Django认证系统
一.cooie与session
1.1 cookie与session
cooie不属于http协议范围,由于http协议无法保持状态,但实际情况,我们却又要保持状态,因此cookie就是在这样的一个场景下诞生。
cookie的工作原理:有服务器产生内容,浏览器收到请求后保存到本地;当浏览器再次访问时,浏览器会自动带上cookie,这样服务器就能够通过cookie的内容来判断这个是“谁”了。
cookie虽然解决了一定程度上的难题,但由于cookie本身只支持4096字节,以及cookie本身存在客户端,可能被拦截窃取,因此就需要有一种新的东西,它能支持更多的字节,并且保存在服务器上,有较高的安全性,就是session。
那么,问题来了,基于http协议的无状态特征,服务器根本就不知道访问者是“谁”,那么上述的cookie就起到了桥接的作用。
我们可以给每一个客户端分配一个唯一的id,这样用户在访问时,通过cookie,服务器就知道来的人是“谁”,然后我们再根据不用的cookie的id,在服务器上保存一段时间的私密材料,如账号密码等等。
总结:cookie弥补了http无状态的不足,让服务器知道来的人是“谁”,但是cookie以文本的形式保存在本地,自身安全性差,所以我们就通过cookie识别不同的用户,对应在session里保存私密的信息以及超过4096的文本
另外,上述的cookie与session其实是通用的东西,不限于语言与框架
1.2 登录应用
前面的介绍中我们已经有能力制作一个登录页面,在验证了用户名与密码的正确性后跳转到了后台的页面,但是测试后我们发现,如果绕过登录页面,直接输入后台的url地址也可以直接访问的,这个显然是不合理的,其实我们确实的就是cookie与session配合的验证,有了这个验证的过程,我们就可以实现和其他网站 一样必须登录才能进入后台页面了。
先说一下认证机制,每当我们使用一款浏览器访问一个登录页面的时候,一旦我们通过了认证,服务器就会发送一组随机唯一的字符串(假设是123abc)到浏览器端,这个被存储在浏览器的东西就叫cookie,而服务器端也会给自己存储一下用户的当前状态,比如login=true,username = hahah 之类的用户信息。但是这种存储形式时以字典形式存储的。字典的唯一的KEY就是刚才发给用户唯一的cookie的值。那么如果在服务端查看session信息的话,理论上就会看到如下的字典:
{“123abc”:{'login':'true','username':'hahaha'}}
因为每个cookie都是唯一的,所以我们电脑上换个浏览器登录同一个网站也需要再次验证。那么我为什么说只是理论上看到的样子是字典呢?因为由于安全的考虑,其实对于上面的那个大字典不光key值是123abc,这个值是被加密的,value值({'login':'true','username':'hahaha'})在服务端一样也是被加密的,所以我们服务器上就算打开了session信息看到的也是类似与一下的东西。
{“123abc”:{'login':'true','username':'hahaha'}}
知道了原理,下面就用代码实现
二.Django实现的cookie
2.1获取cookie
request.COOKIE['key'] request.get_signed_cookie(key,defalut=RAISE_ERROR,salt='',max_age =None) #参数 default:默认值 salt:加密盐 max_age:后台控制过期时间
2.2 设置cookie
rep= Httpresponse(...)或rep= render(request,....)或 rep=redict() ren.set_cookie = (key,value,...) rep.set_signed_cookie = (key,value,salt='加密盐',...)
