用 Django 的 session 验证机制也可以做到前后端的完全分离

news/2025/2/19 10:22:47

用 Django 的 session 验证机制也可以做到,前后端的完全分离。当然本文只是为了证明可行性,在实际生产环境中,对于前后端完全分离, 主流的认证机制是 token 或 JWT token。从回答下面的问题,引出咱们的正题。

Django 整个认证过程中,从后端到前端, session id是怎么被触发写入cookie 的?
后端代码调用 response.set_cookie() 就会在响应头里写 Set-Cookie: sessionid=cji4w5gut31v62tq39b9lmwjtd4vb2si; expires=Thu, 31-Mar-2022 04:06:13 GMT; httponly; Max-Age=1209600; Path=/ (简单点的类似 Set-Cookie: rob_testcookie=robert; Path=/)
浏览器收到响应且解析响应头发现有 Set-Cookie,则就会触发自己写 cookie 也会把 Max-Age、Path 等信息写入cookie,然后在下次请求该domain的相关 URL 的时候把 cookie 带上, 这是浏览器自动的行为。

所以如果要用代码模拟浏览器的行为,就需要手动解析响应头,然后把这些信息自己保存起来比如写文件里,最后下次请求的时候,带上这些信息。(代码中可以调用 get_sessionid 去真正的获取 seesionid 然后再和业务接口通信, 当然也可以修改下 django_session 表里的数据同时把伪造的 sessionid 拿到放到 cookie 中,也就可以和业务接口通信了), 请参考: 下面的代码

import requests
import json
def get_sessionid():
    input_dict = {'username': 'admin', 'password': 'start01all'}
    url = 'http://192.168.56.101:8082/myself_login/'
    
    # 参考 https://blog.csdn.net/cpxsxn/article/details/98184681 避开 CSRF 的限制
    # res = requests.post(url, data=input_dict, allow_redirects=False)
    res = requests.post(url, data=input_dict, allow_redirects=False,
                        headers={'X-CSRFToken': 'mycsrftokenabc', 'Cookie': 'csrftoken=mycsrftokenabc'})
    print 'type(res.headers) = {0}, res.headers = {1}'.format(type(res.headers), res.headers)
    print 'type(res.text) = {0}, res.text = {1}'.format(type(res.text), res.text)
    print 'res.status_code = {0}'.format(res.status_code)
    var_cookie = res.headers.get('Set-Cookie')
    print 'var_cookie = {0}'.format(var_cookie)
    tmp_list = var_cookie.split(';')
    print '----------------------------'
    for item in tmp_list:
        if item.find('sessionid') != -1:
            session_related_info = item.split(',')
            for data in session_related_info:
                print 'session_relataed data = {0}'.format(data)
                if data.find('sessionid') != -1:
                    sessionid = data.split('=')[1]
    return sessionid

# 可以调用 get_sessionid 去真正的获取 seesionid 然后再和业务接口通信, 其中会涉及避开 CSRF 的限制
# 当然也可以修改下 django_session 表里的数据同时把伪造的 sessionid 拿到放到 cookie 中,也就可以和业务接口通信了
url = 'http://192.168.56.101:8082/data/student_data/'
# sessionid = get_sessionid()
sessionid = 'tvh1n5j5n22spesiq9mtvph5llkwl2c01'
print 'sessionid = {0}'.format(sessionid)
cookie = 'csrftoken=mycsrftokenabc;sessionid={0}'.format(sessionid)
res = requests.get(url,params={'user':'robert'}, headers={'X-CSRFToken': 'mycsrftokenabc', 'Cookie': cookie})
print res.text

进阶:
后来发现 request 包有 session 函数,恍然大悟原来一切都有现成的包,于是:

