Django cookie和session

cookie

cookie的认知

  Cookie的由来
    大家都知道HTTP协议是无状态的。无状态的意思是每次请求都是独立的,它的执行情况和结果与前面的请求和之后的请求都无直接关系,它不会受前面的请求响应情况直接影响,也不会直接影响后面的请求响应情况。一句有意思的话来描述就是人生只如初见,对服务器来说,每次的请求都是全新的。状态可以理解为客户端和服务器在某次会话中产生的数据,那无状态的就以为这些数据不会被保留。会话中产生的数据又是我们需要保存的,也就是说要“保持状态”。因此Cookie就是在这样一个场景下诞生。并且还有一个问题就是,你登陆我的网站的时候,我没法确定你是不是登陆了,之前我们学的django,虽然写了很多页面,但是用户不用登陆都是可以看所有网页的,只要他知道网址就行,但是我们为了自己的安全机制,我们是不是要做验证啊,访问哪一个网址,都要验证用户的身份,但是还有保证什么呢,用户登陆过之后,还要保证登陆了的用户不需要再重复登陆,就能够访问我网站的其他的网址的页面,对不对,但是http无状态啊,怎么保证这个事情呢?此时就要找cookie了。
  什么是Cookie
    首先来讲,cookie是浏览器的技术,Cookie具体指的是一段小信息,它是服务器发送出来存储在浏 览器上的一组组键值对,可以理解为服务端给客户端的一个小甜点,下次访问服务器时浏览器会自动携带这些键值对,以便服务器提取有用信息。

Cookie的原理

  cookie的工作原理是:
浏览器访问服务端,带着一个空的cookie,然后由服务器产生内容,浏览器收到相应后保存在本地;当浏览器再次访问时,浏览器会自动带上Cookie,这样服务器就能通过Cookie的内容来判断这个是“谁”了。
  查看Cookie
    我们使用Chrome浏览器,打开开发者工具。
https://images2018.cnblogs.com/blog/867021/201804/867021-20180403225926558-498750585.png
cookie图解
https://images2018.cnblogs.com/blog/877318/201805/877318-20180516192005344-137605378.png

Cookie规范

• Cookie大小上限为4KB;
• 一个服务器最多在客户端浏览器上保存20个Cookie;
• 一个浏览器最多保存300个Cookie,因为一个浏览器可以访问多个服务器。

    上面的数据只是HTTP的Cookie规范,但在浏览器大战的今天,一些浏览器为了打败对手,为了展现自己的能力起见,可能对Cookie规范“扩展”了一些,例如每个Cookie的大小为8KB,最多可保存500个Cookie等!但也不会出现把你硬盘占满的可能!
注意,不同浏览器之间是不共享Cookie的。也就是说在你使用IE访问服务器时,服务器会把Cookie发给IE,然后由IE保存起来,当你在使用FireFox访问服务器时,不可能把IE保存的Cookie发送给服务器。

用Django操作cookie

获取cookie

request.COOKIES['key']
request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None)
    参数:
      default: 默认值
      salt: 加密盐
      max_age: 后台控制过期时间
request.COOKIES.get('key') 查不到不报错

设置cookie

设置签名cookie
request.set_signed_cookie('name', 'root',salt='sksk')
request.set_cookie('is_login', True)
request.set_cookie('name', 'root') #设置同名的cookie,就是修改cookie

删除cookie

def logout(request):
rep = redirect("/login/")
rep.delete_cookie("user") # 删除用户浏览器上之前设置的usercookie值
return rep

cookie源码

class HttpResponseBase:

    def set_cookie(self, key,                 键
                 value='',            值
                 max_age=None,        超长时间 ,有效事件,max_age=20意思是这个cookie20秒后就消失了,默认时长是2周,这个是以秒为单位的

                              cookie需要延续的时间(以秒为单位)
                              如果参数是\ None`` ,这个cookie会延续到浏览器关闭为止。

                 expires=None,        超长时间,值是一个datetime类型的时间日期对象,到这个日期就失效的意思,用的不多
                             expires默认None ,cookie失效的实际日期/时间。

                     

                 path='/',           Cookie生效的路径,就是访问哪个路径可以得到cookie,'/'是所有路径都能获得cookie
                                             浏览器只会把cookie回传给带有该路径的页面,这样可以避免将
                                             cookie传给站点中的其他的应用。
                                             / 表示根路径,特殊的:根路径的cookie可以被任何url的页面访问
                 
