> はる様

ご回答ありがとうございます！
返信が遅くなってしまい申し訳ございません、、、

ご教示頂きましたサイト、ありがたく参考にさせて頂きます！

atnek

こちらにある項目は気をつけています。

参考にしてください。

https://www.mattlayman.com/understand-django/secure-apps/

はる@講師

アカウントロックなどの対策は有効ですね。

Djangoは自動的に対策してくれるので、安心ですが、気になる項目は対策してみてください。

https://speakerdeck.com/akiyoko/django-security-measures-for-business-djangocon-jp-2019?slide=12

お世話になっております。
今回は問題の発生ではなく、Djangoのセキュリティについて質問をさせて頂きます。

-----
というのも、
先日、wordpressにて運営していたサイトがサイバー攻撃の被害を受けました。

FTPアカウントや管理パスの流出等ではなく、脆弱性を突っつかれた攻撃だったので、
セキュリティプラグインを変更し、htaccessの書き換え等で問題は解決できました。

しかしながら、ドメインが何らかのリストに載っているのか、たまに脆弱性を突こうとしたアクセスの形跡が未だにあります。

今後は該当のサイトをDjango+Herokuにて運営をする予定で、現在webアプリを作成しております。

wordpressの場合はプラグインの追加等で、上記のようにある程度は簡単に問題が解決できましたが、Djangoはどうなのだろうかという不安もあり、セキュリティ面での対策に万全を期したいと思っております。

-----

Djangoは元来セキュリティがしっかりしているという認識をしており、
またセキュリティ対策等を調べておりますが、
はる先生が本番環境を構築し運営をしている上で、更に講じているセキュリティ対策等はございますでしょうか？

ご教示いただけますと幸いです。

講座のリクエストはこちらからお願いします。

いいね数が多いリクエストから検討したいと思います。

リクエストのみの書き込みでお願いします。

### 例

「○○○が流行っているので、○○○を使ったチュートリアルが知りたい」

など

個人開発

Django

🍀講座リクエスト掲示板

### 実現したいこと
バックエンドはハル先生の<a href="https://youtu.be/pPvPX8kXh7w" _blank=true>動画</a>
を参考にして、フロントサイドはハル先生のサブスク有料会員の動画を参考にしてwebアプリを作っています。なんとかuser_createで仮登録機能は実装できたのですが、activationで本登録をする為の方法が全く思い浮かびません、そして色々調べてみたのですが3日ほど答えを見つけられずにいます。もし、activationによる本登録がpostmanを使わずにnext.jsとDjangoなどで可能でしたらやり方を教えていただきたいです。

### 発生している問題
Djoserのactivationを使っての本登録のやり方が全くわからない。

### ソースコード
バックエンドはハル先生の<a href="https://youtu.be/pPvPX8kXh7w" _blank=true>この動画</a>とほとんど同じです。
<p>Reactサイド</p>

```pages/api/account/register.js
export default async(req, res) => {
    if(req.method === 'POST'){
        const { name, email, password, re_password } = req.body
        const body=JSON.stringify({
            name,
            email,
            password,
            re_password,
        })
        try{
            const apiRes = await fetch(`${process.env.NEXT_PUBLIC_API_URL}api/auth/users/`,{
                method: 'POST',
                headers: {
                    'Content-Type': 'application/json',
                },
                body: body,
            })
            const data = await apiRes.json()
            if (apiRes.status === 201){
                return res.status(200).json({
                    success: 'Account registration is successed!',
                })
            }else{
                return res.status(apiRes.status).json({
                    error: 'We failed to register your account',
                })
            }
        }catch(err){
            return res.status(500).json({
                error: 'We failed to register your account',
            })
        }
    }else{
        res.setHeader('Allow', ['POST'])
        return res.status(405).json({ error: `Method ${req.method} not allowded.` })
    }
}
```

```pages/register.js
export default async(req, res) => {
    if(req.method === 'POST'){
        const { name, email, password, re_password } = req.body
        const body=JSON.stringify({
            name,
            email,
            password,
            re_password,
        })
        try{
            const apiRes = await fetch(`${process.env.NEXT_PUBLIC_API_URL}api/auth/users/`,{
                method: 'POST',
                headers: {
                    'Content-Type': 'application/json',
                },
                body: body,
            })
            const data = await apiRes.json()
            if (apiRes.status === 201){
                return res.status(200).json({
                    success: 'Account registration is successed!',
                })
            }else{
                return res.status(apiRes.status).json({
                    error: 'We failed to register your account',
                })
            }
        }catch(err){
            return res.status(500).json({
                error: 'We failed to register your account',
            })
        }
    }else{
        res.setHeader('Allow', ['POST'])
        return res.status(405).json({ error: `Method ${req.method} not allowded.` })
    }
}
```
### 自分で試したこと
Googleで日本語と英語で調べまくる。
Chat GPTに聞いてみる。

