對於rest_framework,django自帶的csrf組件竟然不生效

Django中有一個django.middleware.csrf.CsrfViewMiddleware中間件提供了全局的csrf檢查。它的原理是在<form>標籤中生成一個隱藏的<input>標籤，提交表單時將這個隱藏的<input>一塊兒提交，服務器端驗證這個字段是否正確。

官方給出的csrf的操做步驟是：

1. 在MIDDLEWARE_CLASSES中添加django.middleware.csrf.CsrfViewMiddleware，開啓全局csrf保護。
2. 對於POST至站內的表單，在模板中的<form>標籤內添加{% csrf_token %}模板標籤。
3. 在對應的視圖函數中確保使用django.template.context_processors.csrfContext處理器。實現方式有兩種：
   (1). 使用RequestContext或者直接使用通用視圖，它們會自動將csrf_token添加至模板上下文中。
   return render_to_response("xxx.html", context_instance=RequestContext(request))
   (2). 手工導入並使用處理器來生成CSRF token，並將它添加到模板上下文中。例如：
   from django.shortcuts import render_to_response
   from django.template.context_processors import csrf
   def my_view(request):
   c = {}
   c.update(csrf(request))
   # ... view code here
   return render_to_response("a_template.html", c)

可是，手工導入麻煩並且會使代碼變得難以維護，使用RequestContext也沒好到哪去， 而且在Django 1.8 的文檔中說明context_instance 1.8 以後會被廢棄。
那咱們應該如何處理csrf_token呢？其實，Django提供了一個快捷函數能夠處理這個問題。
django.shortcuts.render在內部設定context_instance缺省是RequestContext的一個實例。調用render即可以自動將csrf_token添加至上下文中。

---

網上有一些博客說能夠在settings中設置TEMPLATE_CONTEXT_PROCESSORS實現全局的csrf_token填充至上下文。
可是我實驗後發現並很差使，若是有朋友知道緣由的話，還望告知。

我在settings中是這樣設置的：

TEMPLATE_CONTEXT_PROCESSORS = global_settings.TEMPLATE_CONTEXT_PROCESSORS + (    
    'django.core.context_processors.csrf',
)


----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
自此瞭解到要想django自帶的csrf組件生效，要知足以上三個條件

1. 在MIDDLEWARE_CLASSES中添加django.middleware.csrf.CsrfViewMiddleware，開啓全局csrf保護。
2. 對於POST至站內的表單，在模板中的<form>標籤內添加{% csrf_token %}模板標籤。
3. 用render函數渲染視圖

而rest framework框架是寫先後端分離的項目，返回的結果是用Response返回的，因此django自帶的csrf組件不生效，因此使用rest framework的認證組件進行token的認證，這就解釋了個人迷惑，爲何rest 框架的請求生命週期中是要通過django的中間件的，也是要通過django的csrf組件的，爲何咱們本身還要編寫認證組件，幹嗎不用django的。