一、用户认证系统

• Django内置一个用户认证系统，使用auth模块实现。
• auth模块提供了登录、注册、效验、修改密码、注销、验证用户是否登录等功能。
  

• Django默认创建的数据库表。

表名	作用
auth_user	用户表
auth_user_groups	用户所属组的表
auth_user_user_permissions	用户权限表
auth_group	用户组表
auth_group_permissions	用户组权限表
auth_permission	存放全部权限的表，其他的表的权限都是从此表中外键连接过去的
django_session	保存HTTP状态
django_migrations	数据库迁移记录

二、案例：登陆认证

2.1 平台登入

1.登陆成功，进入平台首页；登陆失败，返回错误信息。

###################################################
1、定义url路由规则，ORM/urls.py文件。
from django.contrib import admin
from django.urls import path,include,re_path
from ORM import views
urlpatterns = [path('admin/', admin.site.urls),re_path('^$',views.home),path('myapp/',include('myapp.urls')),path('login/',views.login)
]
###################################################
2、定义视图，ORM/views.py文件。
from django.shortcuts import render,HttpResponse,redirect
from django.contrib import auth
def home(request):return render(request,'index.html')
def login(request):if request.method == "GET":return render(request, 'login.html')elif request.method == "POST":username = request.POST.get('username')password = request.POST.get('password')user = auth.authenticate(username=username, password=password)if user:##验证通过后，将session信息保存到数据库中。auth.login(request, user)   return redirect("/")else:msg = "用户名或密码错误！"return render(request,'login.html',{'msg':msg})
###################################################
3、定义html模板，templates/login.html
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>管理后台页面</title>
</head>
<body>
<ht>欢迎访问管理后台</ht>
<form action="" method="post">用户名 : <input type="text" name="username"><br>密码 : <input type="text" name="password"><br><button type="submit">登录</button><span style="color: red">{{ msg }}</span>
</form>
</body>
</html>
###################################################
4、平台首页渲染模板templates/index.html，新增”退出登录“按钮。
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>平台首页</title>
</head>
<body>
<h1>网站首页</h1>
<a href="/logout"><button>退出登录</button></a>
</body>
</html>

2.进入django管理后台，新增一个测试用户xiaoming，添加auth权限。

3.测试效果。

2.2 平台登出

• 就是清空django_session表中记录的用户登录状态信息，若数据存在该表中，则认定处于登陆状态；删除数据，则认定登出。

1.退出登录，返回到登陆页面。

###################################################
1、定义url路由规则，ORM/urls.py文件。
from django.contrib import admin
from django.urls import path,include,re_path
from ORM import views
urlpatterns = [path('admin/', admin.site.urls),re_path('^$',views.home),path('myapp/',include('myapp.urls')),path('login/',views.login),path('logout/',views.logout),   ##新增url
]
###################################################
2、新增视图，ORM/views.py文件。
def logout(request):# 清除当前用户的session信息auth.logout(request)return redirect('/login')

2.3 login_required装饰器

• login_required装饰器：判断用户是否登录，如果没有登录引导至登录页面，登录成功后跳转到目的页面。

1.在settings.py文件设置没有登录默认跳转页面。

##文件末尾添加。
LOGIN_URL = '/login/'

2.在需要登录后才能访问页面的视图添加装饰器。

from django.contrib.auth.decorators import login_required@login_required()    ##语法糖引用装饰器。
def user_add(request):............

3.效果验证。

三、Django Session管理

Session与Cookie是什么?

• 网站采用是HTTP协议，它本身就是一个无状态的，记不住我们上次来浏览器上做了什么事。
• 这时，服务器给每个用户贴了一个小纸条，上面记录了服务器给我们返回的一些信息。后面服务器看到这张小纸条就知道我们是谁了。
• 这个小纸条就是Cookie。

Cookie工作原理：

1. 浏览器第一次访问服务器时，服务器此时肯定不知道它的身份，所以创建一个独特的身份标识数据，格式为key=value，放入到Set-Cookie字段里，随着响应报文发给浏览器。
2. 浏览器看到有Set-Cookie字段以后就知道这是服务器给的身份标识，于是就保存起来，下次请求时会自动将此key=value值放入到Cookie字段中发给服务器。
3. 服务器收到请求报文后，发现Cookie字段中有值，就能根据此值识别用户的身份然后提供个性化的服务。
   

Session的作用：

• 试想一下，如果将用户账户的一些信息都存入Cookie中的话，一旦信息被拦截，那么所有的账户信息都会可能被泄露丢，这是不安全的。
• 所以就出现了Session，在一次会话中将重要信息保存在Session中，浏览器只记录SessionId，一个SessionId对应一次会话请求。
  

