cookie与session

cookies与session

cookie：

在网站中，http请求是无状态的。也就是说即使第一次和服务器连接后并且登录成功后，第二次请求服务器依然不能知道当前请求是哪个用户。cookie的出现就是为了解决这个问题，第一次登录后服务器返回一些数据（cookie）给浏览器，然后浏览器保存在本地，当该用户发送第二次请求的时候，就会自动的把上次请求存储的cookie数据自动的携带给服务器，服务器通过浏览器携带的数据就能判断当前用户是哪个了。cookie存储的数据量有限，不同的浏览器有不同的存储大小，但一般不超过4KB。因此使用cookie只能存储一些小量的数据。

session:

session和cookie的作用有点类似，都是为了存储用户相关的信息。不同的是，cookie是存储在本地浏览器，而session存储在服务器。存储在服务器的数据会更加的安全，不容易被窃取。但存储在服务器也有一定的弊端，就是会占用服务器的资源，但现在服务器已经发展至今，一些session信息还是绰绰有余的。

cookie和session结合使用：

web开发发展至今，cookie和session的使用已经出现了一些非常成熟的方案。在如今的市场或者企业里，一般有两种存储方式：

1、存储在服务端：通过cookie存储一个session_id，然后具体的数据则是保存在session中。如果用户已经登录，则服务器会在cookie中保存一个session_id，下次再次请求的时候，会把该session_id携带上来，服务器根据session_id在session库中获取用户的session数据。就能知道该用户到底是谁，以及之前保存的一些状态信息。这种专业术语叫做server side session。

2、将session数据加密，然后存储在cookie中。这种专业术语叫做client side session。flask采用的就是这种方式，但是也可以替换成其他形式。

cookie和session在Django中的应用

cookie

1. 利用from django.shortcuts import render, HttpResponse, redirect 生成render/HttpResponse/redirect对象

2. 方法

   # 设置cookie， 让浏览器保存该cookie
   obj.set_cookie('key1','value2')   
   obj.set_cookie('key1','value2')   
   
   """
   其余参数
   def set_cookie(self, key, value='', max_age=None, expires=None, path='/',
                      domain=None, secure=False, httponly=False):
   
   	key,键
       value=", 值
       max_ age=None, 超时时间(一般浏览器)
       expires =None,超时时间(IE requires expires, so set it if hasn't been already.)
       path='/', Cookie生效的路径， /表示根路径,特殊的:根路径的cookie可以被任何urI的页面访问
       domain=None, Cookie生效的域名
       secure= False, https传输
       httponly= False只能http协议传输，无法被JavaScript获取(不是绝对，底层抓包可以获取到也可以被覆盖)
   """
   
   
   
   # 获取cookie，request.COOKIES就是一个字典
   request.COOKIES.get('key')
   
   # 删除cookies, 让浏览器删除该cookie
   obj.delete_cookie('key')
   # 原理：将cookie设为过期，浏览器不会保存cookie
   
   
   

3. 将对象return返回

session

1. 方法

   django session表是针对浏览器的

   使用session时要先使用数据库迁移命令，就会自动生成django_session表

   不同电脑以及不同的浏览器都会有自己对应的session_key随机字符串

   一台电脑同一个浏览器，无论session中放多少数据都会放在对应的那条记录中的session_data中

   # 设置session
   request.session['key'] = value
   """
   1.django内部自动生成了随机的字符串
   2.在django_session表中存入数据
   session_key         session_data         date
   随机字符串1              数据1(真实的数据)   ...
   随机字符串2              数据2            ...
   随机字符串3              数据3            ...
   3.将产生的随机字符串发送给浏览器 让浏览器保存到cookie中
   cookie的内容是
   	sessionid:随机字符串
   
                   """  
   
   
   # 获取session,request.session可以看成一个字典
   request.session.get('key')
   """
   1.浏览器发送cookie到django后端之后 django会自动获取到cookie中的sessionid值
   2.拿着随机字符串去django_session表中比对 是否有对应的数据
   3.如果比对上了 就将随机字符串所对应的数据 取出赋值给request.session
      如果对不上 那么request.session就是个空
   
   """
   
   
   # 删除session
   request.session.delete() # 删除服务端的session表中对应的记录，浏览器的cookie不动
   request.session.flush() # 删除服务端的session表中对应的记录，以及浏览器中的cookie
   

   相关方法
   # 获取、设置、删除Session中数据
   request.session['k1']
   request.session.get('k1',None)
   request.session['k1'] = 123
   request.session.setdefault('k1',123) # 存在则不设置
   del request.session['k1']
   
   
   # 所有 键、值、键值对
   request.session.keys()
   request.session.values()
   request.session.items()
   request.session.iterkeys()
   request.session.itervalues()
   request.session.iteritems()
   
   # 会话session的key
   request.session.session_key
   
   # 将所有Session失效日期小于当前日期的数据删除
   request.session.clear_expired()
   
   # 检查会话session的key在数据库中是否存在
   request.session.exists("session_key")
   
   # 删除当前会话的所有Session数据
   request.session.delete()
   　　
   # 删除当前的会话数据并删除会话的Cookie。
   request.session.flush() 
       这用于确保前面的会话数据不可以再次被用户的浏览器访问
       例如，django.contrib.auth.logout() 函数中就会调用它。
   
   # 设置会话Session和Cookie的超时时间
   request.session.set_expiry(value)
       * 如果value是个整数，session会在value秒后失效。
       * 如果value是个datatime或timedelta，session就会在这个时间后失效。
       * 如果value是0,用户关闭浏览器session就会失效。
       * 如果value是None,session会依赖全局session失效策略。
   

session流程解析

Django中的Session配置

​ Django中默认支持Session,其内部提供了5种类型的Session供开发者使用。

1. 数据库Session
SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎（默认）

2. 缓存Session
SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
SESSION_CACHE_ALIAS = 'default'                            # 使用的缓存别名（默认内存缓存，也可以是memcache），此处别名依赖缓存的设置

3. 文件Session
SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎
SESSION_FILE_PATH = None                                    # 缓存文件路径，如果为None，则使用tempfile模块获取一个临时地址tempfile.gettempdir() 

4. 缓存+数据库
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'        # 引擎

5. 加密Cookie Session
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'   # 引擎

其他公用设置项：
SESSION_COOKIE_NAME ＝ "sessionid"                       # Session的cookie保存在浏览器上时的key，即：sessionid＝随机字符串（默认）
SESSION_COOKIE_PATH ＝ "/"                               # Session的cookie保存的路径（默认）
SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名（默认）
SESSION_COOKIE_SECURE = False                            # 是否Https传输cookie（默认）
SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http传输（默认）
SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期（2周）（默认）
SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否关闭浏览器使得Session过期（默认）
SESSION_SAVE_EVERY_REQUEST = False                       # 是否每次请求都保存Session，默认修改之后才保存（默认）

Django中Session相关设置

为CBV加装饰器(******)

​ 使用CBV一定要用method_decorator来使用装饰器

​ 为dispatch加装饰器，就相当于为CBV的所有请求函数加了装饰器

from django.utils.decorators import method_decorator

# 自定义装饰器login_auto

from django.views import View
# 方式(四)
@method_decorator(login_auto,name='dispatch')
# 方式一
@method_decorator(login_auto,name='post')
class MyCsrf(View):
    # 方式二
	@method_decorator(login_auto)
	def dispatch(self, request, *args, **kwargs):
		return super().dispatch(request,*args,**kwargs)
	def get(self,request):
		return HttpResponse('hahaha')
    
	#方式三
	@method_decorator(csrf_protect)
	def post(self,request):
		return HttpResponse('post')