類在執行過程中都要進行CSRF驗證。

此時想使某個檢視函式或檢視類不進行CSRF驗證,則可以使用csrf_exempt裝飾器裝飾不想進行CSRF驗證的檢視函式

from django.views.decorators.csrf import csrf_exempt

@csrf_exempt  
def index(request):  
    pass

也可以把csrf_exempt裝飾器直接加在URL路由對映中,使某個檢視函式不經過CSRF驗證

from django.views.decorators.csrf import csrf_exempt  
  
from users import views  
 
urlpatterns = [  
    url(r'^admin/', admin.site.urls),  
    url(r'^index/',csrf_exempt(views.index)),  
]

同樣的,如果在一個Django專案中,沒有註冊起用CsrfViewMiddleware中介軟體,但是想讓某個檢視函式進行CSRF驗證,則可以使用csrf_protect裝飾器

csrf_protect裝飾器的用法跟csrf_exempt裝飾器用法相同,都可以加上檢視函式上方裝飾檢視函式或者在URL路由對映中直接裝飾檢視函式

from django.views.decorators.csrf import csrf_exempt  

@csrf_protect  
def index(request):  
    pass

或者

from django.views.decorators.csrf import csrf_protect  
  
from users import views  
 
urlpatterns = [  
    url(r'^admin/', admin.site.urls),  
    url(r'^index/',csrf_protect(views.index)),  
]

5.1 基於Django CBV

上面的情況是基於Django FBV的,如果是基於Django CBV,則不可以直接加在檢視類的檢視函式中了

此時有三種方式來對Django CBV進行CSRF驗證或者不進行CSRF驗證

方法一,在檢視類中定義dispatch方法,為dispatch方法加csrf_exempt裝飾器

from django.views.decorators.csrf import csrf_exempt
from django.utils.decorators import method_decorator

class UserAuthView(View):

    @method_decorator(csrf_exempt)
    def dispatch(self, request, *args, **kwargs):
        return super(StudentsView,self).dispatch(request,*args,**kwargs)

    def get(self,request,*args,**kwargs):
        pass

    def post(self,request,*args,**kwargs):
        pass

    def put(self,request,*args,**kwargs):
        pass

    def delete(self,request,*args,**kwargs):
        pass

方法二:為檢視類上方新增裝飾器

@method_decorator(csrf_exempt,name='dispatch')
class UserAuthView(View):
    def get(self,request,*args,**kwargs):
        pass

    def post(self,request,*args,**kwargs):
        pass

    def put(self,request,*args,**kwargs):
        pass

    def delete(self,request,*args,**kwargs):
        pass

方式三:在url.py中為類新增裝飾器

from django.views.decorators.csrf import csrf_exempt

urlpatterns = [
    url(r'^admin/', admin.site.urls),
    url(r'^auth/', csrf_exempt(views.UserAuthView.as_view())),
]

csrf_protect裝飾器的用法跟上面一樣

相關推薦

WiFi認證系統的人性化操作——時訊企業wifi

功夫 學習 銷量 策劃 國內 發出 頁面 程序 詳解 越復雜的東西,在使用起來的時候就非常的不便。就拿簡單的騎摩托車來說,跨騎式的摩托車有離合器、發動機、機油、換擋、點火等多門操作,一般人學習熟練的話,需要花很長的時間。而踏板式摩托車只需要輕輕帶動油門就走,幾乎不用學就可以

(轉) shiro權限框架04-shiro認證

software protected .get 打開 net 文件的 apach stc cdc http://blog.csdn.net/facekbook/article/details/54906635 shiro認證 本文介紹shiro的認證功能 認證流程

k8s認證授權

k8s認證授權理解認證授權1.1 為什麽要認證想理解認證,我們得從認證解決什麽問題、防止什麽問題的發生入手。 防止什麽問題呢?是防止有人入侵你的集群,root你的機器後讓我們集群依然安全嗎?不是吧,root都到手了,那就為所欲為,防不勝防了。 其實網絡安全本身就是為了解決在某些假設成立的條件下如何防範的問題。

K8S與Rancher 2.0內的身份認證與授權

Rancher Kubernetes 身份認證和授權 Rancher 2.0正式版已全面發布。Rancher 2.0是一個開源的Kubernetes管理平臺,為企業用戶提供Kubernetes-as-a-Service (Kubernetes即服務),並且能夠實現多Kubernetes集群的統一納

域名註冊、域名實名認證、域名解析流程

結算 郵件收發 域名解析 ans 小夥伴 ttl .com 添加 運營商 1、域名註冊流程詳解首先登陸阿裏雲網站 www.aliyun.com 點擊產品,選擇域名註冊(左下角藍色字體) 然後來到此頁面 在輸入框中填入你想要註冊的域名產看是否已經被註冊 如:shiyan

spring cloud-給Eureka Server加上安全的使用者認證

前言 在前面的一篇文章中spring cloud中啟動Eureka Server 我們啟動了Eureka Server,然後在瀏覽器中輸入http://localhost:8761/後,直接回車,就進入了spring cloud的服務治理頁面,這麼做在生產環境是極不安全的,下面,我們就