3.1 Django使用Session

3.1.1 Cookie用法

• 在settings.py配置文件中设置客户端Cookie。

参数	描述
SESSION_COOKIE_NAME ＝ “sessionid”	Session的cookie保存在浏览器上时的key 即：sessionid＝随机字符串（默认）
SESSION_COOKIE_PATH ＝ “/”	Session的cookie保存的路径（默认）
SESSION_COOKIE_DOMAIN = None	Session的cookie保存的域名（默认）
SESSION_COOKIE_SECURE = False	是否Https传输cookie（默认）
SESSION_COOKIE_HTTPONLY = True	是否Session的cookie只支持http传输（默认）
SESSION_COOKIE_AGE = 1209600	Session的cookie失效日期（2周）（默认）
SESSION_EXPIRE_AT_BROWSER_CLOSE = False	是否关闭浏览器使得Session过期（默认）
SESSION_SAVE_EVERY_REQUEST = False	是否每次请求都保存Session，默认修改之后才保存（默认）

1.设置Cookie过期时间，单位s。

##ORM/settings.py文件末尾添加此行。
SESSION_COOKIE_AGE = 30*60

2.设置关闭浏览器使得Session过期。

##ORM/settings.py文件末尾添加此行。
SESSION_EXPIRE_AT_BROWSER_CLOSE = True

3.1.2 Session用法

• 在视图中操作Session。

参数	描述
request.session[‘key’] = value	向Session写入键值
request.session.get(‘key’,None)	获取Session中键的值
request.session.flush()	清除Session数据
request.session.set_expiry(value)	Session过期时间

1.自定义向Session写入键值，前端可以拿到该value值。

3.2 案例：用户登录认证

1.自己实现登陆验证功能。

############################################################################
##根据上文内容，将login接口试图修改成如下内容。
def login(request):if request.method == "GET":return render(request, 'login.html')elif request.method == "POST":username = request.POST.get('username')password = request.POST.get('password')if username =="qingjun" and password == "citms@123":#登录成功，is_login设置为Truerequest.session['is_login'] = True  request.session[ 'username'] = username   #保存用户名到数据库。return redirect("/")else:msg ="用户名或密码错误 !"return render(request,'login.html',{'msg': msg})############################################################################
1、定义装饰器，可以给其他视图引用，新增文件ORM/main.py。
from django.shortcuts import render,HttpResponse,redirect
def self_login_required(func):def inner(request):is_login = request.session.get('is_login', False)if is_login:return func(request)else:return redirect("/login")return inner
############################################################################
2、引用装饰器。
from ORM.main import self_login_required
@self_login_required
def home(request):return render(request, 'index.html')

2.查看效果。

四、Django CSRF安全防护机制

概念：

• CSRF（Cross Site Request Forgery）：跨站请求伪造，实现的原理是CSRF攻击者在用户已经登录目标网站之后，诱使用户访问一个攻击页面，利用目标网站对用户的信任，以用户身份在攻击页面对目标网站发起伪造用户操作的请求，达到攻击目的。

Django怎么验证一个请求是不是CSRF？

• Django处理客户端请求时，会生成一个随机Token，放到Cookie里一起返回，然后需要前端每次POST请求时带上这个Token，可以放到POST数据里键为csrfmiddlewaretoken，或者放到请求头键为X-CSRFToken，Django从这两个位置取，每次处理都会拦截验证，通过比对两者是否一致来判断这个请求是不是非法，非法就返回403状态码。

可以携带CSRF Token发送给服务端的方法：

1. from表单添加{% csrf_token %}标签，表单会携带一同提交。
2. 如果你是Ajax请求，需要把csrf token字符串（也是通过拿{% csrf_token %}标签产生的值）放到data里一起提交，并且键名为csrfmiddlewaretoken或者放到请求头传递服务端。
3. 指定取消某函数视图CSRF防护。

1.Django默认启用CSRF保护机制，当有post请求时，就会被拦截。

2.此时可以给html模板中添加csrf标签，浏览器可以其值与表单一起提交给服务端。


3.还有其他两种方式。

##########################################################
方式2，不建议使用，建议在html模板中添加标签方式返回。
from django.views.decorators.csrf import csrf_exempt
@csrf_exempt
def index(request):
return render(request, 'index.html')
##########################################################
var csrf_token = $("[name='csrfmiddlewaretoken']").val();
var data = {'id': '123', 'csrfmiddlewaretoken': csrf_token};
$.ajax({type: "POST",url: "/api",data: data,dataType: 'json'
})