《Web接口开发与自动化测试基于Python语言》–第3章

《Web接口开发与自动化测试基于Python语言》–读书笔记

第3章

3.1 来写个登录功能

修改/guest/sign/templates/index.html：

<!DOCTYPE html><html>    <head>        <meta charset="utf-8">        <title>Django Page</title>    </head>    <body>        <h1>发布会管理</h1>        <form>            <input name="username" type="text" placeholder="username"><br>            <input name="password" type="password" placeholder="password"><br>            <button id="btn" type="submit">登录</button>        </form>    </body></html>

思考如下问题：

• 当用户输入用户名密码并点击登录按钮后，登录表单form中的数据以何种方式提交GET/POST到服务器端？

• Django如何验证用户名密码的正确性？

• 如果验证成功应该如何处理？

• 如果验证失败应该如何处理？

下面一一解答上述的疑问。

GET与POST请求

GET：从指定的资源请求数据；

POST：向指定的资源提交要被处理的数据。

GET请求

get方法传递参数，修改index.html，给form表单增加属性method=”get”：

        <form method="get">            <input name="username" type="text" placeholder="username"><br>            <input name="password" type="password" placeholder="password"><br>            <button id="btn" type="submit">登录</button>        </form>

输入用户名密码admin/admin123，点击登录按钮，浏览器的URL地址栏变为：

http://127.0.0.1:8000/index/?username=admin&password=admin123

get方法会将用户提交的数据添加到URL地址中，路径后面跟问号？，其中username为HTML代码中<\input>标签的name属性值（name=”username”），admin是用户在用户名输入框中填写的用户名，多个参数之间用&符号分隔。

POST请求

修改method=”post”，再次输入用户名密码并点击登录按钮，页面提示403错误：

建议：仔细阅读错误帮助信息有助于解决问题。

CSRF漏洞：跨站请求伪造漏洞，Cross-Site Request Forgery。

Django针对CSRF的保护措施是在生成的每个表单中放置一个自动生成的令牌，通过这个令牌判断POST请求是否来自同一个网站。

还是修改index.html，增加csrf信息，使用Django模板中的标签：{% csrf_token %}

再次刷新页面并使用浏览器的F12功能查看POST请求具体信息：

Form Datausername:adminpassword:admin123csrfmiddlewaretoken:CEueSfB9S4bJQoW9x……n0OvGDAhWC9rIH2S7PegwZew

可以看到当页面向Django服务器发送POST请求的时候，服务器端还要求客户端加上csrfmiddlewaretoken字段，该字段的值为当前会话ID加上一个密钥的散列值。

如果想忽略掉该检查，可以修改/guest/settings.py文件的MIDDLEWARE：

MIDDLEWARE = [    'django.middleware.security.SecurityMiddleware',    'django.contrib.sessions.middleware.SessionMiddleware',    'django.middleware.common.CommonMiddleware',    #'django.middleware.csrf.CsrfViewMiddleware',    'django.contrib.auth.middleware.AuthenticationMiddleware',    'django.contrib.messages.middleware.MessageMiddleware',    'django.middleware.clickjacking.XFrameOptionsMiddleware',]

处理登录请求

Django服务器如何接收请求的数据并加以处理呢？
还是修改index.html，在form表单中增加action属性来指定提交的路径：

<form method="post" action="/login_action/">

这样，当我们再次点击登录按钮，将由http://127.0.0.1:8000/login_action/路径来提交登录请求。
我们再来处理login_action，先修改/guest/urls.py文件增加login_action的路由：

from sign import viewsurlpatterns = [    url(r'^login_action/$', views.login_action)]

然后修改视图/guest/sign/views.py文件，增加login_action函数来处理验证信息：

from django.http import HttpResponsefrom django.shortcuts import render# Create your views here.def index(request):    return render(request, "index.html")# 登录动作def login_action(request):    if request.method == 'POST':        username = request.POST.get('username', '')        password = request.POST.get('password', '')        if username == 'admin' and password == 'admin123':            return HttpResponse("Login Success!")        else:            return render(request, 'index.html', {'error':'username or password error!'})

