Django Rest Framework将不接受我的CSRF令牌

时间:2019-04-25 18:40:35

标签: python django cookies django-rest-framework csrf

我正在尝试使用Django Rest Framework构建单页应用程序。为了进行身份验证,我使用一个登录视图来启动会话,并要求在所有api路由上使用csrf保护。因为没有模板,所以csrf_token标签从未使用过,因此我必须手动使用get_token获取令牌。我不想将其放在将在主视图中提供的主索引文件中,而是要在其自己的cookie上进行设置。不,这不是django提供的CSRF Coo​​kie,因为它具有CSRF机密,此外,我提到我正在使用会话,因此该机密存储在此处。该cookie将具有令牌,该令牌将用于所有变异请求。

我已经尽一切努力让django接受cookie,但是没有任何效果。第一次我可以登录的很好,因为没有以前的会话,但是此后的任何事情都只会引发错误403。我尝试使用ensure_csrf_cookie,但这没有帮助。我尝试了没有会议,仍然一无所获。我什至尝试重新安排中间件的顺序,但还是一无所获。我什至尝试使用自己的自定义中间件来创建cookie,但是它没有用。到目前为止,这是我最终得到的代码:

views.py 

@api_view(http_method_names = ["GET"])
def home(request):
    """API route for retrieving the main page of web application"""
    return Response(None, status = status.HTTP_204_NO_CONTENT);

class LoginView(APIView):
    """API endpoint that allows users to login"""
    def post(self, request, format = None):
        """API login handler"""
        user = authenticate(username = request.data["username"], password = request.data['password']);
        if user is None:
            raise AuthenticationFailed;
        login(request, user);
        return Response(UserSerializer(user).data);

class LogoutView(APIView):
    """API endpoint that allows users to logout of application"""
    def post(self, request, format = None):
        logout(request);
        return Response(None, status = status.HTTP_204_NO_CONTENT);

settings.py 

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware'
]

# Sessions

SESSION_ENGINE = "django.contrib.sessions.backends.file"
SESSION_FILE_PATH = os.getenv("DJANGO_SESSION_FILE_PATH")
SESSION_COOKIE_AGE = int(os.getenv("SESSION_LIFETIME")) * 60
SESSION_COOKIE_HTTPONLY = True
SESSION_COOKIE_NAME = os.getenv("SESSION_COOKIE")
SESSION_COOKIE_SECURE = os.getenv("APP_ENV") != "local"

# CSRF
CSRF_USE_SESSIONS = True
# the following setting is for the csrf token only, not for the CSRF secret, which is the default for django
CSRF_TOKEN_CARRIER = os.getenv("XSRF_COOKIE")
CSRF_HEADER_NAME = "X-XSRF-TOKEN"
CSRF_COOKIE_SECURE = SESSION_COOKIE_SECURE
CSRF_COOKIE_AGE = SESSION_COOKIE_AGE
CSRF_TOKEN_HTTPONLY = False

REST_FRAMEWORK = {
    "EXCEPTION_HANDLER":"django_app.application.exceptions.global_exception_handler",
    "DEFAULT_AUTHENTICATION_CLASSES":[
        "rest_framework.authentication.SessionAuthentication"
    ]
}

这是我编写的自定义中间件,但我现在不使用:

"""Custom CSRF Middleware for generating CSRF cookies"""
from django.conf import settings;
from django.middleware.csrf import CsrfViewMiddleware, rotate_token, get_token;

class CSRFCookieMiddleware:
    """Sets CSRF token cookie for ajax requests"""
    def __init__(self, get_response):
        self.get_response = get_response;

    def __call__(self, request):
        response = self.get_response(request);
        if settings.CSRF_USE_SESSIONS:
            response.set_cookie(
                settings.CSRF_TOKEN_CARRIER,
                get_token(request),
                max_age=settings.CSRF_COOKIE_AGE,
                domain=settings.CSRF_COOKIE_DOMAIN,
                path=settings.CSRF_COOKIE_PATH,
                secure=settings.CSRF_COOKIE_SECURE,
                httponly=settings.CSRF_COOKIE_HTTPONLY,
                samesite=settings.CSRF_COOKIE_SAMESITE,
            );
        return response;

错误403响应:

HTTP/1.1 403 Forbidden
Date: Thu, 25 Apr 2019 17:11:28 GMT
Server: WSGIServer/0.2 CPython/3.7.0
Content-Type: application/json
Vary: Accept, Cookie
Allow: POST, OPTIONS
X-Frame-Options: SAMEORIGIN
Content-Length: 59

{
  "message": "CSRF Failed: CSRF token missing or incorrect."
}

这是我在vs代码中的REST客户端中使用的http请求:

POST http://electro:8000/api/logout
X-XSRF-TOKEN: JFaygAm49v6wChT6CcUJaeLwq53YwzAlnEZmoE0m21cg9xLCnZGvTt6oM9MKbvV8
Cookie: electro=nzzv64gymt1aqu4whdhax1s9t91c3m58

当静态网站和API得到大量支持时,我无法相信调整框架以与单页应用程序一起工作有多么困难。那我哪里出问题了?

1 个答案:

答案 0 :(得分:0)

我终于知道发生了什么事。 Buried deep in the django documentation,我发现CSRF_HEADER_NAME设置具有特定的语法/格式:

# default value
CSRF_HEADER_NAME = "HTTP_X_CSRFTOKEN";

为了解决这个问题,文档从字面上说,对于我来说,我必须根据自己的喜好设置值,例如:

CSRF_HEADER_NAME = "HTTP_X_XSRF_TOKEN";

因此,它现在可以接受X-XSRF-TOKEN标头中的令牌以及会话cookie。但是,由于我使用的是与CSRF的会话,因此必须使用我创建的自定义中间件(请参阅问题)来手动设置CSRF令牌Cookie。这是因为sure_csrf_cookie显然只会抛出会话cookie。

最后,如果您需要保护登录路由,由于使用的是SessionAuthentication,因此我需要自定义中间件ensure_csrf_cookiecsrf_protect,以便获得使用csrf令牌启动会话,然后在登录时提交这些令牌:

@api_view(http_method_names = ["GET"])
@ensure_csrf_cookie
def home(request):
    """API route for retrieving the main page of web application"""
    return Response(None, status = status.HTTP_204_NO_CONTENT);

@method_decorator(csrf_protect, 'dispatch')
@method_decorator(ensure_csrf_cookie, 'dispatch')
class LoginView(APIView):
    """API endpoint that allows users to login"""
    def post(self, request, format = None):
        """API login handler"""
        user = authenticate(username = request.data["username"], password = request.data['password']);
        if user is None:
            raise AuthenticationFailed;
        login(request, user);
        return Response(UserSerializer(user).data);

这对使用Django构建单页应用后端的人有帮助

相关问题
最新问题