装饰器
装饰器本质上是一个Python函数,它可以让其他函数在不需要做任何代码变动的前提下增加额外功能,装饰器的返回值也是一个函数对象。它经常用于有切面需求的场景,比如:插入日志、性能测试、事务处理、缓存、权限校验等场景。装饰器是解决这类问题的绝佳设计,有了装饰器,我们就可以抽离出大量与函数功能本身无关的雷同代码并继续重用。
概括的讲,装饰器的作用就是为已经存在的函数或对象添加额外的功能。
带参数的装饰器
def logging(level):
def wrapper(func):
def inner_wrapper(*args, **kwargs):
print(f'[{level}]: enter function {func.__name__}()')
return func(*args, **kwargs)
return inner_wrapper
return wrapper
@logging(level='INFO')
def say(something):
print(f'say {something}!')
# 如果没有使用@语法,等同于
# say = logging(level='INFO')(say)
@logging(level='DEBUG')
def do(something):
print(f'do {something}...')
if __name__ == '__main__':
say('hello')
do('my work')
基于类实现的装饰器
装饰器函数其实是这样一个接口约束,它必须接受一个callable对象作为参数,然后返回一个callable对象。在Python中一般callable对象都是函数,但也有例外。只要某个对象重载了__call__()方法,那么这个对象就是callable的。
class Test():
def __call__(self):
print('call me!')
t = Test()
t() # call me
那么用类来实现也是也可以的。我们可以让类的构造函数init()接受一个函数,然后重载__call__()并返回一个函数,也可以达到装饰器函数的效果。
class logging(object):
def __init__(self, func):
self.func = func
def __call__(self, *args, **kwargs):
print(f"[DEBUG]: enter function {self.func.__name__}()")
return self.func(*args, **kwargs)
@logging
def say(something):
print(f"say {something}!")
带参数的类装饰器
class logging(object):
def __init__(self, level='INFO'):
self.level = level
def __call__(self, func): # 接受函数
def wrapper(*args, **kwargs):
print(f"[{self.level}]: enter function {func.__name__}()")
func(*args, **kwargs)
return wrapper #返回函数
@logging(level='INFO')
def say(something):
print(f"say {something}!")
csrf跨站请求伪造
<form action="" method="post">{% csrf_token %}
在网页中加入csrf_token的标签就可以通过csrf校验
Django 提供的 CSRF 防护机制:
1 django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 token,把这个 token 放在 cookie 里。然后每次 POST 请求都会带上这个 token,这样就能避免被 CSRF 攻击。
2 在返回的 HTTP 响应的 cookie 里,django 会为你添加一个 csrftoken 字段,其值为一个自动生成的 token,在所有的 POST 表单时,必须包含一个 csrfmiddlewaretoken 字段 (只需要在模板里加一个 tag, django 就会自动帮你生成,见下面)
3 在处理 POST 请求之前,django 会验证这个请求的 cookie 里的 csrftoken 字段的值和提交的表单里的 csrfmiddlewaretoken 字段的值是否一样。如果一样,则表明这是一个合法的请求,否则,这个请求可能是来自于别人的 csrf 攻击,返回 403 Forbidden.