>>> import requests
>>> 
>>> url = 'http://192.168.56.101:8082/myself_login/'
>>> input_dict = {'password': 'start01all', 'username': 'admin'}
>>> s = requests.session()
>>>
>>> Case 1:
>>> res = s.post(url, data=input_dict,headers={'X-CSRFToken': 'mycsrftokenabc', 'Cookie': 'csrftoken=mycsrftokenabc'}, allow_redirects=False)
>>>
>>> res.cookies   
<RequestsCookieJar[Cookie(version=0, name='csrftoken', value='lJif1y7X2w110MlDXsegTbdoC5GNBS0J', port=None, port_specified=False, domain='192.168.56.101', domain_specified=False, domain_initial_dot=False, path='/', path_specified=True, secure=False, expires=1606134216, discard=False, comment=None, comment_url=None, rest={}, rfc2109=False), Cookie(version=0, name='rob_testcookie', value='robert', port=None, port_specified=False, domain='192.168.56.101', domain_specified=False, domain_initial_dot=False, path='/', path_specified=True, secure=False, expires=None, discard=True, comment=None, comment_url=None, rest={}, rfc2109=False), Cookie(version=0, name='sessionid', value='3k6e9t52ki988eslyfwc63d0taswd82o', port=None, port_specified=False, domain='192.168.56.101', domain_specified=False, domain_initial_dot=False, path='/', path_specified=True, secure=False, expires=1575894216, discard=False, comment=None, comment_url=None, rest={'httponly': None}, rfc2109=False)]>
>>> 
>>> 
>>> Case 2: 把 case 1 中的 allow_redirects 参数去掉即设置为 True, 注意看后端日志都会有重定向 url  /hello 的请求;同时由于 /hello 的视图函数并不会写 cookie, 所以 print res.cookies 会打印为空
>>> res = s.post(url, data=input_dict,headers={'X-CSRFToken': 'mycsrftokenabc', 'Cookie': 'csrftoken=mycsrftokenabc'})
>>> 
>>> res.cookies
<RequestsCookieJar[]>
>>> 

经常很多请求只有在登录后才能进行,实现登录效果一般的做法是执行登录请求,然后从返回结果中提取sessionid放入自定义cookie中。

这种方法在requests中也行得通,但requests提供了更为简单的方法,直接使用request.Session类来请求即可,其保持登录的原理是保留之前请求中服务端通过set-cookie等设置的参数

文章来源:https://blog.csdn.net/cpxsxn/article/details/102884805
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.niftyadmin.cn/n/1601527.html

相关文章

Django rest framework 序列化类

serializers是什么&#xff1f;官网是这样的”Serializers allow complex data such as querysets and model instances to be converted to native Python datatypes that can then be easily rendered into JSON, XML or other content types. “翻译出来就是&#xff0c;将复…

Django ORM 的 update_or_create

Django ORM 的 update_or_create 官网的手写版如下&#xff1a; defaults {first_name: Bob} try:obj Person.objects.get(first_nameJohn, last_nameLennon)for key, value in defaults.items():setattr(obj, key, value)obj.save() except Person.DoesNotExist:new_value…

Django 中的逻辑删除or标记删除or软删除

有时候在开发项目中&#xff0c;对某些数据可能只需要逻辑删除&#xff0c;并不真正的从数据库中删除数据。这时候只需要把继承的 Model 从 from django.db import models 改为 from model_utils.models import SoftDeletableModel 即可&#xff0c;就这么简单&#xff01; P…

Django 源码的 authenticate方法到 import_string

Django 的 import_string 是个小工具哈 在自定义的 myself_login(reqeust) 视图函数中有调用到 user authenticate(usernameusername, passwordpassword) 经分析 authenticate 源码的过程&#xff0c;发现 import_string 方法还挺精巧 def authenticate(**credentials):"…

Django 的 migrations本质

Django migrations 脚本: 项目设计的时候 migrations 脚本和 数据库的表结构是完全对应的通过 SQL 修改数据库表结构&#xff0c;比如 gender —> genderrr在 model 中增加相应的列: 增加 addr 列&#xff0c;执行 makemigrations 和 migrate 命令&#xff0c;发现居然能执…

MySQL 的事务和事务的隔离级别

mysql数据库&#xff0c;当且仅当引擎是InnoDB&#xff0c;才支持事务。 对于一个MYSQL数据库&#xff08;InnoDB&#xff09;&#xff0c;事务的开启与提交模式无非下面这两种情况&#xff1a; 1>若参数autocommit0&#xff0c;事务则在用户本次对数据进行操作时自动开启&a…

Django请求生命周期的源码分析:中间件的process_request 、 process_view 、process_response的执行顺序和请求信号的发送

根据 Django runserver 源码流程分析 我们知道用 python manage.py runserver 0.0.0.0:8080 启动服务后&#xff0c;Django 对每一个请求都会启动一个线程去执行 C:\Python27\Lib\site-packages\django\core\wsgi.py 中的函数 get_wsgi_application 返回的类 WSGIHandler 的对象…

msyql date datetime

对于 mysql 的 datetime 列&#xff0c;如果你 insert 的是 date&#xff08;只有年月日&#xff09;&#xff0c;那么实际写入时会把时分秒设置为0 从而保存到数据库 mysql> CREATE TABLE zzz0210 -> (id bigint(20) UNSIGNED NOT NULL AUTO_INCREMENT COMMENT ID, -&g…