                         domain=None,         Cookie生效的域名
                                            
                                              你可用这个参数来构造一个跨站cookie。
                                              如, domain=".example.com"
                                              所构造的cookie对下面这些站点都是可读的:
                                              www.example.com 、 www2.example.com 
                             和an.other.sub.domain.example.com 。
                                              如果该参数设置为 None ,cookie只能由设置它的站点读取。

                 secure=False,        如果设置为 True ,浏览器将通过HTTPS来回传cookie。
                 httponly=False       只能http协议传输,无法被JavaScript获取
                                             (不是绝对,底层抓包可以获取到也可以被覆盖)
              ): pass

cookie特点

  • Cookie大小上限为4KB;
  • 一个服务器最多在客户端浏览器上保存20个Cookie;
  • 一个浏览器最多保存300个Cookie,因为一个浏览器可以访问多个服务器。
  • cookie是明文存储在客户端的,不安全,所以一些敏感数据是不应该放到cookie里面的
        上面的数据只是HTTP的Cookie规范,但在浏览器大战的今天,一些浏览器为了打败对手,为了展现自己的能力起见,可能对Cookie规范“扩展”了一些,例如每个Cookie的大小为8KB,最多可保存500个Cookie等!但也不会出现把你硬盘占满的可能!
    注意,不同浏览器之间是不共享Cookie的。也就是说在你使用IE访问服务器时,服务器会把Cookie发给IE,然后由IE保存起来,当你在使用FireFox访问服务器时,不可能把IE保存的Cookie发送给服务器。

cookie 做登录页面校验

//先做一个过滤器

def check_login(f):

    def inner(request, *args, **kwargs):

        is_login = request.session.get('is_login')

        if is_login:

            ret = f(request, *args, **kwargs)

            return ret
        else:

            return redirect('login')

    return inner

//登录页面视图函数

def log(request):

if request.method == 'GET':

    return render(request, 'login.html')

else:

    print(request.POST.get('username'))

    if request.POST.get('username') == '123' and request.POST.get('password') == '123':

        request.session['is_login'] = 'True'

        return redirect('/book_list/')

    else:

        return redirect('/login/')

个人信息页面预览

@check_login

def book_list(request):

    book_list = models.Book.objects.all()

    print(int(True))

    return render(request, 'book_list.html', {'book_list': book_list, })

session

针对以上特点cookie有数据大小限制,还明文存储在客户端,出现了session技术

session技术就是为了提升上面两个特点。

基于cookie技术(目前先这样里面,其实不通过cookie也能完成session技术)

session特点:

1.基于cookie时,也是以键值对的形式来存的数据,但是数据是密文的,只是一把钥匙(随机字符串)

2.真正的数据是保存在服务端的,将来通过cookie带过来的这个随机字符串,来找到服务端保存的对应用户的数据,数据既然是保存在服务端的,那么数据大小没有限制

服务端实现的技术

django的session操作

设置值

	request.session['is_login'] = True  #等于别的值,就是修改动作
	request.session['username'] = 'root'
  		'''
            request.session['is_login'] = True
            做了三步事情
            1. 生成一个随机字符串,并将这个字符串添加到了cookie里面,键值对名称这样的: sessionid:ljlijsoidjoasdiog
            2. 将is_login和username这两个键值对数据{'is_login':True,'username':'root'}首先进行了json序列化,然后进行了加密,然后将加密后的数据和sessionid对应的随机值保存到了django-sesison表中。
            3. 给session保存的数据,加了有效期,默认是两周
            '''

取值

	request.session['k1']
	is_login = request.session.get('is_login')
    '''
        request.session['is_login']
        1.去cookie里面取出sessionid这个键对应的值(随机字符串)
        2.通过这个随机字符串去django-session表里面获取对应的数据,session_data那一列的数据
        3.对数据进行解密和反序列化,得到{'is_login':True,'username':'root'},然后通过键取出对应的值
    '''

删除值

	request.session.flush()
  #del request.session['k1']
  
    '''
        1 删除cookie中的sessionid值
        2 删除django-sesion表中保存的数据记录
    '''

所有 键、值、键值对
request.session.keys()
request.session.values()
request.session.items()
获取sessionid的值
session_key = request.session.session_key

设置会话Session和Cookie的超时时间
request.session.set_expiry(value)
* 如果value是个整数,session会在些秒数后失效。
* 如果value是个datatime或timedelta,session就会在这个时间后失效。
* 如果value是0,用户关闭浏览器session就会失效。
* 如果value是None,session会依赖全局session失效策略。

session全局配置

1. 数据库Session
SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎(默认)

2. 缓存Session
SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
SESSION_CACHE_ALIAS = 'default'                            # 使用的缓存别名(默认内存缓存,也可以是memcache),此处别名依赖缓存的设置

3. 文件Session
SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎
SESSION_FILE_PATH = None                                    # 缓存文件路径,如果为None,则使用tempfile模块获取一个临时地址tempfile.gettempdir() 

4. 缓存+数据库
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'        # 引擎


其他公用设置项:
SESSION_COOKIE_NAME = "sessionid"                       # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认)
SESSION_COOKIE_PATH = "/"                               # Session的cookie保存的路径(默认)
SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名(默认)
SESSION_COOKIE_SECURE = False                            # 是否Https传输cookie(默认)
SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http传输(默认)
SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期(2周)(默认)
SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否关闭浏览器使得Session过期(默认)

注意:一个浏览器对应一个服务端,只有一个session。

session做登录页面

def check_login(f):
def inner(request, *args, **kwargs):
is_login = request.session.get('is_login')
if is_login:
ret = f(request, *args, **kwargs)
return ret
else:
return redirect('login')
return inner

@check_login
def cart(request):
return render(request, 'cart.html')

posted @ 2020-09-23 17:04  SY‰  阅读(95)  评论(0)    收藏  举报