Django-04

Day04

学习目标

  • request对象
  • response对象
    • html响应
    • jsonresponse响应
  • httpresponse子类
  • 会话技术
    • cookie
    • session
    • token
    • cookie session token区别
  • csrf豁免

学习课程

1.request对象

概念:django框架根据Http请求报文自动生成的一个对象,包含了请求各种信息。
属性:
       path:请求的完整路径
       method:GET  1.11版本最大数据量2K
              POST 参数存在请求体中,文件上传等。
              请求的方法,常用GET,POST
              应用场景:前后端分离的底层 判断请求方式 执行对应的业务逻辑
       GET:QueryDict类字典结构 key-value
                              一个key可以对应多个值
                              get 获取最后一个
                              getlist 获取多个
                            类似字典的参数,包含了get请求方式的所有参数
      POST: 类似字典的参数,包含了post请求方式的所有参数
      面试题:QueryDict和Dict的区别?
             dict是字典对象,没有urlencode()方法;
              QueryDict对象,有urlencode()方法,作用是将QueryDict对象转换为url字符串;
              一般QueryDict通过params = copy.deepcopy(request.GET)得到的,这时params是QueryDict对象;
              也能params[key]=value进行添加数据
              
      encoding:编码方式,常用utf-8
      FILES:类似字典的参数,包含了上传的文件  文件上传的时候会使用  
             页面请求方式必须是post   form的属性enctype=multipart/form-data
             flask和django通用的   一个是专属于django
      COOKIES:类似字典的参数,包含了上传的文件  获取cookie
      session:类似字典,表示会话
      META:   应用反爬虫  REMOTE_ADDR  拉入黑名单
               客户端的所有信息 ip
               print(request.META)
              for key in request.META:
                    print(key, request.META.get(key))
              print("Remote IP", request.META.get("REMOTE_ADDR"))

2.HttpResponse对象

当浏览器访问服务器的时候 那么服务器响应的数据类型

响应分类:(1)HTML响应 (2)JsonResponse(前后端分离)

HTML响应
(1)基类HttpResponse   不使用模板,直接HttpResponse()
    def hello(request):
             response = HttpResponse()
             response.content = "德玛西亚"
             response.status_code = 404
             response.write("千锋")
             response.flush()
        return response
     方法
         init               初始化内容
         write(xxx)         直接写出文本
         flush()                冲刷缓冲区
         set_cookie(key,value='xxx',max_age=None,exprise=None)
         delete_cookie(key)     删除cookie,上面那个是设置
         
(2)render转发:
        方法的返回值类型也是一个HttpResponse

(3)HttpResponseRedirect重定向
     HttpResponse的子类,响应重定向:可以实现服务器内部跳转
    return HttpResponseRedict('/grade/2017')使用的时候推荐使用反向解析
    
    状态码:302
    
    简写方式:简写redirect方法的返回值类型就是HttpResponseRedirect
    
    反向解析:
            (1)页面中的反向解析 url方法
                     基本使用
                          {% url 'namespance:name'%}
                      url 位置参数
                          {% url 'namespace:name'  value1 value2 %}
                      url关键字参数
                          {% url 'namespace:name' key1=value1 key2 = value2 %}
            (2)python代码中的反向解析(一般python代码的反向解析都会结合重定向一起使用)
                     基本使用
                          reverse('namespace:name')
                      位置参数
                          reverse('namespace:name', args=(value1, value2 ...))
                          reverse('namespace:name', args=[value1, value2 ...])
                      关键字参数
                          reverse('namespace:name', kwargs={key1:value2, key2:value2 ...})

JsonResponse

这个类是HttpRespon的子类,它主要和父类的区别在于:
1.它的默认Content-Type 被设置为: application/json

2.第一个参数,data应该是一个字典类型,当 safe 这个参数被设置为:False ,那data可以填入任何能被转换为JSON格式的对象,比如list, tuple, set。 默认的safe 参数是 True. 如果你传入的data数据类型不是字典类型,那么它就会抛出 TypeError的异常。

def get_info(request):
    data = {
        "status": 200,
        "msg": "ok",
    }
    return JsonResponse(data=data)

HttpResponse子类

HttpResponse子类
    HttpResponseRedirect 
        -302
    HttpResponsePermanentRedirect
        - 重定向,永久性- 
        -301
    HttpResponseBadRequest  
        -400
    HttpResponseNotFound
        - 404
    HttpResponseForbidden
        - 403   csrf 防跨站攻击 
    HttpResponseNotAllowed
        - 405   
    HttpResponseServerError
        - 500
    Http404- Exception
           - raise 主动抛异常出来

