如何捲曲經過驗證的Django應用程序？

Question

我有幾個我想用cURL測試的API。我試圖做一個GET如下：

curl --user username:password --request GET http://my_domain/get_result/52d6428f3ea9a008358ad2d8/ 

在服務器上，它顯示'302'（這意味着重定向，對吧？）。我猜它重定向到「登錄/」頁面。

完成這件事的正確方法是什麼？

編輯：我嘗試：

curl -c cookies.txt -b cookies.txt -L -d @login_form.txt http://my_domain/login/ 

其中login_form.txt含 「的用戶名的用戶名= &密碼=密碼& this_is_the_login_form = 1」。不起作用。沒有生成cookies.txt文件。並沒有登錄發生。你能告訴我你如何使用cURL實現登錄到Django嗎？

Answer 1

這是一個完全編碼的答案。該解決方案的思路是：

1. ，你必須先用GET來獲得所產生的餅乾文件訪問登錄頁面，
2. 然後解析CSRF令牌出了餅乾的文件
3. 並做登錄使用POST請求，將數據傳遞給-d。

然後可以隨時執行任何請求，利用在數據（$DJANGO_TOKEN）或用一個自定義首部X-CSRFToken CSRF令牌。要註銷，只需刪除Cookie文件。

請注意，您需要引用者（-e）才能使Django的CSRF檢查很高興。

LOGIN_URL=https://yourdjangowebsite.com/login/ 
YOUR_USER='username' 
YOUR_PASS='password' 
COOKIES=cookies.txt 
CURL_BIN="curl -s -c $COOKIES -b $COOKIES -e $LOGIN_URL" 

echo -n "Django Auth: get csrftoken ..." 
$CURL_BIN $LOGIN_URL > /dev/null 
DJANGO_TOKEN="csrfmiddlewaretoken=$(grep csrftoken $COOKIES | sed 's/^.*csrftoken\s*//')" 

echo -n " perform login ..." 
$CURL_BIN \ 
    -d "$DJANGO_TOKEN&username=$YOUR_USER&password=$YOUR_PASS" \ 
    -X POST $LOGIN_URL 

echo -n " do something while logged in ..." 
$CURL_BIN \ 
    -d "$DJANGO_TOKEN&..." \ 
    -X POST https://yourdjangowebsite.com/whatever/ 

echo " logout" 
rm $COOKIES 

我有這樣的代碼，它使用提交POST數據文件的一個稍微更安全的版本，因爲在GitHub上一個要點是：django-csrftoken-login-demo.bash

有趣的背景閱讀Django的CSRF令牌上docs.djangoproject.com。

Answer 2

在curl請求中傳遞用戶名：密碼僅適用於HTTP身份驗證，這不是現在大多數網站如何進行身份驗證的方式。相反，您必須發佈到登錄頁面，獲取cookie，然後在請求所需頁面時將其傳回。

Answer 3

其實@Paterino答案是正確的，但它不會在每個sed實現上都有效。相反sed 's/^.*csrftoken\s*//')我們可以使用sed 's/^.*csrftoken[[:blank:]]*//')這是更老式。 MacOSXs捲曲不使用轉義，所以\n\t\s根本不起作用。