------------恢復內容開始------------

Django框架之九 cookie和session元件

cookie和session元件

1.cookie的由來

大家都知道HTTP協議是無狀態的。

無狀態的意思是每次請求都是獨立的，它的執行情況和結果與前面的請求和之後的請求都無直接關係，它不會受前面的請求響應情況直接影響，也不會直接影響後面的請求響應情況。

一句有意思的話來描述就是人生只如初見，對伺服器來說，每次的請求都是全新的。

狀態可以理解為客戶端和伺服器在某次會話中產生的資料，那無狀態的就以為這些資料不會被保留。會話中產生的資料又是我們需要儲存的，也就是說要“保持狀態”。因此Cookie就是在這樣一個場景下誕生。

2.什麼是cookie

儲存在客戶端瀏覽器上的鍵值對。

隨著伺服器端的響應傳送給客戶端瀏覽器。然後客戶端瀏覽器會把Cookie儲存起來，當下一次再訪問伺服器時把Cookie再發送給伺服器。 Cookie是由伺服器建立，然後通過響應傳送給客戶端的一個鍵值對。客戶端會儲存Cookie，並會標註出Cookie的來源（哪個伺服器的Cookie）。當客戶端向伺服器發出請求時會把所有這個伺服器Cookie包含在請求中傳送給伺服器，這樣伺服器就可以識別客戶端了！

3.cookie的工作原理

cookie的工作原理是：由伺服器產生內容，瀏覽器收到請求後儲存在本地；當瀏覽器再次訪問時，瀏覽器會自動帶上Cookie，這樣伺服器就能通過Cookie的內容來判斷這個是“誰”了。

4.cookie的覆蓋

如果伺服器端傳送重複的Cookie那麼會覆蓋原有的Cookie，例如客戶端的第一個請求伺服器端傳送的Cookie是：Set-Cookie: a=A；第二請求伺服器端傳送的是：Set-Cookie: a=AA，那麼客戶端只留下一個Cookie，即：a=AA。

5.在瀏覽器中檢視cookie F12開啟開發者工具

6.cookie的操作

1.基本語法

#如何操作cookie
django返回給客戶端瀏覽器的都必須是HttpResponse物件
obj = HttpResponse()
obj.set_cookie('key','value')   #設定cookie就是在HttpResponse物件上
return obj #也相當於返回HttpResponse()
獲取cookie,從request物件中取
 

request.COOKIE.get('k')
刪除cookie,HttpResponse物件上
obj.delete_cookie('k')
設定超時時間 （時間以秒為單位）

max_age=None, 超時時間

expires=None, 超時時間(用於IE瀏覽器)

2.登入認證

from functools import wraps
def login_auth(func):
    @wraps(func)
    def inner(request,*args,**kwargs):
        target_url = request.get_full_path()
        if request.COOKIES.get('name'):     #驗證是否已經存在cookie值 ？？？不需要驗證cookie是否正確嗎？？
            res = func(request,*args,**kwargs)
            return res
        else:
            return redirect('/lg/?next=%s'%target_url)
    return inner
@login_auth 
def order(request):
　　return HttpResponse('我是訂單頁面,我得登入才能看')

7.cookie加鹽　　

def salt_cookie(request):
    object = HttpResponse('ok')
    # 加鹽,123是個密碼,解cookie的時候需要它,
    object.set_signed_cookie('name','lqz',salt='123')# max_age，三天失效
    object.set_cookie('name','lqz',max_age=60*60*24*3)
    # path，只有訪問shopping的時候,才會攜帶cookie過來
    object.set_cookie('name', 'lqz', path='/shopping/')
    object.set_cookie('name', 'lqz')
    return object

加鹽其他屬性　　

domain    設定域名下有效domain='map.baidu.com'
expires     超時時間,傳一個datatime物件
secure=False       (預設是false,設定成True瀏覽器將通過HTTPS來回傳cookie)
httponly=True   只能https協議傳輸，無法被JavaScript獲取（不是絕對，底層抓包可以獲取到也可以被覆蓋)

cookie總結：　

設定cookie兩種方法：
rep = HttpResponse(...)
rep ＝ render(request, ...)
#第一種
rep.set_cookie(key,value,...)
#第二種
rep.set_signed_cookie(key,value,salt='加密鹽', max_age=None, ...)
獲取cookie兩種方法：
第一種
request.COOKIES.get('key')
第二種
request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None)
刪除cookie方法：

rep.delete_cookie('key')

session　　

1.什麼是session　

Cookie雖然在一定程度上解決了“保持狀態”的需求，但是由於Cookie本身最大支援4096位元組，以及Cookie本身儲存在客戶端，可能被攔截或竊取，因此就需要有一種新的東西，它能支援更多的位元組，並且他儲存在伺服器，有較高的安全性。這就是Session。