3.会话技术

为什么会有会话技术?
    服务器如何识别客户端
    Http在Web开发中基本都是短连接
    请求生命周期从Request开始,到Response就结束
会话技术:cookie session  token(自定义的session)

(1)cookie:

    客户端会话技术,数据都存储在客户端,以key-value进行存储,支持过期时间max_age,默认请求会携带本网站的所有cookie,cookie不能跨域名,不能跨浏览器,cookie默认不支持中文,base64
    cookie是服务器端创建  保存在浏览器端
    设置cookie应该是服务器 response
    获取cookie应该在浏览器 request
    删除cookie应该在服务器 response
    
cookie使用:
    设置cookie:response.set_cookie(key,value)
    获取cookie:username =request.COOKIES.get("username")
    删除cookie:response.delete_cookie("username")
    
    可以加盐:加密 获取的时候需要解密
        加密  
                response.set_signed_cookie('name', name, salt="xxxx")
        解密  
             获取的是加盐之后的数据
                uname = request.COOKIES.get('content)
             获取的是解密之后数据
                uname = request.get_signed_cookie("content", salt="xxxx")
        
    通过Response将cookie写到浏览器上,下一次访问,浏览器会根据不同的规则携带cookie过来
        max_age:整数,指定cookie过期时间  单位秒
        expries:整数,指定过期时间,还支持是一个datetime或   timedelta,可以指定一个具体日期时间
        max_age和expries两个选一个指定
        过期时间的几个关键时间
            max_age 设置为 0 浏览器关闭失效
            设置为None永不过期
            expires=timedelta(days=10) 10天后过期

(2)session

    服务端会话技术,数据都存储在服务端,默认存在内存 RAM,在django被持久化到了数据库中,该表叫做
    Django_session,这个表中有三个字段,分别为seesion_key,session_data,expris_date.
    Django中Session的默认过期时间是14天,支持过期,主键是字符串,默认做了数据安全,使用了BASE64
        - 使用的base64之后 那么这个字符串会在最后面添加一个==
        - 在前部添加了一个混淆串
    依赖于cookies
session使用:
    设置session
            request.session["username"] = username
    获取session
            username = request.session.get("username")
    使用session退出
            del request.session['username']
                cookie是脏数据
            response.delete_cookie('sessionid')
                session是脏数据
            request.session.flush()
               冲刷
    session常用操作
        get(key,default=None) 根据键获取会话的值
        clear() 清楚所有会话
        flush() 删除当前的会话数据并删除会话的cookie
        delete request['session_id'] 删除会话
        session.session_key获取session的key
        request.session[‘user’] = username
            数据存储到数据库中会进行编码使用的是Base64

(3)token

基本概念:Token 的中文意思是“令牌”。主要用来身份验证。 Facebook,Twitter,Google+,Github 等大型网站都在使用。比起传统的身份验证方法,Token 有扩展性强,安全性高的特点,非常适合用在 Web 应用或者移动应用上,如果使用在移动端或客户端开发中,通常以Json形式传输,服务端会话技术,自定义的Session,给他一个不能重复的字符串,数据存储在服务器中
验证方法:使用基于 Token的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:
1.客户端使用用户名跟密码请求登录
2.服务端收到请求,去验证用户名与密码
3.验证成功后,服务端会签发一个 Token,再把这个Token 发送给客户端
4.客户端收到 Token以后可以把它存储起来,比如放在 Cookie里或者 Local Storage里
5.客户端每次向服务端请求资源的时候需要带着服务端签发的Token
6.服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据
python常用Token生成方法:
(1)binascii.b2a_base64(os.urandom(24))[:-1]
    使用举例:
        >>> import binascii
        >>> import os
        >>>binascii.b2a_base64(os.urandom(24))[:-1]

        b'J1pJPotQJb6Ld+yBKDq8bqcJ71wXw+Xd'
    总结:这种算法的优点是性能快, 缺点是有特殊字符, 需要加replace 来做处理。
(2)sha1(os.urandom(24)).hexdigest()
    使用举例:
        >>> import hashlib
        >>> import os
        >>> hashlib.sha1(os.urandom(24)).hexdigest()

        '21b7253943332d0237a720701bcb8161b82db776'
    总结:这种算法的优点是安全,不需要做特殊处理。缺点是覆盖范围差一些。
 (3)uuid4().hex
    使用举例:
        >>> import os
        >>> import uuid
        >>> uuid.uuid4().hex