4 在所有 ajax POST 请求里,添加一个 X-CSRFTOKEN header,其值为 cookie 里的 csrftoken 的值
中间件
执行过程
中间件执行前提
中间件要按照一定的顺序一层一层的执行下去,需要按照标准返回特定的内容:
- 如果为 None,则按照顺序继续向下执行
- 如果为 HttpResonse 对象,则直接将这个对象返回给用户
此处有一个版本前后的区别,请大家注意区分:
在 Django1.10之后, 当某个中间件,例如CsrfViewMiddleware请求process_request没有返回 None 后,这个请求会交给CsrfViewMiddleware的process_response来返回,即返回给相同一层的中间件来返回:
中间件方法:
1、process_request(self, request)
其中request参数就是我们的HttpRequest对象,process_request 会在每个request在被决定使用哪个view之前调用,它会返回None或HttpResponse对象
2、process_view(self, request, callback, callback_args, callback_kwargs)
其中request参数就是的HttpRequest对象,callback 就是请求被决定使用的 view 函数,书具体的函数名,不是字符串类型。callback_args和callback_kwargs是 view 函数需要接受的参数,它会返回None或HttpResponse对象
3、process_template_response(self, request, response)
其中request 是 HttpRequest 对象, response 是一个由Django view或者中间件返回的TemplateResponse 对象,process_template_response()在 view 使用 render 渲染一个模版对象完成之后被调用,它必须返回一个render 方法执行后的response对象。
4、process_exception(self, request, exception)
其中request参数就是的HttpRequest对象,exception是view函数中raise的Exception对象,当 view 函数 raise 一个 exception 的时候调用process_exception,它会返回None或HttpResponse对象
5、process_response(self, request, response)
其中request是 HttpRequest 对象,response 是一个django view或者中间件返回的 HttpResponse 或者StreamingHttpResponse对象,process_response会在所有响应到达浏览器之前被调用
装饰器方式实现登录验证:
判断登录验证的装饰器
- 1.外层函数内嵌内层函数
- 2.外层函数返回内层函数
- 3.内层函数调用外层函数的参数
def is_login(func):
def check_status(request):
token = request.COOKIES.get('token')
if token:
token_user = TokenUser.objects.filter(token=token).first()
if token_user:
# 返回func(request)表示继续执行被is_login装饰的函数
return func(request)
else:
return HttpResponseRedirect('/login/')
else:
return HttpResponseRedirect('/login/')
return check_status
views.py
@is_login
def my_index(request):
if request.method == 'GET':
return render(request, 'index.html')
中间件方式实现登录验证
自定义中间件
from django.http import HttpResponseRedirect
from django.utils.deprecation import MiddlewareMixin
from user.models import TokenUser, MyUser
class LoginStatusMiddleware(MiddlewareMixin):
def process_request(self, request):
# print('test1 request')
# 在访问登录和注册的时候,不需要做以下的登录校验功能
if request.path in ['/login/', '/register/']:
return None
# 登录校验
# token = request.COOKIES.get('token')
# if token:
# token_user = TokenUser.objects.filter(token=token).first()
# if token_user:
# return None
# else:
# return HttpResponseRedirect('/login/')
# else:
# return HttpResponseRedirect('/login/')
# session校验
# 1.获取cookie中的session值
# 2.查询django_session表中的session_key字段,查询到数据,则获取session_data中存入的键值对
user_id = request.session.get('user_id')
if user_id:
# 向request.user中赋值,赋值为当前的登录系统的用户对象
user = MyUser.objects.get(pk=user_id)
request.user = user
return None
else:
return HttpResponseRedirect('/login/')
# process_request中可以不写return,或者写return None
return None
def process_response(self, request, response):
print('test1 response')
return response
在settings.py文件中配置注册自定义中间件
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
'utils.middleware.LoginStatusMiddleware',
]
views.py文件
# @is_login
def my_index(request):
if request.method == 'GET':
return render(request, 'index.html')
设置session实现登录验证
使用session实现登录操作
- 1、向cookie中设置sessionid值,value为随机字符串
- 2、向django_session表中存入sessionid值,并保存键值对
request.session['user_id'] = user.id
中间件session校验
user_id = request.session.get('user_id')
if user_id:
# 向request.user中赋值,赋值为当前的登录系统的用户对象
user = MyUser.objects.get(pk=user_id)
request.user = user
return None
else:
return HttpResponseRedirect('/login/')
退出登录
def logout(request):
# 退出
# 1.删除cookie中的session值
# 2.或者删除django_session表中的数据
# request.session.flush() # 删除服务端表中数据和客户端cookie的数据
# 删除django_session表中的数据
request.session.delete(request.session.session_key)
# 删除session_data中的登录成功后设置的键值对
del request.session['user_id']
return HttpResponseRedirect('/login/')