仅当用户登录时从 Angular 发送 Post-requests 时，Django 403 被禁止

2023-12-08

我已经创建了一个后端 Django 应用程序，目前正在连接一个 Angular 前端，该前端使用 Django Rest 框架从 API 设置中请求数据，并且遇到了我登录的用户（在后端）的问题，他们在前端登录并不重要）对 API 的所有后期请求都会收到 403 错误。我认为这是因为 Django 中的 CSRF 保护。

我查看了一个解决这个问题的线程，并尝试实现该解决方案从这个线程没有运气。

注销的用户可以发送注册或登录的后请求。但是，当登录用户尝试时，会收到 403 错误。在浏览 DRF API 时发送相同的数据是成功的，这就是为什么我认为它与 CSRF 有关。更清楚地说，如果我以前端用户身份登录并尝试登录或注册新用户（这些部分在开发中不会被阻止），我会收到 403 响应。如果我登录可浏览的 API 并发送完全相同的帖子内容，它可以成功尝试再次登录或注册新用户。

难道是因为我添加的自定义标头可能会替换 CSRF 标头？在这种情况下，我该如何重新制作它，因为需要该标头，否则我会得到 415 不支持的媒体类型。

下面是 Angular 服务，它提供了向服务器发送登录请求的功能：

import { Injectable } from '@angular/core';
import { Observable, of } from 'rxjs';
import { map, catchError } from 'rxjs/operators'
import { HttpClient, HttpHeaders } from '@angular/common/http';
import { Userlogon } from '../_models/Userlogon';
import { User } from '../_models/User';

const HttpOptions = {
  headers: new HttpHeaders({ "Content-type": "application/json" })
};

@Injectable({
  providedIn: 'root'
})
export class AuthService {
  loginobject: any;
  private usersUrl= '/api/v1/accounts/';
  private logonUrl= '/api/v1/auth/login/';
  private logoutUrl= '/api/v1/auth/logout/';

  constructor(
    private http: HttpClient
  ) { }

  login(username: string, password: string) {
    this.loginobject=JSON.stringify({"username": username, "password": password});
    return this.http.post<any>(this.logonUrl, this.loginobject, HttpOptions)
      .pipe(map(user => {
        if (user){
          console.log("If statement satisfied");
          localStorage.setItem('currentUser', JSON.stringify(user));

        }
        return user;
      }));
  }

  logout(){
    localStorage.removeItem('currentUser');
    return this.http.get<any>(this.logoutUrl).subscribe(response => console.log(response));
  }
}

这是我在其中实现了提供程序选项的应用程序模块：

import { BrowserModule } from '@angular/platform-browser';
import { FormsModule, ReactiveFormsModule } from '@angular/forms';
import { NgModule } from '@angular/core';
import { HttpClientModule } from '@angular/common/http';
import { HttpModule, XSRFStrategy, CookieXSRFStrategy } from '@angular/http'

import { AppComponent } from './app.component';
import { AppRoutingModule } from './app-routing.module';
import { RegisterComponent } from './register/register.component';
import { LoginComponent } from './login/login.component';
import { AlertComponent } from './_directives/alert.component';
import { ProfileComponent } from './profile/profile.component';
import { AuthGuardService } from './_guards/auth-guard.service';
import { AlertService } from './_services/alert.service';
import { AuthService } from './_services/auth.service';
import { UserService } from './_services/User.service';

@NgModule({
  declarations: [
    AppComponent,
    RegisterComponent,
    LoginComponent,
    AlertComponent,
    ProfileComponent,
  ],
  imports: [
    BrowserModule,
    FormsModule,
    ReactiveFormsModule,
    AppRoutingModule,
    HttpClientModule,
    HttpModule
  ],
  providers: [
    {
      provide: XSRFStrategy,
      useValue: new CookieXSRFStrategy('csrftoken', 'X-CSRFToken')
    }
  ],
  bootstrap: [AppComponent]
})
export class AppModule { }

这是 Django 处理的模板：

{% load static %}
{% csrf_token %}
<!doctype html>
<html lang="en">
<head>
  <meta charset="utf-8">
  <title>AngularWebapp</title>
  <base href="/">