对上述代码进行分析：

1. 通过request.method得到客户端的请求方式，并判断是否为POST方式；

2. 通过request.POST来获取POST请求数据，通过.get()方法获取username、password，如果参数为空，则返回一个空的字符串；

3. 通过if语句判断username、password是否为admin/admin123，如果是则通过HttpResponse类返回字符串Login Success!，否则通过render返回index.html登录页面，并且同时返回错误提示的字典。

注意：

客户端发送的请求信息全部包含在request中，如何获取request中的信息，可参考：
https://docs.djangoproject.com/en/1.10/ref/request-response/

由于views.py里的login_action函数定义了登录失败时的错误提示，所以要同步修改index.html，增加错误信息展示的代码，修改如下：

            <input name="password" type="password" placeholder="password"><br>            {{ error }}<br>            <button id="btn" type="submit">登录</button>

这里依然是使用了Django模板的标签功能，它对应render返回字典中的key，即“error”，在登录失败的页面中显示对应的value，即“username or password error!”。

刷新/index/查看登录成功和登录失败的效果。

登录成功页

当登录验证通过后，就需要其他HTML页面来展示下一步内容。

根据本例发布会签到系统，登录成功后应进入发布会管理页面，创建/guest/sign/templates/event_manage.html

<!DOCTYPE html><html>    <head>        <meta charset="utf-8">        <title>Event Manage Page</title>    </head>    <body>        <h1>Login Success!</h1>    </body></html>

同时修改视图/guest/sign/views.py文件增加event_manage函数：

from django.http import HttpResponse, HttpResponseRedirect# 登录动作def login_action(request):    if request.method == 'POST':        username = request.POST.get('username', '')        password = request.POST.get('password', '')        if username == 'admin' and password == 'admin123':            #return HttpResponse("Login Success!")            return HttpResponseRedirect('/event_manage/')        else:            return render(request, 'index.html', {'error':'username or password error!'})# 发布会管理def event_manage(request):    return render(request, "event_manage.html")

注意： HttpResponseRedirect类，它可以对路径进行重定向，从而将登录成功之后的请求指向/event_mange/目录，即http://127.0.0.1:8000/event_manage/。

最后修改/guest/urls.py文件增加event_mange路由：

urlpatterns = [    url(r'^admin/', admin.site.urls),    url(r'^index/$', views.index),    url(r'^login_action/$', views.login_action),    url(r'^event_manage/$', views.event_manage),]

3.2 Cookie和Session

通过在登录成功后，增加登录成功页显示“嘿，admin 你好！”，来研究Cookie和Session。

Cookie机制： Cookie分发通过扩展HTTP协议来实现，服务器通过在HTTP的响应头中加上一行特殊的指示来提示浏览器按照指示生成相应的Cookie。浏览器检查所有存储的Cookie，如果某个Cookie所声明的作用范围大于等于将要请求的资源所在的位置，则把该Cookie附在请求资源的HTTP请求头上发给服务器。

Session机制： Session机制是一种服务器端的机制，服务器使用一种类似于散列表的结构来保存信息。

Cookie的使用

这里我调整了下顺序，感觉按作者之前提到的Django的工作顺序来讲解代码的修改更合理：

• 首先，修改/guest/urls.py文件，由于还是使用上面提到的登录成功后的展示页面，所以依然使用event_mange路由，无需修改；

• 其次，修改/guest/sign/views.py文件，添加Cookie处理相关代码：

# 登录动作def login_action(request):    if request.method == 'POST':        username = request.POST.get('username', '')        password = request.POST.get('password', '')        if username == 'admin' and password == 'admin123':            #return HttpResponse("Login Success!")            #return HttpResponseRedirect('/event_manage/')            response = HttpResponseRedirect('/event_manage/')            response.set_cookie('user', username, 3600) # 添加浏览器Cookie            return response        else:            return render(request, 'index.html', {'error':'username or password error!'})# 发布会管理def event_manage(request):    username = request.COOKIES.get('user', '') # 读取浏览器Cookie    return render(request, "event_manage.html", {"user":username})