def set_cookie(self, key, 键 value='', 值 max_age= None, 超时时间 expries=None, 超长时间 path='/') cookie生效的路径 domain=None cookie生效域名 你可用这个参数来构造一个跨站cookie。 如, domain=".example.com" 所构造的cookie对下面这些站点都是可读的: www.example.com 、 www2.example.com 和 an.other.sub.domain.example.com 。 如果该参数设置为 None ,cookie只能由设 置它的站点读取。
secure=False, 如果设置为 True ,浏览器将通过HTTPS来回传cookie。
httponly=False 只能http协议传输,无法被JavaScript获取
(不是绝对,底层抓包可以获取到也可以被覆盖)
): pass
由于cookie保存在客户端的电脑上,所以,javascript和jquery可以操作cookie。
<script src = "/static/js/jquery.cookie.js"> </script> $.("key",value,{path:"/"});
删除cookie
response.delete_cookie("cookie_key",path="/",domin=name)
cookie存到客户端:
优点:
数据存在客户端,减轻服务器压力,提高网站性能。
缺点:
安全性不高,在客户端很容易被查看或破解用户的会话信息
三.Django实现的session
3.1基本操作
1.设置session的值
request.session['session_name'] =name
2.获取session的值
session_name = request.session['session_name']
3.删除session的值
del requset.session['session_name']
4.检测是否操作session的值
if 'session_name' is request.session:
5.get(key, default=None)
fav_color = request.session.get('fav_color', 'red')6.pop(key)fav_color = request.session.pop('fav_color')7.keys()8.items()9.setdefault()10.flush() 删除当前的会话数据并删除会话的Cookie。 这用于确保前面的会话数据不可以再次被用户的浏览器访问 例如,django.contrib.auth.logout() 函数中就会调用它。11. 用户session的随机字符串 request.session.session_key # 将所有Session失效日期小于当前日期的数据删除 request.session.clear_expired() # 检查 用户session的随机字符串 在数据库中是否 request.session.exists("session_key") # 删除当前用户的所有Session数据 request.session.delete("session_key") request.session.set_expiry(value) * 如果value是个整数,session会在些秒数后失效。 * 如果value是个datatime或timedelta,session就会在这个时间后失效。 * 如果value是0,用户关闭浏览器session就会失效。 * 如果value是None,session会依赖全局session失效策略。
3.3 示例
views:
def login(request): if request.method =="POST": username = request.POST.['user'] password = request.POST.['pwd'] user = UserInfo.objects.filter(username=username,password=password) if user: #设置session内部的字典内容 request.session['is_login']= 'true' request.session['username']=username #登录成功就将urt重定向后台的url return redirect('/backend/') #登录不成功或第一次访问就停留在登录页面 return render(request,'login.html') def backend(request): print(request.session,"-------cookie") print(request.COOKIES,"-------session") ''' 这里必须用读取字典的get()方法把is_login的value的缺省设置为False,当用户访问backend这个url先尝试 获取浏览器对应的session中的is_login的值,如果对方登录成功的话,在login里就 已经把is_login的值修改 为了True,反之这个值就是False ''' is_login =request.session.get('is_login',False) if is_login: #获取字典里的内容并传入页面文件 cookie_content=request.COOKIES session_content=request.session username = request.session['username'] return render(request,'backend.html',locals()) else: ''' 如果访问的时候没有携带正确的session,就直接重定向url回login页面 ''' return redirect('/login/') def log_out(request): ''' 直接通过request.session['is_login']回去返回的时候,如果is_login 对应的value值不存在会导致程序异常,所以需要异常处理 :param request: :return: ''' try: #删除is_login对应的value值 del request.session['is_login'] # request.session.flush() 删除django-session表中的一行记录 except KeyError: pass #点击注销后,直接重定向返回登录页面 return redirect('/login/')
templete:
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <form action="/login/" method="post"> <p>用户名: <input type="text" name="user"> </p> <p>密码: <input type="password" name="pwd"> </p> <p><input type="submit"></p> </form> </body> </html>
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <h3>hello{{ username }}</h3> <a href="/logout/">注销</a> </body> </html>
3.4 session存储相关配置
1.数据库配置(默认)
Django默认支持Session,并且默认是将Session数据存储在数据库中,即:django_session 表中。 a. 配置 settings.py SESSION_ENGINE = 'django.contrib.sessions.backends.db' # 引擎(默认) SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认) SESSION_COOKIE_PATH = "/" # Session的cookie保存的路径(默认) SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默认) SESSION_COOKIE_SECURE = False # 是否Https传输cookie(默认) SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http传输(默认) SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(默认) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否关闭浏览器使得Session过期(默认) SESSION_SAVE_EVERY_REQUEST = False # 是否每次请求都保存Session,默认修改之后才保存(默认)
2. 缓存配置
a. 配置 settings.py SESSION_ENGINE = 'django.contrib.sessions.backends.cache' # 引擎 SESSION_CACHE_ALIAS = 'default' # 使用的缓存别名(默认内存缓存,也可以是memcache),此处别名依赖缓存的设置 SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串 SESSION_COOKIE_PATH = "/" # Session的cookie保存的路径 SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名 SESSION_COOKIE_SECURE = False # 是否Https传输cookie SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http传输 SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否关闭浏览器使得Session过期 SESSION_SAVE_EVERY_REQUEST = False # 是否每次请求都保存Session,默认修改之后才保存
3. 文件配置
a. 配置 settings.py SESSION_ENGINE = 'django.contrib.sessions.backends.file' # 引擎 SESSION_FILE_PATH = None # 缓存文件路径,如果为None,则使用tempfile模块获取一个临时地址tempfile.gettempdir() SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串 SESSION_COOKIE_PATH = "/" # Session的cookie保存的路径 SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名 SESSION_COOKIE_SECURE = False # 是否Https传输cookie SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http传输 SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否关闭浏览器使得Session过期 SESSION_SAVE_EVERY_REQUEST = False # 是否每次请求都保存Session,默认修改之后才保存
浙公网安备 33010602011771号