  <meta name="viewport" content="width=device-width, initial-scale=1">
  <link rel="icon" type="image/x-icon" href="favicon.ico">
  <link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/css/bootstrap.min.css" integrity="sha384-BVYiiSIFeK1dGmJRAkycuHAHRg32OmUcww7on3RYdg4Va+PmSTsz/K68vbdEjh4u" crossorigin="anonymous">
</head>
<body>
  <app-root></app-root>
{% block javascript %}
<script type="text/javascript" src="{% static 'runtime.js' %}"></script><script type="text/javascript" src="{% static 'polyfills.js' %}"></script><script type="text/javascript" src="{% static 'styles.js' %}"></script><script type="text/javascript" src="{% static 'vendor.js' %}"></script><script type="text/javascript" src="{% static 'main.js' %}"></script>
<script src="https://code.jquery.com/jquery-2.2.4.min.js" integrity="sha256-BbhdlvQf/xTY9gja0Dq3HiwQF8LaCRTXxZKRutelT44=" crossorigin="anonymous"></script>
<script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/js/bootstrap.min.js" integrity="sha384-Tc5IQib027qvyjSMfHjOMaLkfuWVxZxUPnCJA7l2mCWNIpG9mGCD8wGNIcPD7Txa" crossorigin="anonymous"></script>
{% endblock %}
</body>
</html>

最后是 Django 视图代码：

from django.shortcuts import render
from django.contrib.auth import authenticate, login, logout
from rest_framework import permissions, viewsets, status
from rest_framework.views import APIView
from rest_framework.response import Response
from authentication.models import Account
from authentication.permissions import IsAccountOwner
from authentication.serializers import AccountSerializer, LoginSerializer
from getorgname import scrapeorg, idgenerator
import json

# Create your views here.

class AccountViewSet(viewsets.ModelViewSet):
    lookup_field='username'
    queryset=Account.objects.all()
    serializer_class= AccountSerializer

    def get_permissions(self):
        if self.request.method in permissions.SAFE_METHODS:
            return (permissions.AllowAny(),)

        if self.request.method == 'POST':
            return (permissions.AllowAny(),)

        return (permissions.IsAuthenticated(), IsAccountOwner(),)

    def create(self, request):
        serializer=self.serializer_class(data=request.data)

        if serializer.is_valid():
            newuser=serializer.validated_data
            Account.objects.create_user(
                username=newuser.get('username'),
                email=newuser.get('email'),
                org_name=scrapeorg(newuser.get('org_number')),
                org_number=newuser.get('org_number'),
                cid=idgenerator(),
                utype=newuser.get('utype'),
                password=newuser.get('password'),
                )
            #Account.objects.create_user(**serializer.validated_data)

            return Response(serializer.validated_data, status=status.HTTP_201_CREATED)

        return Response({
            'status': 'Bad request',
            'message': 'Account could not be created with received data',
        }, status=status.HTTP_400_BAD_REQUEST)

class LoginView(APIView):
    def post(self, request):
        #data=json.loads(request.body)
        serializer=LoginSerializer(data=request.data)
        if serializer.is_valid():
            data=serializer.validated_data
            username=data.get('username')
            password=data.get('password')

            account=authenticate(username=username, password=password)

            if account != None:
                login(request, account)

                serialized = AccountSerializer(account)

                return Response(serialized.data)

            else:
                return Response({
                    'status': 'Unauthorized',
                    'message': 'Username %s and password invalid' % username 
                }, status=status.HTTP_401_UNAUTHORIZED)
        return Response({
                'status': 'Bad request',
                'message': 'Invalid data for a login request',
            }, status=status.HTTP_400_BAD_REQUEST)

class LogoutView(APIView):
    def get_permissions(self):
        return (permissions.IsAuthenticated(), IsAccountOwner(),)
    def get(self, request):
        logout(request)
        return Response({
            'status': 'Success',
            'message': 'Successfully processed logout request',
        })

None

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

仅当用户登录时从 Angular 发送 Post-requests 时，Django 403 被禁止的相关文章

上传带有附加信息的文件（Angular 8 到 C# Core 3）

我终于弄清楚如何将文件从 Angular 8 前端上传到 C Net Core 3 0 后端 API 控制器但为了获得我完全需要的内容我还有一个类定义了用户设置的文件内容例如标题行列值等也需要传入在客户端我只需创建一个 For
django-过滤器和聚合函数

这是一个特定于应用程序的问题 Django 过滤器 https github com alex django filter 这里给没用过的人简单说明一下 f ProductFilter request GET queryset Produc
不允许使用 HTTP 谓词 POST 来访问路径“[我的路径]”

我收到一条错误指出不允许使用 HTTP 动词 POST 来访问路径我的路径该错误是由于我正在实现一个使用 POST 方法的 HTML 表单元素并且未在其 ACTION 参数中显式定义 aspx 页面而引起的例如
是否可以使用 rxjs Angular 5 在其他选项卡浏览器中订阅 observable

我有一个角度应用程序有两个页面我在浏览器的每个选项卡中打开它们如果我在第 1 页中执行某种方法我希望第 2 页使用 rxjs 订阅数据更改并像实时应用程序一样更新第 2 页中的数据是有没有办法在没有 websocket 的情况下做
未设置 Docker-compose 环境变量

