Django自定义中间件检查具有有效请求标头令牌的标头token.Tests仍然失败
在Django中,中间件是一种用于处理请求和响应的钩子框架。自定义中间件可以用来检查请求中是否包含有效的令牌(token),以确保请求来自已认证的客户端。如果你的测试失败了,可能是由于中间件的实现或测试方法存在问题。
基础概念
中间件:在Django中,中间件是一个轻量级的插件系统,用于全局修改Django的输入或输出。每个中间件组件负责特定的功能,例如身份验证、会话管理、异常处理等。
令牌(Token):通常是一个字符串,用于验证客户端的身份。在API请求中,客户端需要在HTTP头部添加这个令牌,服务器通过验证令牌来确认请求的有效性。
相关优势
- 安全性:通过令牌验证可以防止未授权的访问。
- 灵活性:中间件可以在请求到达视图之前或响应返回客户端之前进行处理。
- 可扩展性:可以轻松添加新的中间件来处理不同的任务。
类型与应用场景
- 身份验证中间件:检查请求中的令牌是否有效,用于API的安全保护。
- 日志记录中间件:记录请求和响应的信息,便于调试和监控。
- 性能监控中间件:测量请求的处理时间,优化性能。
实现自定义中间件检查令牌
以下是一个简单的自定义中间件示例,用于检查请求头中的Authorization字段:
# middleware.py
from django.http import JsonResponse
import jwt
class TokenAuthMiddleware:
def __init__(self, get_response):
self.get_response = get_response
def __call__(self, request):
token = request.headers.get('Authorization')
if not token:
return JsonResponse({'error': 'Token is missing'}, status=401)
try:
# 验证令牌
payload = jwt.decode(token, 'your-secret-key', algorithms=['HS256'])
except jwt.ExpiredSignatureError:
return JsonResponse({'error': 'Token has expired'}, status=401)
except jwt.InvalidTokenError:
return JsonResponse({'error': 'Invalid token'}, status=401)
return self.get_response(request)测试失败的可能原因及解决方法
- 中间件未正确注册:确保在
settings.py中正确添加了中间件。
MIDDLEWARE = [
# ...
'your_project.middleware.TokenAuthMiddleware',
# ...
]- 测试环境配置问题:确保测试环境中也包含了中间件,并且配置正确。
- 测试用例编写问题:确保测试用例正确模拟了带有令牌的请求。
# tests.py
from django.test import TestCase, Client
import json
class TokenAuthTestCase(TestCase):
def setUp(self):
self.client = Client()
def test_valid_token(self):
response = self.client.get('/your-endpoint/', HTTP_AUTHORIZATION='Bearer your-valid-token')
self.assertEqual(response.status_code, 200)
def test_missing_token(self):
response = self.client.get('/your-endpoint/')
self.assertEqual(response.status_code, 401)
def test_invalid_token(self):
response = self.client.get('/your-endpoint/', HTTP_AUTHORIZATION='Bearer invalid-token')
self.assertEqual(response.status_code, 401)- 令牌生成与验证不一致:确保生成令牌时使用的密钥和算法与中间件中验证时使用的相同。
解决问题的步骤
- 检查中间件注册:确认中间件已在
settings.py中正确注册。 - 审查测试用例:确保测试用例覆盖了所有可能的情况,包括有效令牌、缺失令牌和无效令牌。
- 调试中间件逻辑:在中间件中添加日志或打印语句,以跟踪请求处理流程和变量值。
- 验证令牌生成逻辑:确保令牌的生成和验证使用相同的密钥和算法。
通过以上步骤,你应该能够定位并解决测试失败的问题。如果问题依然存在,建议进一步检查Django的日志输出和中间件的具体执行情况。
相关·内容
我正在自定义中间件中检查请求标头中的有效令牌。status=401) return resdef test_invalid_token_
浏览 7提问于2016-07-30得票数 2
回答已采纳
有没有办法在远程解析服务器应用程序上捕获糟糕的会话令牌请求?
不幸的是,错误会话令牌的详细日志只显示一个非常不冗长的错误消息,即使用了无效的会话令牌,而所有其他请求都将显示用于发出请求的完整标头。我需要到达这些标头,以便识别正在发送的x解析会话令牌。我发现我可以添加一些<em
浏览 0提问于2018-05-22得票数 0
回答已采纳
1回答
我无法向从render()返回的响应中添加自定义头:response在Chrome上,响应有正确的模板呈现,但它没有自定义的标头。如果在返回之前打印response对象,我会看到它有我的自定义标<e
浏览 9提问于2017-09-17得票数 0
回答已采纳
1回答
这个问题与中描述的问题有关。在使用PKCE授权的OAuth 2.0授权代码期间,Azure要求Origin头出现在对/token端点的请求中。如果不存在标头,授权流将失败,并出现以下错误:client-typemay only be redeemed via cross-origi
浏览 9提问于2022-09-23得票数 1
1回答
中间件中的路由控制器和动作
、、、、
我正在尝试检索控制器和操作,我已经尝试通过使用在中间件的Invoke方法中,但每次都会生成null。在中间件中检索路由数据是完全可能的吗?