### 補足情報
いつもお世話になっております。

Next.js

DRF+Djoser+Next.jsでDjoserのactivationを実装したい

KosKos

### 実現したいこと
djangoを用いて複数のjsonをまとめたzipファイルのアップロード機能を実装したいです。
全てdjangoで完結させたく、フロントはtemplateで表示させたいです。

処理の流れとしては、<li>①ユーザーがzipファイルアップロード
<li>②サーバー側でzipファイルを解凍、jsonファイルそれぞれに項目存在チェックを行う
<li>③ユーザーはフロント画面でその進捗を確認
<li>④チェックに問題なしならフロントに成功メッセージを出す。チェックに問題あれば対象のjsonファイルの名前を表示する。
<li>⑤jsonファイルを保存する

となります
### 発生している問題
③のフロント画面で進捗を確認するのやり方がわからず…。
実装方法のアドバイスをいただけますと幸いです。


### ソースコード


### 自分で試したこと
調べると、django-channelやCerery,Redisといった単語が出てくるものの、どれがベストプラクティスなのか判断がつけられない状況です。


### 補足情報

JavaScript

Python

Djangoを用いてサーバー側の処理進捗をtemplateで進捗バーで表示したい

Taver

こんにちは！

日本語は第二言語なので、文法の間違いがあれば、あらかじめ謝っておきます。

### 実現したいこと

このビデオに従って、私はDjango REST Framework + Next.js + NextAuthをGoogle認証で実装しようとしています。

https://www.youtube.com/watch?v=TvoMjY291f8

ビデオの指示に従ったのですが、「IDトークン」で問題が発生しています。このサイトの他の質問もチェックしましたが、同じ問題を経験している人を見つけることができませんでした。

### 発生している問題

サインインページで「Googleでログイン」ボタンをクリックすると、英語で「Access Denied」と書かれたエラーが出ます。

Djangoのサーバーサイドのコンソールでは、以下のようなエラーが表示されます。

```
raise OAuth2Error("Invalid id_token") from e
allauth.socialaccount.providers.oauth2.client.OAuth2Error: Invalid id_token
[13/Mar/2023 10:26:30] "POST /api/social/login/google/ HTTP/1.1" 500 162465
```

500エラーなので、URLかビューの問題だと思います。

### ソースコード

**フロント**

`[...nextauth].js`

```
import NextAuth from "next-auth";
import axios from "axios";
import GoogleProvider from "next-auth/providers/google";

const settings = {
  providers: [
    GoogleProvider({
      clientId: process.env.GOOGLE_CLIENT_ID,
      clientSecret: process.env.GOOGLE_CLIENT_SECRET,
    }),
  ],

  callbacks: {
    async signIn({ user, account }) {
      if (account.provider === "google") {
        const accessToken = account.access_token;
        const idToken = account.id_token;

        console.log(idToken);

        try {
          const response = await axios.post(
            `${process.env.DJANGO_URL}/api/social/login/google/`,
            {
              access_token: accessToken,
              id_token: idToken,
            }
          );

          const { access_token } = response.data;
          user.accessToken = access_token;

          return true;
        } catch (error) {
          return false;
        }
      }
      return false;
    },

    async jwt({ token, account }) {
      if (account) {
        token.accessToken = account.access_token;
      }
      return token;
    },

    async session({ session, token }) {
      session.accessToken = token.accessToken;
      return session;
    },
  },
  pages: {
    signIn: "/auth/signin",
  },
};

export default (req, res) => NextAuth(req, res, settings);
```
上記のコードでは、コンソールログにIDトークンが正常に表示されています。

確認のため、.envファイルを示します。

```
DJANGO_URL=http://localhost:8000

GOOGLE_CLIENT_ID=秘密
GOOGLE_CLIENT_SECRET=秘密
```

Client IDとClient secretは、私のGoogleコンソールの情報と一致しています。

JavaScript Originはこのように設定されています。

`http://localhost:3000`

URIはこのように設定されています。

`http://localhost:3000/api/auth/callback/google`

**サーバー**

`authentication/views.py`

```
from allauth.socialaccount.providers.google.views import GoogleOAuth2Adapter
from dj_rest_auth.registration.views import SocialLoginView
from allauth.socialaccount.providers.oauth2.client import OAuth2Client


class GoogleLoginView(SocialLoginView):
    adapter_class = GoogleOAuth2Adapter
    client_class = OAuth2Client
```

`urls.py`

```
from django.contrib import admin
from django.urls import path, include

from django.conf import settings
from django.conf.urls.static import static

urlpatterns = [
    path('admin/', admin.site.urls),
    path('api/auth/', include('dj_rest_auth.urls')), #Endpoints provided by dj-rest-auth
    path('api/social/login/', include('authentication.urls')) #Endpoint for Social logins
]

urlpatterns=urlpatterns+static(settings.MEDIA_URL,document_root=settings.MEDIA_ROOT)

if settings.DEBUG:
    urlpatterns += static(settings.MEDIA_URL, document_root=settings.MEDIA_ROOT)
```

`authentication/urls.py`

```
from django.urls import path, include
from .views import GoogleLoginView

urlpatterns = [
    path("google/", GoogleLoginView.as_view(), name="google"),
]
```

