Wie LOCKE einen Authentifizierten Django-App?

Habe ich ein paar APIs, die ich gerne testen möchte mit cURL. Ich habe versucht zu tun, ein zu BEKOMMEN, wie folgt:

curl --user username:password --request GET http://my_domain/get_result/52d6428f3ea9a008358ad2d8/

Auf dem server, es zeigte eine '302' (was bedeutet, dass die Umleitung, richtig?). Ich vermute, es umgeleitet, um den "login/" - Seite.

Was ist der richtige Weg, um dies getan?

Bearbeiten: ich habe versucht:

curl -c cookies.txt -b cookies.txt -L -d @login_form.txt http://my_domain/login/

wo login_form.txt enthält "username=username&Passwort=Passwort&this_is_the_login_form=1". Funktioniert nicht. Keine cookies.txt Dateien erzeugt. Und kein login passiert. Können Sie mir sagen, wie Sie erreichen den login zu Django mit cURL?

InformationsquelleAutor Sreejith Ramakrishnan | 2014-01-23
  1. 38

    Hier ist eine voll codierte Antwort. Die Idee, die Lösung ist:

    1. müssen Sie zuerst besuchen Sie die login-Seite mit, um die cookies-Datei generiert,
    2. dann analysieren das CSRF-token aus der cookies Datei
    3. und machen die Anmeldung über POST-Anfrage, dass er die Daten mit -d.

    Danach führen Sie jede Anfrage immer über das CSRF-token in den Daten ($DJANGO_TOKEN) oder mit einem benutzerdefinierten X-CSRFToken header. Melden Sie sich einfach löschen Sie die cookies-Datei.

    Beachten Sie, dass Sie benötigen ein referer ( -e ), um Django ' s CSRF überprüft glücklich.

    LOGIN_URL=https://yourdjangowebsite.com/login/
YOUR_USER='username'
YOUR_PASS='password'
COOKIES=cookies.txt
CURL_BIN="curl -s -c $COOKIES -b $COOKIES -e $LOGIN_URL"

echo -n "Django Auth: get csrftoken ..."
$CURL_BIN $LOGIN_URL > /dev/null
DJANGO_TOKEN="csrfmiddlewaretoken=$(grep csrftoken $COOKIES | sed 's/^.*csrftoken\s*//')"

echo -n " perform login ..."
$CURL_BIN \
    -d "$DJANGO_TOKEN&username=$YOUR_USER&password=$YOUR_PASS" \
    -X POST $LOGIN_URL

echo -n " do something while logged in ..."
$CURL_BIN \
    -d "$DJANGO_TOKEN&..." \
    -X POST https://yourdjangowebsite.com/whatever/

echo " logout"
rm $COOKIES

    Habe ich eine etwas sicherere version von diesem code, der verwendet eine Datei zum versenden von POST-Daten, als Gist auf GitHub: django-csrftoken-login-demo.bash

    Interessantes Hintergrundwissen über Django ' s CSRF-token ist auf docs.djangoproject.com.

    • Ich muss sagen, das meinen Tag gerettet. Obwohl es ist in Ordnung, die ohne referer für jetzt..
    • "sed 's/^.*csrftoken\s*//' " wurde putting einen zusätzlichen Raum vor csrf-Wert. Deshalb habe ich " awk {'print $7'} " statt.
    • Auf macOS landete ich mit eine zusätzliche Registerkarte vor die token—so ersetzte ich \s mit [[:space:]] wie empfohlen, in dieser super-user-post. Auch ich hatte zum ändern der login-URL, weil ich war immer 302s.
    InformationsquelleAutor Peterino
  2. 2

    Eigentlich @Paterino Antwort ist richtig, aber es funktioniert nicht in jeder Implementierung der sed. Stattdessen sed 's/^.*csrftoken\s*//') wir können sed 's/^.*csrftoken[[:blank:]]*//') das ist mehr altmodisch. MacOSXs curl nicht entkommen, so \n\t\s überhaupt nicht arbeiten.

    • Sobald Sie ausreichend Ruf Sie werden in der Lage sein Kommentar auf jeder post. Auch überprüfen Sie das was kann ich stattdessen tun.
    • Vielen Dank für diesen Hinweis. Die Antwort ist über den Allgemeinen Ansatz, die details der Implementierung beziehen sich auf die GNU version von sed (wie Linux) und ist nur ein Beispiel. Ich habe eine Zusammenfassung zu machen, GNU-sed, die standardmäßig auch auf Macs: gist.github.com/bittner/5436f3dc011d43ab7551
    • Schön, sieht aus wie die perfekte Lösung, ich werde versuchen, dass später. Mein Beitrag ist mehr oder weniger Erweiterung für deine Antwort und für andere Menschen, könnte der Kampf wie ich mit ihm.
    InformationsquelleAutor jinni
  3. 1

    Vorbei username:password in eine curl-Anfrage ist nur gut für die HTTP-Authentifizierung, die ist nicht wie die meisten websites tun auth in diesen Tagen. Stattdessen werden Sie die posten, um auf die login-Seite Holen Sie sich das cookie, dann gehen Sie zurück, wenn die Anforderung Ihrer gewünschten Seite.

    • Ich habe ein edit in meiner Frage. Bitte haben Sie einen Blick.
    InformationsquelleAutor Daniel Roseman
Schreibe einen Kommentar