問題來了，基於HTTP協議的無狀態特徵，伺服器根本就不知道訪問者是“誰”。那麼上述的Cookie就起到橋接的作用。

我們可以給每個客戶端的Cookie分配一個唯一的id，這樣使用者在訪問時，通過Cookie，伺服器就知道來的人是“誰”。然後我們再根據不同的Cookie的id，在伺服器上儲存一段時間的私密資料，如“賬號密碼”等等。

總結而言：Cookie彌補了HTTP無狀態的不足，讓伺服器知道來的人是“誰”；但是Cookie以文字的形式儲存在本地，自身安全性較差；所以我們就通過Cookie識別不同的使用者，對應的在Session裡儲存私密的資訊以及超過4096位元組的文字。

另外，上述所說的Cookie和Session其實是共通性的東西，不限於語言和框架。

session就是儲存在伺服器上的鍵值對，session雖然是儲存在伺服器上的鍵值對，但是它是依賴於cookie工作的
服務端返回給瀏覽器一個隨機的字串，瀏覽器以鍵值對的形式儲存cookieid:隨機字串
瀏覽器在訪問服務端的時候，就會將隨機字串攜帶上：
後端獲取隨機字串與後端的記錄做對比
隨機字串1：資料1
隨機字串2：資料2

2.session的使用　　

#設定session
request.session['name'] = 'jason'
#設定的session鍵值對以字典的形式儲存到django_session表中的session_data中
設定session時：
1.django內部自動生成一個隨機字串
2.將隨機字串和你要儲存的資料寫入django_session表中（先在記憶體中生成一個快取記錄，等到經過中介軟體的時候才會執行）
3.將產生的隨機字串傳送到瀏覽器寫入cookie
    <span style="background-color: #ff0000;">sessionid:隨機字串</span>

取值
request.session.get('name')
取值時：
1.django內部會自動從請求資訊中獲取到隨機字串
2.拿著隨機字串去django_session表中對比
3.一旦對比上了就將對應的資料拿出來放在request.session中

刪除瀏覽器的sessionid資訊，為了減輕資料庫的查詢負擔，過一段時間會自動把伺服器的session刪除
request.session.delete()
將瀏覽器和服務端全部刪除（推薦使用這個）
request.session.flush()

這用於確保前面的會話資料不可以再次被使用者的瀏覽器訪問

session工作原理

設定，獲取，刪除

#設定session
def set_session(request):
    request.session['xxx'] = 'xxx'
    request.session.set_expiry(30)  #設定30秒過期
    return HttpResponse('set_session')
獲取session
def get_session(request):

request.session.get('xxx')

return HttpResponse('get_session')
刪除session
def delete_session(request):

request.session.flush()

return HttpResponse('delete_session')

3.session配置

1. 資料庫Session
SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎（預設）


快取Session

SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎

SESSION_CACHE_ALIAS = 'default'                            # 使用的快取別名（預設記憶體快取，也可以是memcache），此處別名依賴快取的設定


檔案Session

SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎

SESSION_FILE_PATH = None                                    # 快取檔案路徑，如果為None，則使用tempfile模組獲取一個臨時地址tempfile.gettempdir()


快取+資料庫

SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'        # 引擎


加密Cookie Session

SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'   # 引擎


其他公用設定項：

SESSION_COOKIE_NAME ＝ "sessionid"                       # Session的cookie儲存在瀏覽器上時的key，即：sessionid＝隨機字串（預設）

SESSION_COOKIE_PATH ＝ "/"                               # Session的cookie儲存的路徑（預設）

SESSION_COOKIE_DOMAIN = None                             # Session的cookie儲存的域名（預設）

SESSION_COOKIE_SECURE = False                            # 是否Https傳輸cookie（預設）

SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支援http傳輸（預設）

SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期（2周）（預設）

SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否關閉瀏覽器使得Session過期（預設）

SESSION_SAVE_EVERY_REQUEST = False                       # 是否每次請求都儲存Session，預設修改之後才儲存（預設）

設定超時時間

request.session.set_expiry(value)
    * 如果value是個整數，session會在些秒數後失效。
    * 如果value是個datatime或timedelta，session就會在這個時間後失效。
    * 如果value是0,使用者關閉瀏覽器session就會失效。
    * 如果value是None,session會依賴全域性session失效策略。