mar*_*ise 5 python django rest django-rest-framework
我有一个网络应用程序,django其中有一个模块使用它django-rest-framework来提供移动应用程序使用的API .
如果我登录到网络应用程序,csrf移动应用程序上的令牌会向我发送403 - Forbiden以下响应
{"detail":"CSRF Failed: CSRF token missing or incorrect."}
当我从网络应用程序注销时,我可以再次使用移动应用程序(即使没有再次登录,第一次会话).
我有以下几点 django-rest-framework-jwt
CORS_ORIGIN_ALLOW_ALL = True
CORS_URLS_REGEX = r'^/api/v1/.*$'
CORS_ALLOW_CREDENTIALS = True
JWT_AUTH = {
'JWT_SECRET_KEY': SECRET_KEY,
'JWT_ALGORITHM': 'HS256',
'JWT_VERIFY': True,
'JWT_VERIFY_EXPIRATION': True,
'JWT_LEEWAY': 0,
'JWT_EXPIRATION_DELTA': timedelta(days=120),
'JWT_AUDIENCE': None,
'JWT_ISSUER': None,
'JWT_ALLOW_REFRESH': True,
'JWT_REFRESH_EXPIRATION_DELTA': timedelta(days=7),
'JWT_AUTH_HEADER_PREFIX': 'JWT',
}
REST_FRAMEWORK = {
'DEFAULT_PERMISSION_CLASSES': (
'rest_framework.permissions.IsAuthenticated',
),
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework.authentication.SessionAuthentication',
'rest_framework.authentication.BasicAuthentication',
'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
),
'DEFAULT_FILTER_BACKENDS': ('rest_framework.filters.DjangoFilterBackend',)
}
最后是 INSTALLED_APPS
INSTALLED_APPS = (
'django.contrib.auth',
'django.contrib.contenttypes',
'django.contrib.sessions',
'django.contrib.sites',
'django.contrib.messages',
'django.contrib.staticfiles',
# Uncomment the next line to enable the admin:
'django.contrib.admin',
# Uncomment the next line to enable admin documentation:
'django.contrib.admindocs',
'djangotoolbox',
'autoload',
'dbindexer',
'gaeblob_storage',
################################## WEB APP MODULES
'myapp.modulos.presentacion',
'myapp.modulos.principal',
'myapp.modulos.proyecto',
'myapp.modulos.estado_1',
'myapp.modulos.estado_2',
'myapp.modulos.estado_3',
'myapp.modulos.comunicacion',
################################## API MODULE
'myapp.modulos.api',
'django_forms_bootstrap',
# API Rest
'jwt',
'rest_framework',
'rest_framework_jwt',
'corsheaders',
'django_filters',
# djangoappengine should come last, so it can override a few manage.py commands
'djangoappengine',
)
这里还有登录视图,
def login_view(request):
status = ""
if request.user.is_authenticated():
return redirect('/principal') #Cambiar cuando este el estado disponible
else:
if request.method == "POST":
form = LoginForm(request.POST)
if form.is_valid():
username = form.cleaned_data['username']
password = form.cleaned_data['password']
user = authenticate(username=username, password=password)
if user is not None and user.is_active:
login(request, user)
FLOW.params['state'] = xsrfutil.generate_token(settings.SECRET_KEY,request.user)
authorize_url = FLOW.step1_get_authorize_url()
return HttpResponseRedirect(authorize_url)
else:
status = "Usuario y/o Password incorrecto"
form = LoginForm()
ctx = {'form':form, 'status': status}
return render(request,'presentacion/login.html',ctx)
return render(request,'presentacion/login.html')
“默认情况下,如果传入请求未通过 CsrfViewMiddleware 执行的检查,则会向用户发送 \xe2\x80\x98403 Forbidden\xe2\x80\x99 响应。通常只有在存在真正的跨站点请求伪造时才会看到这种情况,或者由于编程错误,CSRF 令牌未包含在 POST 表单中。” https://docs.djangoproject.com/en/1.8/ref/csrf/#rejected-requests
\n\n您需要将csrf令牌与请求一起包含在表单数据中。
如果CSRF_COOKIE_HTTPONLY = True,您可以从 cookie 或 DOM 中获取它。
\n\n有关详细信息,请参阅Django 的 AJAX 文档。
\n| 归档时间: |
|
| 查看次数: |
928 次 |
| 最近记录: |