### 自分で試したこと
この前、authentication/views.pyに「callback_url」変数を設定してみました。

マイグレーションを消して、新しいマイグレーションを作り、新しいマイグレーションを適用することを試しました。

他のフォーラムの投稿を参考に、POST/レスポンスの変数名を変えてみました。


### 補足情報

どうぞよろしくお願いいたします。

NextAuthをGoogle認証とDRFで500エラー

チャッド

### 実現したいこと
ページリロードをしてもstateを保持してログイン状態が持続
するようにしたい。


### 発生している問題
Navigation.jsを {isAuthenticated ?}  でログイン状態の時に表示が変わるように設定しているが、ページリロードをやページ遷移をすると stateがリセットされてしまい、表示が切り替わってしまう。

### 自分で試したこと
stateを保持するredux-persistを使用し、公式ページなどを参考にコードを書いてみました。
結果は、
ページ遷移にはログイン状態を保持することができましたが、
ページリロードをするとログイン状態を保持することができませんでした。

ご教授をお願いしたいです。 

### ソースコード
```
//src/reduser/store.jsx

import { configureStore } from '@reduxjs/toolkit'
import authSlice from './authSlice'
import postSlice from './postSlice'

//redux-persist設定
import storage from 'redux-persist/lib/storage'
import { 
  persistReducer, 
  FLUSH,
  REHYDRATE,
  PAUSE,
  PERSIST,
  PURGE,
  REGISTER,
} from 'redux-persist'

const persistConfig = {
  key: 'root',
  storage,
}

const persistedReducer = persistReducer(persistConfig, authSlice)

const store = configureStore({
    reducer: {
      auth: persistedReducer,
      post: postSlice,
    },
    middleware: (getDefaultMiddleware) => 
      getDefaultMiddleware({
        serializableCheck: {
          ignoredActions: [FLUSH, REHYDRATE, PAUSE, PERSIST, PURGE, REGISTER],
        },
      }),
})

export default store
```
```
//pages/_app.jsx

//redux設定
import { Provider } from 'react-redux'
//redux-persist設定
import store from 'src/reducer/store'
import { PersistGate } from 'redux-persist/integration/react'
import { persistStore } from 'redux-persist' 

const persistor = persistStore(store)

function App({ Component, pageProps }){
  return (
     <Povider store={store}>
      <PersistGate persistor={persistor}>
        <Layout>
          <Head>
            <meta name="viewport" content="width=device-width, initial-scale=1" />
          </Head>
          <Component {...pageProps} />
        </Layout>
      </PersistGate>
    </Provider>
  );
}
```
```
//src/reducer/authSlice.jsx

import {
    // アカウント登録
    REGISTER_SUCCESS,
    REGISTER_FAIL,

    //ログイン
    LOGIN_SUCCESS,
    LOGIN_FAIL,

    //アカウント情報取得
    USER_SUCCESS, 
    USER_FAIL,

    //リフレッシュトークン取得
    REFRESH_SUCESS,
    REFRESH_FAIL,
  
    // 読み込み中
    SET_AUTH_LOADING,
    REMOVE_AUTH_LOADING,

    //認証チェック
    AUTHENTICATED_SUCCESS,
    AUTHENTICATED_FAIL,
    LOGOUT_SUCCESS,
  } from 'actions/types'

const initialState = {
    user: null,
    isAuthenticated: null,
    loading: false,
}


function authReducer(state = initialState, action) {
  const { type, payload } = action

  switch (type) {
    // アカウント登録----------------------------------------------
    case REGISTER_SUCCESS:
      return {
        ...state,
      }
    case REGISTER_FAIL:
      return {
        ...state,
      }

    //ログイン----------------------------------------------
    case LOGIN_SUCCESS:
      return {
        ...state,
        isAuthenticated: true,
      }
    case LOGIN_FAIL:
      return {
        ...state,
        isAuthenticated: false,
      }

    //アカウント情報取得----------------------------------------------
    case USER_SUCCESS:
      return {
        ...state,
        user: payload.user,
      }
    case USER_FAIL:
      return {
        ...state,
        user: null,
      }
    //リフレッシュトークン取得----------------------------------------------
    case REFRESH_SUCESS:
      return {
        ...state,
      }
    case REFRESH_FAIL:
      return {
        ...state,
        isAuthenticated: false,
        user: null,
      }

    // 読み込み中----------------------------------------------
    case SET_AUTH_LOADING:
      return {
        ...state,
        loading: true,
      }
    case REMOVE_AUTH_LOADING:
      return {
        ...state,
        loading: false,
      }

    // 認証チェック----------------------------------------------
    case AUTHENTICATED_SUCCESS:
      return {
        ...state,
        isAuthenticated: true,
      }
    case AUTHENTICATED_FAIL:
      return {
        ...state,
        isAuthenticated: false
      }

      //ログアウト-----------------------------------------------
      case LOGOUT_SUCCESS:
        return {
          ...state,
          isAuthenticated: false,
          user: null,
        }
      case LOGIN_FAIL:
        return {
          ...state,
        }

    default:
      return state
    }
}

export default authReducer
```

//


### 補足情報