django session以及csrf token的创建过程

最新推荐文章于 2025-06-09 12:28:55 发布
最新推荐文章于 2025-06-09 12:28:55 发布
阅读量1k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: python 文章标签: WEB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cy_shichao/article/details/86087430
本文介绍了Django中session的使用,特别是用户登录过程中的session创建和CSRF token验证。当用户首次访问登录页面时,没有cookie信息。用户登录时,POST请求携带的csrfmiddlewaretoken与cookie中的CSRF TOKEN通过相同的解密算法验证,成功后在响应头中设置新的csrftoken,确保安全性。登录成功后,sessionid存储在cookie中,用户在后续访问中保持登录状态。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

(列出一个连接:该连接详细介绍了django session的基础用法,有兴趣的看:
https://www.cnblogs.com/zhaof/p/6281468.html
关于上述连接补充一点,request.session是一个既管理db中全部session也处理session_key对应
的当前session的一个对象,当前session的相关数据都存储在request.session._session中,有兴趣可以参看源码/site-packages/django/contrib/session/backends/db.py)

我们都知道session对应的是用户信息,django为登录的用户创建session的过程如下:

1、用户首次打开登录页面时,由于之前没有登录过,所以request头中不包含cookie字段
在这里插入图片描述
在这里插入图片描述

登录页面返回时会让用户设置csrf token
在这里插入图片描述

2、用户输入用户名和密码后,点击登录:
在这里插入图片描述

此时的POST请求的request头中会携带csrfmiddlewaretoken,而cookie中携带的是CSRF TOKEN(注意这两个token值不相同)。django会在后台对这两个token进行相同的解密算法,事实上这两个token原子与一个相同的值,所以在解密后二者的值是相等的,此时二者比较成功则验证通过,同时在回复的response header中设置新的csrftoken(此处这两个token的详细解密解密请参考/site-packages/django/middleware/csrf.py的源码)。

部分源码如下:

# Check non-cookie token for match.
request_csrf_token = ""
if request.method == "POST":
    try:
        request_csrf_token = request.POST.get('csrfmiddlewaretoken', '')
    except IOError:
        # Handle a broken connection before we've completed reading
        # the POST data. process_view shouldn't raise any
        # exceptions, so we'll ignore and serve the user a 403
        # (assuming they're still listening, which they probably
        # aren't because of the error).
        pass

if request_csrf_token == "":
    # Fall back to X-CSRFToken, to make things easier for AJAX,
    # and possible for PUT/DELETE.
    request_csrf_token = request.META.get(settings.CSRF_HEADER_NAME, '')

request_csrf_token = _sanitize_token(request_csrf_token)
if not _compare_salted_tokens(request_csrf_token, csrf_token):
    return self._reject(request, REASON_BAD_TOKEN)