项目树 backend env dev docker compose dev yml project 我有以下警告 docker compose f docker compose dev yml up build i am in the b
用户注册错误：没有这样的表：auth_user

我正在尝试使用 Django 的默认身份验证来处理注册和登录 setting py INSTALLED APPS django contrib admin django contrib auth django contrib content
基于局部变量的Django条件过滤器

我是 django 的新手想知道除了 if 语句之外是否还有更有效的条件过滤方法 Given test names all test types a b c more lists 我知道我可以这样做 q tests objects all
这种 Django 多个设置文件的方法合理吗？

Question 我对以下多个 Django settings py 文件的处理方法是否合理透明安全等我的方法我有一个settings py and a settings local py settings py受版本控制并且set
从 Angular 2.2.3 升级到 2.4.0

我刚刚使用以下命令将我的 Angular 项目从 Angular 2 2 3 升级到 2 4 0npm 检查更新 https www npmjs com package npm check updates 使用 angular cli 编译
Django - 扩展用户配置文件，对象不存在，如何创建空白记录？

我创建了一个用户配置文件类如下所示如果用户单击我的帐户页面并且他们没有记录我会收到以下错误 RelatedObjectDoesNotExist at profile User has no userprofile Exception
Google 身份验证器代码与服务器生成的代码不匹配

背景 I m currently working on a two factor authentication system where user are able to authenticate using their smartphon
MySQL 连接器/python 在 django 中不工作

我正在学习 Django 以 MySQL 作为后端我安装了Oracle的mysql连接器来连接mysql 然而当我跑步时python manage py我收到这个错误回溯最近一次调用最后一次文件 C Python33 lib si
如何在 Django 中定义模型之间的多态关系？

我正在开发一个 Django 应用程序其中包含Offer模型一个Offer实例包含定价条件并指向产品定义产品模型实际上是一个层次结构我有一个Television模型一个Camcorder模型等所以我想要Offer模型包含指向任何
从 HTML 模板调用异步函数（Retunes Observable）

HTML 模板上显示的数据是关键表单数据意思是需要翻译为此我想从我的模板中调用异步函数尝试过这个但没有成功模板 span class myClass rowValue translateServingStyle size de
如何将 C3 图表添加到 Angular 2+ 项目

我搜索了很多有关 Angular2 图表包的信息但没有 C3 js 的名称直到我在下面的链接中找到了 C3 js 图表的示例 ani angular strapui com dashboard charts c3 chart http
如何使用 HTTP POST multipart/form-data 将文件上传到服务器？

我正在开发 Windows Phone 8 应用程序我想使用 MIME 类型 multipart form data 和名为 userid SOME ID 的字符串数据的 HTTP POST 请求通过 PHP Web 服务上传 SQLit
如何在 Angular 4 中将 xml 转换为 json？

我是 Angular 4 的初学者我没有足够的知识如何处理 XML 到 JSON 以及如何在 Angular 4 中调用服务请建议基于库http goessner net download prj jsonxml http goess
使用OIL自动旋转手机和加速度计拍摄的照片

我在网络应用程序中使用 Django PIL Amazon boto 用户发送图片然后 Web 应用程序显示它大多数情况下人们会发送用手机拍摄的照片有时图像以错误的方向显示有没有办法使用 PIL 或 Django 的 Image
构造函数上的分支未涵盖

我正在使用 Jasmine 创建单元测试我对所涵盖的分支有疑问有谁知道为什么代码部分显示分支没有被覆盖如下所示这是单元测试 describe MyComponent gt let component MyComponent let
访问 django for 循环中的元素

我有一个 Django 模板其中包含以下代码该模板创建多个按钮并尝试通过单击在同一按钮上删除隐藏其中一个按钮 for h in helicopters div class btn group div

随机推荐

如何用 C++ 从文件中读取单词？

所以我觉得很无聊决定制作一款刽子手游戏我在高中第一次学习 C 时就做过这样的作业但这是在我接触几何之前所以不幸的是我在任何方面都没有做得很好学期结束后我一怒之下把所有东西都扔掉了我想要制作一个txt文档然后输入一大堆单词 IE
Java 关闭挂钩

使用 IntelliJ IDE java 1 8 IDE 中的 lang level 6 以及命令提示符下的默认值从命令行 Windows 7 编译并运行 javac cp Main java java cp Main 给出以下代码我想
在 Fine Uploader 中，如何编辑/更新先前会话中上传的文件的 S3 文件元数据？

