关于AJAX direfent站点请求的Django + Django REST csrf

时间:2015-06-02 00:30:00

标签: python django rest django-rest-framework

我有django网络应用,其中有一个模块使用django-rest-framework来提供移动应用使用的API。

如果我登录网络应用,移动应用上的csrf令牌会向我发送403 - Forbiden,并附上以下回复

   {"detail":"CSRF Failed: CSRF token missing or incorrect."}

当我从网络应用退出时,我可以再次使用移动应用(即使没有再次登录,也可以使用第一个会话)。

我有关于django-rest-framework-jwt

的以下内容 
CORS_ORIGIN_ALLOW_ALL = True
CORS_URLS_REGEX = r'^/api/v1/.*$'
CORS_ALLOW_CREDENTIALS = True

JWT_AUTH = {
    'JWT_SECRET_KEY': SECRET_KEY,
    'JWT_ALGORITHM': 'HS256',
    'JWT_VERIFY': True,
    'JWT_VERIFY_EXPIRATION': True,
    'JWT_LEEWAY': 0,
    'JWT_EXPIRATION_DELTA': timedelta(days=120),
    'JWT_AUDIENCE': None,
    'JWT_ISSUER': None,

    'JWT_ALLOW_REFRESH': True,
    'JWT_REFRESH_EXPIRATION_DELTA': timedelta(days=7),

    'JWT_AUTH_HEADER_PREFIX': 'JWT',
}

REST_FRAMEWORK = {
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.IsAuthenticated',
    ),
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.BasicAuthentication',
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
    ),

    'DEFAULT_FILTER_BACKENDS': ('rest_framework.filters.DjangoFilterBackend',)
}

最后这里是INSTALLED_APPS 

INSTALLED_APPS = (
    'django.contrib.auth',
    'django.contrib.contenttypes',
    'django.contrib.sessions',
    'django.contrib.sites',
    'django.contrib.messages',
    'django.contrib.staticfiles',
    # Uncomment the next line to enable the admin:
    'django.contrib.admin',
    # Uncomment the next line to enable admin documentation:
    'django.contrib.admindocs',
    'djangotoolbox',
    'autoload',
    'dbindexer',
    'gaeblob_storage',
    ################################## WEB APP MODULES
    'myapp.modulos.presentacion',
    'myapp.modulos.principal',
    'myapp.modulos.proyecto',
    'myapp.modulos.estado_1',
    'myapp.modulos.estado_2',
    'myapp.modulos.estado_3',
    'myapp.modulos.comunicacion',
    ################################## API MODULE
    'myapp.modulos.api',
    'django_forms_bootstrap',
    # API Rest
    'jwt',
    'rest_framework',
    'rest_framework_jwt',
    'corsheaders',
    'django_filters',

    # djangoappengine should come last, so it can override a few manage.py commands
    'djangoappengine',
)

此处还有登录视图

def login_view(request):

    status = ""
    if request.user.is_authenticated():
        return redirect('/principal') #Cambiar cuando este el estado disponible
    else:
        if request.method == "POST":
            form = LoginForm(request.POST)
            if form.is_valid():
                username = form.cleaned_data['username']
                password = form.cleaned_data['password']
                user = authenticate(username=username, password=password)
                if user is not None and user.is_active:
                    login(request, user)
                    FLOW.params['state'] = xsrfutil.generate_token(settings.SECRET_KEY,request.user)
                    authorize_url = FLOW.step1_get_authorize_url()
                    return HttpResponseRedirect(authorize_url)
                else:
                    status = "Usuario y/o Password incorrecto"
        form = LoginForm()
        ctx = {'form':form, 'status': status}
        return render(request,'presentacion/login.html',ctx)

    return render(request,'presentacion/login.html')

2 个答案:

答案 0 :(得分:0)

“默认情况下,如果传入请求未通过CsrfViewMiddleware执行的检查,则会向用户发送'403 Forbidden'响应。通常只有在存在真正的跨站点请求伪造或者由于一个编程错误,一个POST表格中没有包含CSRF令牌。“ https://docs.djangoproject.com/en/1.8/ref/csrf/#rejected-requests

您需要在表单数据中包含variable % 12 == 0令牌以及请求。

如果CSRF_COOKIE_HTTPONLY = True,您可以从Cookie或DOM中获取它。

有关详细信息,请参阅Django's AJAX docs

答案 1 :(得分:0)

更改DEFAULT_AUTHENTICATION_CLASSES的顺序,使JSONWebTokenAuthentication成为第一个。

如果您向API提供有效的JWT,则应该对请求进行身份验证,而不检查包含CSRF令牌的有效会话。

相关问题
最新问题