该文章介绍了如何在Django框架下利用Pillow库创建一个验证码功能,以此防止CSRF攻击。首先,通过pip安装Pillow库,然后在视图方法中生成随机的验证码图片并存储到session中。接着,创建路由、表单以及模板,让用户在登录时输入验证码。最后,验证用户的输入验证码是否与服务器端的验证码一致,以确保登录的安全性。
是一种方式防止csrf的策略。在用户注册、登录页面的时候使用;为了防止暴力请求,减轻服务器压力。
目录
安装pillow库
pillow 是 PIL 的替代版本,PIL 软件包提供了基本的图像处理功能,如:改变图像大小,旋转图像,图像格式转换,色场空间转换,图像增强,直方图处理,插值和滤波等等。验证码功能需要pillow来实现。
安装命令
pip install pillow因为我已经安装了,所以显示如下:
验证码显示
引入PIL
这个是用来制作验证码图片的库,需要用到Image,ImageDraw,ImageFont
from PIL import Image, ImageDraw, ImageFont引入random
接下来有一些随机数的应用需要用到random库
import random视图方法
这个视图是一个完整实现验证码的方法,其中图片宽度、高度,字体间距,字体大小已经调整好。如果觉得不合适可以进行微调,都是单拎出来的变量。其中也设置了session可以在表单提交处理的时候获取以作验证。
注意:你本地的字体路径,可能需要改一下。
def verify_code(request):
""" 验证码 """
bgcolor = (random.randrange(20, 100), random.randrange(20, 100), random.randrange(20, 100))
width = 100
height = 30
# 字体间距
spacing = width/4
# 字体大小
fontSize = 20
# 创建画面对象
im = Image.new('RGB', (width, height), bgcolor)
# 创建画笔对象
draw = ImageDraw.Draw(im)
# 调用画笔的point()函数绘制噪点
for i in range(0, 100):
xy = (random.randrange(0, width), random.randrange(0, height))
fill = (random.randrange(0, 255), 255, random.randrange(0, 255))
draw.point(xy, fill=fill)
# 定义验证码的备选值
strs = '1234567890qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM'
# 随机选取4个值作为验证码
rand_str = ''
for i in range(0, 4):
rand_str += strs[random.randrange(0, len(strs))]
# 构建字体对象
font = ImageFont.truetype(r'C:\Windows\Fonts\微软雅黑\msyh.ttc', fontSize)
# 构造字体颜色
fontcolor1 = (255, random.randrange(0, 255), random.randrange(0, 255))
fontcolor2 = (255, random.randrange(0, 255), random.randrange(0, 255))
fontcolor3 = (255, random.randrange(0, 255), random.randrange(0, 255))
fontcolor4 = (255, random.randrange(0, 255), random.randrange(0, 255))
# 绘制4个字
draw.text((5, 2), rand_str[0], font=font, fill=fontcolor1)
draw.text((spacing, 2), rand_str[1], font=font, fill=fontcolor2)
draw.text((spacing*2, 2), rand_str[2], font=font, fill=fontcolor3)
draw.text((spacing*3, 2), rand_str[3], font=font, fill=fontcolor4)
# 释放画笔
del draw
# 存入session,用于做进一步验证
request.session['verify_code'] = rand_str
# 内存文件操作
import io
buf = io.BytesIO()
# 将图片保存在内存中,文件类型为png
im.save(buf, 'png')
# 将内存中的图片数据返回给客户端,MIME类型为图片png
return HttpResponse(buf.getvalue(), 'image/png')创建路由
path('verify_code', views.verify_code, name='verify_code')访问当前路由可看到验证码图片。
创建表单
创建表单是用作显示验证码和提交表单内容校验验证码测试流程使用。
模板内容
verify.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登录</title>
</head>
<body>
<form action="{% url 'app:verify_auth' %}" method="post">
账号:<input type="text" name="username"><br>
密码:<input type="password" name="pwd"><br>
验证码:<img src="{% url 'app:verify_code' %}" alt="">
<input type="text" name="code">
{% csrf_token %}
<br>
<input type="submit" value="提交">
</form>
{{flag}}
</body>
</html>模板路由
path('verify_login', views.verify_login, name='verify_login'),模板视图
在这里显示表单模板。flag是用作显示错误提示。
def verify_login(request):
""" 验证码表单 """
flag = request.session.get('flag', '')
return render(request, 'blog/verify.html', {'flag': flag})视图验证
路由
path('verify_auth', views.verify_auth, name='verify_auth')引入
redirect需要引入,在下面校验的时候,用来跳转使用。
from django.shortcuts import redirect验证视图
分别获取服务端session值和表单提交的验证码值,统一做小写处理(大写也可以)。之后对比即可。判断后,正确的直接输出“登录成功!”;错误的设置flag内容,然后跳转到显示验证码的表单,并显示错误提示。这里redirect中的路由使用了反向解析。
def verify_auth(request):
""" 验证码校验 """
code = request.POST.get('code').lower()
service_code = request.session['verify_code'].lower()
if code != service_code:
request.session['flag'] = '<p style="color:red">验证码不正确!</p>'
return redirect('app:verify_login')
else:
return HttpResponse('登录成功!')效果
成功
登录成功!
失败
总结
其实验证码的前端的实现原理和流程都大同小异,只是具体实现的语言不同罢了。
扫一扫
219
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
