Django数据库中的`csrftoken`存储在哪里?
csrftoken存放在哪里?
当我访问API端点(注销API时,不需要参数):
POST /rest-auth/logout/ HTTP/1.1
Host: 10.10.10.105:8001
Connection: keep-alive
Content-Length: 0
Accept: application/json, text/plain, */*
Origin: http://localhost:8080
Authorization: Token 0fe2977498e51ed12ddc93026b08ab0b1a06a434
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.146 Safari/537.36
Referer: http://localhost:8080/register
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: sessionid=b95zopro0qvkrexj8kq6mzo1d3z2hvbl; csrftoken=z53lKL0f7VHkilYS5Ax8FMaQCU2ceouje9OeTJOgTy4gH0UgHVltAlOe2KFNNNB6
标头位于上方。在响应中,我得到一个错误:
{"detail":"CSRF Failed: CSRF token missing or incorrect."}
因此,后端必须已验证csrftoken。
在后端数据库中,我找不到该csrftoken字段:
所以我想知道它在加密的session_data中保存在哪里?
鉴于文档中的此QAdjango,您可以看到该框架默认使用双重提交 Cookie方法(而不是同步器模式)。
这种方法不需要服务器存储CSRF令牌,因为它所做的唯一检查是将 cookie 中的令牌与标头(或参数)中的令牌进行比较,并验证它们是否相等。
另一方面,同步器模式确实将令牌存储在服务器CSRF中的某个位置,并且对于每个请求,它通过将其与通过标头发送的令牌(或像以前一样,在 POST 参数中)进行比较来验证其有效性。
您可以在此处阅读有关这两种方法的更多信息。
我猜您正在使用 Web 服务测试应用程序测试您的 API,在这种情况下,您在请求中的某个位置缺少第二个令牌。
本节介绍如何放置调用令牌AJAX:
AJAX 虽然上述方法可用于 AJAX POST 请求,但它有一些不便:您必须记住在每个 POST 请求中将 CSRF 令牌作为 POST 数据传递。因此,有一种替代方法:在每个 XMLHttpRequest 上,将自定义 X-CSRFToken 标头设置为 CSRF 令牌的值。这通常更容易,因为许多 JavaScript 框架提供了允许在每个请求上设置标头的钩子。
看到上面的请求,因此您应该放置此标头(当然,带有当前令牌的值):
X-CSRFToken: z53lKL0f7VHkilYS5Ax8FMaQCU2ceouje9OeTJOgTy4gH0UgHVltAlOe2KFNNNB6