Laravel 使用者認證體系

本篇文章基於laravel 5.3。 使用者註冊、登入及密碼找回等功能幾乎是web系統的標配。正因如此,laravel將其作為一個獨立的部分抽象出來,供開發者使用,極大提高了開發人員的效率。 簡單來說,使用者認證就是系統對使用者提供的登入資訊進行校驗的過程。這一過程可以抽象為如下幾個部分:

JWT——Token認證的兩種實現和安全

前言: 最近因為專案中需要解決跨域取值的問題,所有考慮到用Token認證做技術支撐點,自己看了許多與之相關的文章,從中總結出了以下兩個要點(簽名和token時間)。在說這兩個要點之前先大概簡單說一下與之有關的一些問題。 首先,如果你對token認證的知識一點都不瞭解,那麼我覺得這篇文章還不太適合你,

Django的CSRF認證

1.csrf原理 csrf要求傳送post,put或delete請求的時候,是先以get方式傳送請求,服務端響應時會分配一個隨機字串給客戶端,客戶端第二次傳送post,put或delete請求時攜帶上次分配的隨機字串到服務端進行校驗 2.Django中的CSRF中介軟體 首先,我們知道Django中介軟體作用

Django自帶表User認證

認證登陸(附方法實現程式碼,百度網盤拉取即可下載,啟用碼:gqt1) 在進行使用者登陸驗證的時候,如果是自己寫程式碼,就必須要先查詢資料庫,看使用者輸入的使用者名稱是否存在於資料庫中; 如果使用者存在於資料庫中,然後再驗證使用者輸入的密碼,這樣一來就要自己編寫大量的程式碼。 事實上,Django已經提供

轉:JAVAWEB開發之許可權管理(二)——shiro入門以及使用方法、shiro認證與shiro授權

原文地址:JAVAWEB開發之許可權管理(二)——shiro入門詳解以及使用方法、shiro認證與shiro授權 以下是部分內容,具體見原文。 shiro介紹 什麼是shiro shiro是Apache的一個開源框架,它將軟體系統的安全認證相關的功能抽取出來,實現使用者身份認證,許可權授權、加密、會話

SSL握手通訊及linux下c/c++ SSL Socket(另附SSL雙向認證客戶端程式碼)

SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全(Transport Layer Security,TLS)是為網路通訊提供安全及資料完整性的一種安全協議。TLS與SSL在傳輸層對網路連線進行加密。   安全證書既包含了用於加密資料的金鑰

django jwt認證機制原理

幾種常用的認證機制轉載:https://segmentfault.com/a/1190000010312468HTTP Basic AuthHTTP Basic Auth 在HTTP中,基本認證是一種用來允許Web瀏覽器或其他客戶端程式在請求時提供使用者名稱和口令形式的身份憑

Shiro 登入認證原始碼

Apache Shiro 是一個強大且靈活的 Java 開源安全框架,擁有登入認證、授權管理、企業級會話管理和加密等功能,相比 Spring Security 來說要更加的簡單。 本文主要介紹 Shiro 的登入認證(Authentication)功能,主要從

SpringSecurity認證流程

SpringSecurity基本原理 在之前的文章《SpringBoot + Spring Security 基本使用及個性化登入配置》中對SpringSecurity進行了簡單的使用介紹,基本上都是對於介面的介紹以及功能的實現。 這一篇文章嘗試從原始碼的角度

Shiro 登錄認證源碼

owa fontsize ade 加密算 static end pub ons tle Shiro 登錄認證源碼詳解

App後臺開發運維和架構實踐學習總結(10)——基於Java-JWT前後端token認證實戰使用

一、什麼是JWT?瞭解JWT,認知JWT首先jwt其實是三個英語單詞JSON Web Token的縮寫。通過全名你可能就有一個基本的認知了。token一般都是用來認證的,比如我們系統中常用的使用者登入token可以用來認證該使用者是否登入。jwt也是經常作為一種安全的token使用。JWT的定義:JWT是一種

Spring Security(一)認證之核心元件和服務

一直以來都特別喜歡Spring的全家桶系列,也一直想寫關於Spring Security的系列文章,接觸security從最初的Guide開始入手,到專案中的原始碼閱讀,最近又沉下心來看了幾遍文件,打算嘗試一下,把我的理解都記錄下來,寫一個較為完整的系列文章。

奧塔線上:基於token認證的基礎知識

一、    什麼是TokenToken原始的意思是“令牌”,是服務端生成的一個自定義字串,作為客戶端進行資料請求的一個標識。在區塊鏈興起後,Token被賦予“代幣”或“通證”的含義,意思是一種可流通的加密數字權益證明。二、    Token的起源早在計算機網路剛興起時,Tok

eNSP下的PPP MP以及PAP/CHAP認證實驗配置

一、PPP MP實驗(用虛擬模板配置) 1.  拓撲圖 2.  配置說明 本模擬實驗採用將物理介面與虛擬模板介面直接關聯的方法,通過命令ppp mp virtual-template直接將鏈路繫結