热门文章
 当前位置:技术文章 > 编程面试题 >

如何验证urllib2脚本以便从Django站点访问HTTPS Web服务?

问题内容

大家 我正在django / mod_wsgi /
apache2网站上工作,该网站使用https为所有请求和响应提供敏感信息。如果用户未通过身份验证,则将所有视图写入以重定向。它还具有多个旨在像RESTful
Web服务一样运行的视图。

我现在正在编写一个脚本,该脚本使用urllib / urllib2与其中一些服务联系以下载一系列非常大的文件。尝试登录时遇到403:FORBIDDEN错误。

我用于身份验证和登录的(粗略)方法是:

def login( base_address, username=None, password=None ):

    # prompt for the username (if needed), password
    if username == None:
        username = raw_input( 'Username: ' )
    if password == None:
        password = getpass.getpass( 'Password: ' )
    log.info( 'Logging in %s' % username )

    # fetch the login page in order to get the csrf token
    cookieHandler = urllib2.HTTPCookieProcessor()
    opener = urllib2.build_opener( urllib2.HTTPSHandler(), cookieHandler )
    urllib2.install_opener( opener )

    login_url = base_address + PATH_TO_LOGIN
    log.debug( "login_url: " + login_url )
    login_page = opener.open( login_url )

    # attempt to get the csrf token from the cookie jar
    csrf_cookie = None
    for cookie in cookieHandler.cookiejar:
        if cookie.name == 'csrftoken':
             csrf_cookie = cookie
             break
    if not cookie:
        raise IOError( "No csrf cookie found" )
    log.debug(  "found csrf cookie: " + str( csrf_cookie ) )
    log.debug(  "csrf_token = %s" % csrf_cookie.value )

    # login using the usr, pwd, and csrf token
    login_data = urllib.urlencode( dict(
        username=username, password=password,
        csrfmiddlewaretoken=csrf_cookie.value ) )
    log.debug( "login_data: %s" % login_data )

    req = urllib2.Request( login_url, login_data )
    response = urllib2.urlopen( req )
    # <--- 403: FORBIDDEN here

    log.debug( 'response url:\n' + str( response.geturl() ) + '\n' )
    log.debug( 'response info:\n' + str( response.info() ) + '\n' )

    # should redirect to the welcome page here, if back at log in - refused
    if response.geturl() == login_url:
        raise IOError( 'Authentication refused' )

    log.info( '\t%s is logged in' % username )
    # save the cookies/opener for further actions
    return opener

我正在使用HTTPCookieHandler在脚本端存储Django的身份验证cookie,因此我可以访问Web服务并完成重定向。

我知道,如果我不将csrf令牌与登录信息一起传递,则适用于Django的CSRFmiddleware会让我失望,所以我首先从第一页/表单加载的cookiejar中拉了出来。就像我提到的那样,这适用于网站的http
/ development版本。

具体来说,尝试通过https连接将凭据发布到登录页面/表单时,我得到403。在使用http连接的开发服务器上使用时,此方法有效。

没有Apache目录指令阻止访问该区域(我可以看到)。该脚本无需发布数据即可成功连接到登录页面,因此我认为这将使Apache脱离问题(但我可能错了)。

我正在使用的python安装都使用SSL编译。

我还读到urllib2不允许通过代理进行https连接。我对代理不是很有经验,所以我不知道使用远程计算机上的脚本是否实际上是代理连接,是否会出现问题。这会导致访问问题吗?

据我所知,问题在于cookie和post数据的结合,但是我不清楚从何处获取它。

任何帮助,将不胜感激。谢谢


问题答案:

请原谅我回答我自己的问题,但是-从记录来看,这似乎已经解决了它:

事实证明,我需要将HTTP Referer标头设置为请求中登录页面URL的位置,在该请求中发布登录信息。

req.add_header( 'Referer', login_url )

原因在Django
CSRF文档中
进行了解释-具体地说,是第4步。

由于我们的服务器设置有些特殊,我们在生产端使用HTTPS并且DEBUG =
False,所以我看不到csrf_failure失败的原因(在这种情况下:“检查引用失败-没有引用”)通常会在调试信息。我最终在Apache
error_log和STFW上打印了失败原因。那导致我到code.djangoproject /…/
csrf.py和Referer标头修复。