这个是加密转换过的csrftoken

在应答中设置新的csrftoken,并设置sessionid

3、用户登录成功后,只要不执行logout,sessionid一直存放在cookie中,用户在访问后续的接口时就不需要再此登录了

在这里插入图片描述

Django 4.x CSRF 站点保护示例和使用配置方法
Mr数据杨
11-04 3万+
在现代Web开发中,安全性是不可忽视的重点之一。跨站请求伪造(CSRF)是一种常见的攻击手段,可能会给Web应用带来严重的安全风险。为了应对这种攻击,Django提供了一套完整的CSRF防护机制,帮助开发者在构建Web应用时,确保请求的合法性和安全性。
django之Cookie、SessionToken
Shawn派大星
04-21 597
一.Cookie、SessionToken的由来 我们知道HTTP协议无连接的, 也就是不保存用户的状态信息 早期(十几年前)的网页是静态的, 数据都是写死的, 人们访问网页只是用来查看新闻的, 没有保存用户状态的需求 而往后出现了像论坛、博客、网购这一类需要保存用户信息的网站, 如果网站不保存用户的状态信息, 意味着用户每次访问都需要重新输入用户名和密码, 这无疑对用户的体验是极其不好的 于是, 就出现了会话跟踪技术, 我们可以把它理解为客户端与服务端之间的一次会晤, 一次会晤包含的多次请求与响应, 每
django中间件生成csrf_token
fksfdh的博客
03-04 2528
class MiddlewareMixin: #django启动时就执行,与用户无关 def __init__(self, get_response=None): self.get_response = get_response super().__init__() def __call__(self, request): re...
django csrf_token生成
amo16617的博客
01-24 274
django模板中生成csrf_token的不同方式 系统环境CENTOS 6.4 python2.7.6 django 1.7.1 当post提交表单的的时候,是需要 csrf_token的, 它需要把request也添加到模板中,第二到第四个例子,会生成 csrf_token 当你用post提交表单,但是没有csrf_token的时候,会提示下面的错误: ...
CSRF Token
aheyor的博客
06-09 652
Pikachu的CSRF Token关卡中,若编辑请求未校验TokenToken静态固定,则Burp Suite可直接修改参数完成攻击。A[用户访问表单] --> B[服务端生成Token]欲深入Burp插件配置或Token生成源码,可参考。C --> D[用户提交携带Token的请求]D --> E[服务端校验Token一致性]B --> C[嵌入表单隐藏域/响应头]F -->|是| G[执行操作]F -->|否| H[拒绝请求]用户提交携带Token的请求。E --> F{合法?
5 - django-csrf-session&cookie
anhuoqiu1787的博客
03-28 480
目录 1 CSRF跨站请求伪造 1.1 CSRF攻击介绍及防御 1.2 防御CSRF攻击 1.2.1 验证 HTTP Referer 字段 1.2.2 在请求地址中添加 token 并验证 1.2.3 在 HTTP 头中自定义属性并验证 1...
Django(六)SessionCSRF、中间件
人生就是一场修行
01-10 3853
大纲二、session 1session与cookie对比 2、session基本原理及流程 3、session服务器操作(获取值、设置值、清空值) 4、session通用配置(在配置文件中) 5、session引擎配置(db、cache、file、cookie加密) 三、CSRF 1csrf原理-form提交及ajax提交 2、csrf全局与局部应用配置 四、中间件生命周期
django csrftoken
weixin_30662849的博客
04-04 332
CSRF(跨站请求伪造) 背景知识:浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。浏览器的同源策略并不能阻止CSRF攻击,因为浏览器不会停止js发送请求到服务端,只是在必要的时候拦截了响应的内容。或者说浏览器收到响应之前它不知道该不该拒绝。 攻击过程: 假设abc用...
解决Django提交表单报错:CSRF token missing or incorrect的问题
09-17
当你遇到"CSRF token missing or incorrect"的错误时,通常意味着Django无法找到或验证表单中的CSRF令牌,这可能是由于以下几个原因: 1. **缺失的CSRF令牌**:在Django的POST表单中,你需要包含`{% csrf_token %}`...
django Forbidden (CSRF token missing.): /editAnswerF
最新发布
06-24
我们正在解决Django中由于CSRFtoken缺失导致的Forbidden(403)错误。用户之前的问题是关于静态文件标签库的,但当前问题已经转向CSRFtoken缺失问题。根据Django官方文档,当POST请求中缺少CSRFtoken时,会引发CSRF...
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。...
Python自动化运维 - Django(三)CSRF - Cookie&Session
anhuoqiu1787的博客
03-20 330
CSRF跨站请求伪造   CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 CSRF攻击...
django-session-csrf, 无需 Cookies 就可以对 Django 进行CSRF保护.zip
09-18
django-session-csrf, 无需 Cookies 就可以对 Django 进行CSRF保护 这是什么?django-session-csrf 是不使用 Cookies的Django 保护的另一个实现。 相反,它使用 Django 后端会话在服务器上维护CSRF令牌。 csrf令牌仍然必须包含在所有POST请求( 在表单中使用
python csrf token cookie_DjangoCSRF_TOKEN和Cookie和Session实例浅析
weixin_34190683的博客
12-23 195
在book应用文件夹的views.py文件,编写视图函数,代码如下:from django.shortcuts import renderfrom .forms import BookInfoFormfrom django.http import HttpResponse# Create your views here.def bookform(request): if request.me...
Django中的Cookie、SessionToken
weixin_30770783的博客
12-10 311
Cookie :指望着为了辨别用户身份、进行会话跟踪而存储在用户本地的数据(通常经过加密),是由服务端生成,发送给客户端浏览器,浏览器会将Cookie以key/value保存,下一请求同一网站是就发送该Cookie给服务器 Django中写cookie: response.set_cookie(键,值,max_age=秒), 默认浏览器关闭过期 Django读cookie:...
django项目后台开发】TokenSession的区别、Token的生成方式(1
python全栈
05-17 1332
一、什么是JWT Json web token (JWT), 是为了在⽹络应⽤环境间传递声明⽽执⾏的⼀种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适⽤于分布式站点的单点登录(SSO)场景。JWT的声明⼀般被⽤来在身份提供者和服务提供者间传递被认证的⽤户身份信息,以便于从资源服务器获取资源,也可以增加⼀些额外的其它业务逻辑所必须的声明信息,该token也可直接被⽤于认证,也可被加密。 二、token的认证和传统的session认证的区别 1、传统的session认证
token、cookie和session区别以及django中的cookie,csrf
weixin_30920091的博客
07-18 203
 参考:https://my.oschina.net/xianggao/blog/395675?fromerr=GC9KVenE 【前言】登录时需要post的表单信息。   先跳过具体案例,讲解基础知识:   会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份,Sess...
django设置csrf_token
qq_43593912的博客
05-11 3709
一、关于csrf_token csrf:跨站请求伪造,防止其他人改造,盗取信息,反正就是一种网站的防护措施 服务器端:设置随机的csrf_token,get请求的时候就该设置好 客户端:携带上相应的csrf_token,post请求的时候携带上 二、form表单设置csrf_token 通过模板标签进行设置 当提交post请求的时候会自动带上 三、针对某个类视图设置csrf_token fr...
Python Django Web 框架会话技术(Cookie、SessionToken
理想的博客
07-22 419
一,什么是会话技术 Web浏览器和服务器之间的所有通信,都是通过HTTP协议进行的,该协议是无状态,短连接的。协议无状态的事实,意味着客户端和服务器之间的消息,完全相互独立 没有基于先前消息的“序列”或行为的概念。 会话:浏览器访问服务器端,发送多次请求,接受多次响应。直到有一方断开连接。会话结束。 解决问题:可以使用会话技术,在一次会话的多次请求之间共享数据。 通俗的说,因为Http协议是一个无状态协议,两次登录之间没有任何联系,想让它们之间有关系,就有了会话技术。也就是相当于变相延长了请求周期而且保存
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值