        'c58a80d3b7864b0686757b95e9626e47'
    总结:Uuid使用起来比较方便, 缺点为安全性略差一些。
(4)base64.b32encode(os.urandom(20))/base64.b64encode(os.urandom(24))
    使用举例:
        >>> import base64
        >>> import os
        >>>base64.b32encode(os.urandom(20))
        
        b'NJMTBMOYIXHNRATTOTVONT4BXJAC25TX'
        
        >>>base64.b64encode(os.urandom(24))

        b'l1eU6UzSlWsowm8M8lH5VaFhZEAQ4kQj'
    
    总结:可以用base64的地方,选择binascii.b2a_base64是不错的选择
         根据W3的SessionID的字串中对identifier的定义,SessionID中使用的是base64,但在Cookie的值内使用需要注意“=”这个特殊字符的存在;
         如果要安全字符(字母数字),SHA1也是一个不错的选择,性能也不错;

token的应用:
import hashlib

# 待加密内容
strdata = "xiaojingjiaaseafe16516506ng"

h1 = hashlib.md5()
h1.update(strdata.encode(encoding='utf-8'))

strdata_tomd5 = h1.hexdigest()

print("原始内容:", strdata, ",加密后:", strdata_tomd5)

import time
import base64
import hmac


# 生产token
def generate_token(key, expire=3600):
    r'''''
        @Args:
            key: str (用户给定的key,需要用户保存以便之后验证token,每次产生token时的key 都可以是同一个key)
            expire: int(最大有效时间,单位为s)
        @Return:
            state: str
    '''
    ts_str = str(time.time() + expire)
    ts_byte = ts_str.encode("utf-8")
    sha1_tshexstr = hmac.new(key.encode("utf-8"), ts_byte, 'sha1').hexdigest()
    token = ts_str + ':' + sha1_tshexstr
    b64_token = base64.urlsafe_b64encode(token.encode("utf-8"))
    return b64_token.decode("utf-8")


# 验证token
def certify_token(key, token):
    r'''''
        @Args:
            key: str
            token: str
        @Returns:
            boolean
    '''
    token_str = base64.urlsafe_b64decode(token).decode('utf-8')
    token_list = token_str.split(':')
    if len(token_list) != 2:
        return False
    ts_str = token_list[0]
    if float(ts_str) < time.time():
        # token expired
        return False
    known_sha1_tsstr = token_list[1]
    sha1 = hmac.new(key.encode("utf-8"), ts_str.encode('utf-8'), 'sha1')
    calc_sha1_tsstr = sha1.hexdigest()
    if calc_sha1_tsstr != known_sha1_tsstr:
        # token certification failed
        return False
        # token certification success
    return True


key = "xiaojingjing"
print("key:", key)
user_token = generate_token(key=key)

print("加密后:", user_token)
user_de = certify_token(key=key, token=user_token)
print("验证结果:", user_de)

key = "xiaoqingqing"
user_de = certify_token(key=key, token=user_token)
print("验证结果:", user_de)

(4)cookie与session的区别

1、cookie数据存放在客户端上,session数据放在服务器上。
2、cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗 
考虑到安全应当使用session。
3、session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能 
考虑到减轻服务器性能方面,应当使用COOKIE

(5)session与token的区别

1.作为身份认证 token安全性比session好,因为每个请求都有签名还能防止监听以及重放攻击
2.Session 是一种HTTP存储机制,目的是为无状态的HTTP提供的持久机制。Session 认证只是简单的把User 信息存储到Session 里,因为SID 的不可预测性,暂且认为是安全的。这是一种认证手段。 但是如果有了某个User的SID,就相当于拥有该User的全部权利.SID不应该共享给其他网站或第三方.
3.Token,如果指的是OAuth Token 或类似的机制的话,提供的是 认证 和 授权 ,认证是针对用户,授权是针对App。其目的是让 某App有权利访问 某用户 的信息。这里的 Token是唯一的。不可以转移到其它 App上,也不可以转到其它 用户上。

4.csrf豁免

CSRF
    防跨站攻击
    实现机制
        页面中存在{% csrf_token %}时
        在渲染的时候,会向Response中添加 csrftoken的Cookie
        在提交的时候,会被添加到请求体中, 会被验证有效性
    csrf(https://www.jianshu.com/p/d1407591e8de)
解决csrf的问题/csrf豁免:
    1 注释中间件
    2 在表单中添加{%csrf_token%}
    3 在方法上添加 @csrf_exempt
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,839评论 6 482
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,543评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 153,116评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,371评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,384评论 5 374
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,111评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,416评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,053评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,558评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,007评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,117评论 1 334
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,756评论 4 324
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,324评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,315评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,539评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,578评论 2 355
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,877评论 2 345