我试图实现的是检查请求的操作是否具有RequireToken属性,如果有,它将检查特定令牌的传入标头。
浏览 0提问于2016-09-06得票数 6
回答已采纳
我的登录控制器在提交页面之前检查验证 const { email, password } = req.body;data: rows, res.render('checkout', { });我的中间件在访问受保护的路由之前验证令牌调用并将令
浏览 0提问于2020-06-15得票数 0
有两个独立的django项目,所以我希望两者都生成相同的user_id,密钥和相同的HS256算法的令牌,然后一旦项目B发送令牌与令牌一起请求,令牌应该被解密,所需的响应应该从项目A发回。
浏览 8提问于2019-02-27得票数 0
回答已采纳
我正在尝试使用Django -角来对Django中的视图进行AJAX调用。我正在遵循这个指南,。有人能注意到这个问题吗,下面是我到目前为止尝试过的.这里是相关的js控制器脚本:
var in_data = {action: 'pr
浏览 4提问于2013-12-29得票数 5
2回答
我正在开发一个使用nodejs、express的简单web应用程序,当我切换到session和csrf时,我的PUT、DELETE和POST请求都失败了。csrf令牌的defaultValue,如下所示: return (req.body && req.body.失败了。我的PUT请求是由主干生成的,我只是发送模型的数据。
浏览 4提问于2014-02-21得票数 0
回答已采纳
我尝试通过配置添加一个自定义HttpClient: public CloseableHttpClient httpClient() { .setDefaultHeaders(headers) }
但是,我的自定义添加的默认头仍然不会出现在请求中我<e
浏览 0提问于2019-02-27得票数 0
回答已采纳
我试图通过在MVC6中的控制器上使用授权属性来实现基于承载令牌的验证。一个人把上面的文章写到:
基于这个例子。如果客户端将请求发送到带有授权属性的特定控制器,则授权属性将检查被称为授权的请求标头,如果此标头具有有效的令牌,则请求将通过,否则请求将被拒绝
浏览 5提问于2016-01-17得票数 0
回答已采纳
我目前正在使用Angular JS和Django构建一个webapp应用程序。在的angular文档中,我被引导到上了解JSON GET请求的漏洞。Django支持CSRF保护机制,但据我所知,没有办法对GET请求执行它。我想我更喜欢这种机制,而不是Angular建议的机制(在每个JSON响应之前加上)]}', ),但这可能吗?
浏览 0提问于2014-04-19得票数 1
1回答
我们有一个调用客户端请求我们的系统,该客户端没有将Bearer令牌放置在标准位置(“授权”标头),我想创建一个自定义处理程序,它在正确的位置查找JWT。除了分叉JwtBearerMiddleware实现之外,还有什么更简洁的方法可以告诉中间件使用什么处理程序呢?
更简单的方法是在JWT中间件运行之前将JWT注入请求管道的正确位置(请求头<
浏览 0提问于2017-01-31得票数 12
回答已采纳
大多数CSRF解决方案似乎坚持将CSRF令牌作为POST数据的一部分发送。
在我的情况下,发送的数据是json,我不控制发送的内容(而且我不想开始干扰json)。因此,我正在考虑将CSRF令牌作为标题发送。但是,我的应用程序的遗留部分仍然需要能够在主体中发送令牌(例如,从html表单提交)。因此,如果主体或头中出现有效的CSRF令牌,则我的CSR
浏览 5提问于2014-06-17得票数 4
回答已采纳
我想知道是否可以为添加自定义的auth头,每个都可以在django-rest-swagger生成的文档中“尝试它”部分?我已经为REST设置了自定义令牌身份验证,只需要为“尝试它!”所生成的每个请求指定一个自定义标头。按钮。
浏览 1提问于2016-12-04得票数 2
回答已采纳
当使用Firebase (在这种情况下是Firebase云函数)工作时,我们必须为每个字节的带宽付费。因此,我想知道,如果有人以某种方式找到我们的端点,然后故意(通过脚本或工具)继续请求,我们该如何处理这种情况?
我在网上搜索了一下,但看不到任何有用的东西。除了,但并不是很有用。
浏览 9提问于2017-11-01得票数 27
回答已采纳
当我使用我的api时,如何创建一个客户端必须在头中提供CSRF _token的Laravel?否则,任何人都可以复制和使用上述路线。
浏览 3提问于2022-10-13得票数 0
1回答
,我从后台设置cookie,如下所示:res.cookie('Authorization', 'Bearer ' + token, {httOnly: true});登录后,我尝试读取前端的cookie如何阅读我的例子中的cookie?
浏览 0提问于2020-10-17得票数 0
2回答
我正在使用Laravel护照,它需要发送的每一个请求头认证要发送。我试图在这里进行更改,但似乎在此方法之前对标头进行了验证。
浏览 1提问于2018-04-21得票数 2
回答已采纳
我使用axios从Django前端调用React后端api。卷曲-工作很好我怎样才能摆脱
浏览 3提问于2020-10-03得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
腾讯会议
云直播
对象存储活动推荐
腾讯云开发者
