我們繼續來完善投票應用。在上一個章節中,我們在用戶登錄成功後通過session保留了用戶信息,接下來我們可以應用做一些調整,要求在爲老師投票時必須要先登錄,登錄過的用戶可以投票,否則就將用戶引導到登錄頁面,爲此我們可以這樣修改視圖函數。
def praise_or_criticize(request: HttpRequest):
"""投票"""
if 'username' in request.session:
try:
tno = int(request.GET.get('tno', '0'))
teacher = Teacher.objects.get(no=tno)
if request.path.startswith('/praise'):
teacher.good_count += 1
else:
teacher.bad_count += 1
teacher.save()
data = {'code': 200, 'message': '操作成功'}
except (ValueError, Teacher.DoesNotExist):
data = {'code': 404, 'message': '操作失敗'}
else:
data = {'code': 401, 'message': '請先登錄'}
return JsonResponse(data)前端頁面在收到{'code': 401, 'message': '請先登錄'}後,可以將用戶引導到登錄頁面,修改後的teacher.html頁面的JavaScript代碼部門如下所示。
<script>
$(() => {
$('.comment > a').on('click', (evt) => {
evt.preventDefault()
let a = $(evt.target)
$.getJSON(a.attr('href'), (json) => {
if (json.code == 200) {
let span = a.next()
span.text(parseInt(span.text()) + 1)
} else if (json.code == 401) {
location.href = '/login/?backurl=' + location.href
} else {
alert(json.message)
}
})
})
})
</script>注意:爲了在登錄成功之後能夠回到剛纔投票的頁面,我們在跳轉登錄時設置了一個
backurl參數,把當前瀏覽器中的URL作爲返回的頁面地址。
這樣我們已經實現了用戶必須登錄才能投票的限制,但是一個新的問題來了。如果我們的應用中有很多功能都需要用戶先登錄才能執行,例如將前面導出Excel報表和查看統計圖表的功能都加以登錄限制,那麼我們是不是需要在每個視圖函數中添加代碼來檢查session中是否包含了登錄用戶的信息呢?答案是否定的,如果這樣做了,我們的視圖函數中必然會充斥着大量的重複代碼。編程大師Martin Fowler曾經說過:代碼有很多種壞味道,重複是最壞的一種。在Django項目中,我們可以把驗證用戶是否登錄這樣的重複性代碼放到中間件中。
中間件是安插在Web應用請求和響應過程之間的組件,它在整個Web應用中扮演了攔截過濾器的角色,通過中間件可以攔截請求和響應,並對請求和響應進行過濾(簡單的說就是執行額外的處理)。通常,一箇中間件組件只專注於完成一件特定的事,例如:Django框架通過SessionMiddleware中間件實現了對session的支持,又通過AuthenticationMiddleware中間件實現了基於session的請求認證。通過把多箇中間件組合在一起,我們可以完成更爲複雜的任務,Django框架就是這麼做的。
Django項目的配置文件中就包含了對中間件的配置,代碼如下所示。
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]我們稍微爲大家解釋一下這些中間件的作用:
- CommonMiddleware - 基礎設置中間件,可以處理以下一些配置參數。
- DISALLOWED_USER_AGENTS - 不被允許的用戶代理(瀏覽器)
- APPEND_SLASH - 是否追加
/ - USE_ETAG - 瀏覽器緩存相關
- SecurityMiddleware - 安全相關中間件,可以處理和安全相關的配置項。
- SECURE_HSTS_SECONDS - 強制使用HTTPS的時間
- SECURE_HSTS_INCLUDE_SUBDOMAINS - HTTPS是否覆蓋子域名
- SECURE_CONTENT_TYPE_NOSNIFF - 是否允許瀏覽器推斷內容類型
- SECURE_BROWSER_XSS_FILTER - 是否啓用跨站腳本攻擊過濾器
- SECURE_SSL_REDIRECT - 是否重定向到HTTPS連接
- SECURE_REDIRECT_EXEMPT - 免除重定向到HTTPS
- SessionMiddleware - 會話中間件。
- CsrfViewMiddleware - 通過生成令牌,防範跨請求份僞的造中間件。
- XFrameOptionsMiddleware - 通過設置請求頭參數,防範點擊劫持攻擊的中間件。
在請求的過程中,上面的中間件會按照書寫的順序從上到下執行,然後是URL解析,最後請求才會來到視圖函數;在響應的過程中,上面的中間件會按照書寫的順序從下到上執行,與請求時中間件執行的順序正好相反。
Django中的中間件有兩種實現方式:基於類的實現方式和基於函數的實現方式,後者更接近於裝飾器的寫法。裝飾器實際上是代理模式的應用,將橫切關注功能(與正常業務邏輯沒有必然聯繫的功能,例如:身份認證、日誌記錄、編碼轉換之類的功能)置於代理中,由代理對象來完成被代理對象的行爲並添加額外的功能。中間件對用戶請求和響應進行攔截過濾並增加額外的處理,在這一點上它跟裝飾器是完全一致的,所以基於函數的寫法來實現中間件就跟裝飾器的寫法幾乎一模一樣。下面我們用自定義的中間件來實現用戶登錄驗證的功能。
"""
middlewares.py
"""
from django.http import JsonResponse
from django.shortcuts import redirect
# 需要登錄才能訪問的資源路徑
LOGIN_REQUIRED_URLS = {
'/praise/', '/criticize/', '/excel/', '/teachers_data/',
}
def check_login_middleware(get_resp):
def wrapper(request, *args, **kwargs):
# 請求的資源路徑在上面的集合中
if request.path in LOGIN_REQUIRED_URLS:
# 會話中包含userid則視爲已經登錄
if 'userid' not in request.session:
# 判斷是不是Ajax請求
if request.is_ajax():
# Ajax請求返回JSON數據提示用戶登錄
return JsonResponse({'code': 10003, 'hint': '請先登錄'})
else:
backurl = request.get_full_path()
# 非Ajax請求直接重定向到登錄頁
return redirect(f'/login/?backurl={backurl}')
return get_resp(request, *args, **kwargs)
return wrapper修改配置文件,激活中間件使其生效。
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
'debug_toolbar.middleware.DebugToolbarMiddleware',
'vote.middlewares.check_login_middleware',
]注意上面這個中間件列表中元素的順序,當收到來自用戶的請求時,中間件按照從上到下的順序依次執行,這行完這些中間件以後,請求才會最終到達視圖函數。當然,在這個過程中,用戶的請求可以被攔截,就像上面我們自定義的中間件那樣,如果用戶在沒有登錄的情況下訪問了受保護的資源,中間件會將請求直接重定向到登錄頁,後面的中間件和視圖函數將不再執行。在響應用戶請求的過程中,上面的中間件會按照從下到上的順序依次執行,這樣的話我們還可以對響應做進一步的處理。
中間件執行的順序是非常重要的,對於有依賴關係的中間件必須保證被依賴的中間件要置於依賴它的中間件的前面,就好比我們剛纔自定義的中間件要放到SessionMiddleware的後面,因爲我們要依賴這個中間件爲請求綁定的session對象才能判定用戶是否登錄。
至此,除了對用戶投票數量加以限制的功能外,這個投票應用就算基本完成了,整個項目的完整代碼請參考https://github.com/jackfrued/django1902,其中用戶註冊時使用的手機驗證碼功能請大家使用自己註冊的短信平臺替代它。如果需要投票應用完整的視頻講解,可以在首頁掃碼打賞後留言聯繫作者獲取視頻下載地址,謝謝大家的理解和支持。