讲解上述代码，当用户登录成功后，在跳转到event_mange视图函数的过程中，通过set_cookie()方法向浏览器中添加Cookie信息。

set_cookie()方法传递了三个参数：user，用于表示写入浏览器的Cookie名；username，是由用户在登录页面上输入的用户名即admin；3600，是用于设置Cookie信息在浏览器中的保持时间，单位为秒。

在event_mange视图函数中，通过request.COOKIES来读取Cookie名为“user”的值，并且通过render将它和event_mange.html页面一起返回。

• 最后，修改/guest/sign/templates/event_manage.html文件，添加<\div>标签来显示用户名：

<!DOCTYPE html><html>    <head>        <meta charset="utf-8">        <title>Event Manage Page</title>    </head>    <div style="float:right;">        <a>嘿！{{ user }} 欢迎</a><hr/>    </div>    <body>        <h1>Login Success!</h1>    </body></html>

注意： 这里仍使用模板标签，user将会由views.py中的event_mange函数获取的username所代替。

最后重新登录查看效果，并且通过浏览器的F12功能查看POST请求的头部中Cookie信息为：

Cookie:csrftoken=djsNd8BDErmFNZVXqg……9nZrDez5PgQFIaVLcVHhHcA1; user=admin

Session的使用

Cookie虽然好但是存在安全性问题，不法分子可能会篡改Cookie获取想要的数据。

Session相比要安全很多，在Django中使用Session和Cookie类似，只需要将Cookie的几步操作替换为Session操作即可。

只需要修改/guest/sign/views.py文件：

# 登录动作def login_action(request):    if request.method == 'POST':        username = request.POST.get('username', '')        password = request.POST.get('password', '')        if username == 'admin' and password == 'admin123':            #return HttpResponse("Login Success!")            #return HttpResponseRedirect('/event_manage/')            response = HttpResponseRedirect('/event_manage/')            #response.set_cookie('user', username, 3600) # 添加浏览器Cookie            request.session['user'] = username           # 将session信息添加到浏览器            return response        else:            return render(request, 'index.html', {'error':'username or password error!'})# 发布会管理def event_manage(request):    #username = request.COOKIES.get('user', '') # 读取浏览器Cookie    username = reuqest.session.get('user', '')  # 读取浏览器session    return render(request, "event_manage.html", {"user":username})

再次刷新页面登录，得到了如下错误：

OperationalError at /login_action/no such table: django_session

为什么会有此错误？

原因：使用Session从Web服务器来记录用户信息，就应该有存放用户sessionid对应信息的地方才行，即需要在数据库中创建用于存放sessionid的表。

Django已经准备好这些常用表，只需要使用如下命令来生成即可：

root@TEST:/home/test/guest# python manage.py migrateOperations to perform:  Apply all migrations: admin, auth, contenttypes, sessionsRunning migrations:  Applying contenttypes.0001_initial... OK  Applying auth.0001_initial... OK  Applying admin.0001_initial... OK  Applying admin.0002_logentry_remove_auto_add... OK  Applying contenttypes.0002_remove_content_type_name... OK  Applying auth.0002_alter_permission_name_max_length... OK  Applying auth.0003_alter_user_email_max_length... OK  Applying auth.0004_alter_user_username_opts... OK  Applying auth.0005_alter_user_last_login_null... OK  Applying auth.0006_require_contenttypes_0002... OK  Applying auth.0007_alter_validators_add_error_messages... OK  Applying auth.0008_alter_user_username_max_length... OK  Applying sessions.0001_initial... OK

migrate命令可进行数据迁移，那么问题来了，我们并没有设置数据库，为什么已经生成了数据库表呢？
这是因为Django默认设置了SQLite3数据库，数据库配置存储在/guest/settings.py文件中：