我有一个要求用户需要编辑更新在之前的会话中上传的 s3 文件元数据我已经实现了初始文件列表但我需要使文件元数据文件名标题在我的情况下是新字段在显示列表中可编辑能实现吗 I see 编辑文件功能但这仅限于文件上传之前看来
使用绑定和 AJAX 下拉

我是 ColdFusion 的新手刚刚开始学习 Ajax 我的问题是我在网上发现了一些很酷的编码来实现两个下拉菜单其中第二个菜单取决于第一个菜单中选择的内容但目标是从选择查询中提取下拉列表中的所有值我正在使用我刚刚了解到的绑定功能
在python3中输出十六进制值

我正在使用 python3 编写 shellcode 漏洞但是当我尝试输出一些十六进制字节时例如使用线路 python3 c print x8c xxd 中的值xxd is c28c 而不是预期的8c python2中不会出现这个问题
为什么在添加元素以设置映射多对多时，休眠会从连接表中删除行？

假设我有两个课程 class A Set b bs class B 这个映射 b
Java——创建一个新线程

我是线程新手我想创建一些与主线程分开工作的简单函数但这似乎不起作用我只想创建新线程并独立于主线程上发生的事情在那里做一些事情这段代码可能看起来很奇怪但到目前为止我对线程还没有太多经验你能解释一下这有什么问题吗 public st
检查属性是否存在

是否可以检查是否存在使用魔术设置器设置的属性 class Test private vars public function set key value this gt vars key value public function get
Java 中向上转换的问题？

有人可以解释一下为什么会发生这种情况吗 class Apple String type setType System out println inside apple class this type apple class RedApple
Android Robotium：单击/启动另一个活动后如何返回到正在测试的活动

我的 Robotium 测试有问题在我的一项活动 A 中我单击了一个按钮单击此按钮会启动另一个活动 B 因此在我的 robotsium 测试中我有这样的内容 Button myBtn Button solo getView R i
从条件格式语句中计算彩色单元格的数量

所以我今天重新回顾一下昨天的事情多列vlookup条件格式使用 Scott Holtzman 提供的条件格式声明一切都按预期运行感谢 Scott 现在我遇到了一个小问题我需要根据背景颜色对各个单元格进行计数并将其显示在另一张纸中
php preg_replace 匹配

如何将 preg replace 中的匹配项作为可用变量访问这是我的示例代码
为什么我们不能将数组传递给可以使用 &array[0] 的函数

void fun int array int main int array 1 2 3 fun array gt 1 error in this line return 0 error cannot convert int 3 to int
导入隐式转换而不使用 SparkSession 实例

我的 Spark 代码中充满了这样的代码 object Transformations def selectI df DataFrame DataFrame needed to use to generate ColumnName impo
类声明之间的区别

我看到一些关于这个主题的类似问题但我想确定一下所以我问有什么区别 class MyClass pass and class MyClass pass 另外这两者之间有区别吗 class MyClass pass class MyCl
什么是递归以及何时应该使用它？

Locked 这个问题及其答案是locked因为这个问题是题外话但却具有历史意义目前不接受新的答案或互动邮件列表和在线讨论中似乎经常出现的主题之一是获得计算机科学学位的优点或缺乏优点对于消极方来说似乎一次又一次出现的一个论点是
.net thread.sleep 不准确

我快疯了我通过 gsm 发送音频根据语音规范我必须发送语音数据包然后等待 20 毫秒才能获得正常语音我使用system threading thread sleep 20 但是我注意到声音很慢但是当我运行另一个不同的应用程序时
SecurityError：操作不安全 - window.history.pushState()

我在 Firefox 控制台中收到此错误 SecurityError The operation is insecure罪魁祸首是 HTML5 功能 window history pushState 当我尝试使用 AJAX 加载某些内容时
pandas 三路连接列上的多个数据框

我有 3 个 CSV 文件每个数据框中的第一列都是人名字符串而每个数据框中的所有其他列都是该人的属性如何将所有三个 CSV 文档连接在一起以创建一个 CSV 其中每一行都具有人员字符串名称的每个唯一值的所有属性 The join
仅当用户登录时从 Angular 发送 Post-requests 时，Django 403 被禁止

我已经创建了一个后端 Django 应用程序目前正在连接一个 Angular 前端该前端使用 Django Rest 框架从 API 设置中请求数据并且遇到了我登录的用户在后端的问题他们在前端登录并不重要对 API 的所有后期

仅当用户登录时从 Angular 发送 Post-requests 时，Django 403 被禁止

仅当用户登录时从 Angular 发送 Post-requests 时，Django 403 被禁止 的相关文章

随机推荐

热门标签

仅当用户登录时从 Angular 发送 Post-requests 时，Django 403 被禁止的相关文章