# Database# https://docs.djangoproject.com/en/1.10/ref/settings/#databasesDATABASES = {    'default': {        'ENGINE': 'django.db.backends.sqlite3',        'NAME': os.path.join(BASE_DIR, 'db.sqlite3'),    }}

3.3 Django认证系统

前面的例子，对于用户身份的验证，只是使用了简单的if语句进行判断，本节会实现真正的用户信息验证。

登录Admin后台

在使用migrate命令进行数据迁移时，Django同时也创建了auth_user表，该表中存放的用户信息可以用来登录Django自带的Admin管理后台。在此之前，需要使用如下命令，创建Admin帐号：

python manage.py createsuperuser

本例创建的超级管理员Admin帐号：admin/admin123456

Admin管理后台的地址是：http://127.0.0.1:8000/admin/

都是图形操作界面，不再做过多解释。可自己动手尝试增加用户。

引用Django认证登录

Django已经封装好了用户认证和登录的相关方法，只需要拿来用即可。并且，同样使用auth_user表中的数据进行验证，前面已经通过Admin后台向该表中添加了用户信息。

要达到此目的，只需要修改/guest/sign/views.py文件中的login_action函数：

from django.contrib import auth# 登录动作def login_action(request):    if request.method == 'POST':        username = request.POST.get('username', '')        password = request.POST.get('password', '')        user = auth.authenticate(username=username, password=password)        if user is not None:            auth.login(request, user)                   # 登录        #if username == 'admin' and password == 'admin123':            #return HttpResponse("Login Success!")            #return HttpResponseRedirect('/event_manage/')            #response.set_cookie('user', username, 3600) # 添加浏览器Cookie            request.session['user'] = username           # 将session信息添加到浏览器            response = HttpResponseRedirect('/event_manage/')            return response        else:            return render(request, 'index.html', {'error':'username or password error!'})

代码讲解：

authenticate()函数认证给出的用户名和密码，它接受两个参数：username、password，并且会在用户名密码正确的情况下返回一个user对象，否则authenticate()返回None。

if语句对authenticate()返回对象进行判断，如果不为None，说明用户认证通过，则调用auth的login()函数进行登录，它接受两个参数：HttpRequest对象、一个user对象。

返回到index页面，尝试使用admin/admin123456和自定义用户进行登录。

关上窗户

在浏览器中直接访问：http://127.0.0.1:8000/event_manage/

不需要认证也可以访问这个页面，这是个漏洞，我们不允许用户不经认证就直接访问这些页面，所有需要将这个窗户关闭。

要做到这点，只需要再指定的视图函数前增加装饰器即可，如下修改/guest/sign/views.py文件：

from django.contrib.auth.decorators import login_required# 发布会管理@login_requireddef event_manage(request):    #username = request.COOKIES.get('user', '') # 读取浏览器Cookie    username = request.session.get('user', '')  # 读取浏览器Session    return render(request, "event_manage.html", {"user":username})

清空缓存，再次访问/event_manage/，Django会提示页面不存在：Page not found 404

我们可以发现一个问题，当访问@login_required装饰器的视图时，默认跳转的URL中会包含“/accounts/login/”，这里为什么不让它直接跳转到登录页面？不仅要告诉用户窗户是关着的，还指引用户到门的位置来进行登录操作呢？

想要达到这个目的，需要做如下修改，在/guest/urls.py文件中，增加新的路径配置：

from sign import viewsurlpatterns = [    url(r'^$', views.index),    url(r'^admin/', admin.site.urls),    #url(r'^index/$', views.index),    url(r'^login_action/$', views.login_action),    url(r'^event_manage/$', views.event_manage),    url(r'^accounts/login/$', views.index),]

当用户访问：
http://127.0.0.1:8000
http://127.0.0.1:8000/index/
http://127.0.0.1:8000/event_manage/
都会跳转到登录页面。但是如果尝试访问一个不存在的页面，Django依然会给出404错误。