kong in kubernetes
------------恢復內容開始------------
Django框架之九 cookie和session元件
cookie和session元件
1.cookie的由來
大家都知道HTTP協議是無狀態的。
無狀態的意思是每次請求都是獨立的,它的執行情況和結果與前面的請求和之後的請求都無直接關係,它不會受前面的請求響應情況直接影響,也不會直接影響後面的請求響應情況。
一句有意思的話來描述就是人生只如初見,對伺服器來說,每次的請求都是全新的。
狀態可以理解為客戶端和伺服器在某次會話中產生的資料,那無狀態的就以為這些資料不會被保留。會話中產生的資料又是我們需要儲存的,也就是說要“保持狀態”。因此Cookie就是在這樣一個場景下誕生。
2.什麼是cookie
儲存在客戶端瀏覽器上的鍵值對。
隨著伺服器端的響應傳送給客戶端瀏覽器。然後客戶端瀏覽器會把Cookie儲存起來,當下一次再訪問伺服器時把Cookie再發送給伺服器。 Cookie是由伺服器建立,然後通過響應傳送給客戶端的一個鍵值對。客戶端會儲存Cookie,並會標註出Cookie的來源(哪個伺服器的Cookie)。當客戶端向伺服器發出請求時會把所有這個伺服器Cookie包含在請求中傳送給伺服器,這樣伺服器就可以識別客戶端了!
3.cookie的工作原理
cookie的工作原理是:由伺服器產生內容,瀏覽器收到請求後儲存在本地;當瀏覽器再次訪問時,瀏覽器會自動帶上Cookie,這樣伺服器就能通過Cookie的內容來判斷這個是“誰”了。
4.cookie的覆蓋
如果伺服器端傳送重複的Cookie那麼會覆蓋原有的Cookie,例如客戶端的第一個請求伺服器端傳送的Cookie是:Set-Cookie: a=A;第二請求伺服器端傳送的是:Set-Cookie: a=AA,那麼客戶端只留下一個Cookie,即:a=AA。
5.在瀏覽器中檢視cookie F12開啟開發者工具
6.cookie的操作
1.基本語法
#如何操作cookie django返回給客戶端瀏覽器的都必須是HttpResponse物件 obj = HttpResponse() obj.set_cookie('key','value') #設定cookie就是在HttpResponse物件上 return obj #也相當於返回HttpResponse()獲取cookie,從request物件中取
request.COOKIE.get('k')
刪除cookie,HttpResponse物件上
obj.delete_cookie('k')
設定超時時間 (時間以秒為單位)
max_age=None, 超時時間
expires=None, 超時時間(用於IE瀏覽器)
2.登入認證
from functools import wraps
def login_auth(func):
@wraps(func)
def inner(request,*args,**kwargs):
target_url = request.get_full_path()
if request.COOKIES.get('name'): #驗證是否已經存在cookie值 ???不需要驗證cookie是否正確嗎??
res = func(request,*args,**kwargs)
return res
else:
return redirect('/lg/?next=%s'%target_url)
return inner
@login_auth
def order(request):
return HttpResponse('我是訂單頁面,我得登入才能看')
7.cookie加鹽
def salt_cookie(request): object = HttpResponse('ok') # 加鹽,123是個密碼,解cookie的時候需要它, object.set_signed_cookie('name','lqz',salt='123')# max_age,三天失效 object.set_cookie('name','lqz',max_age=60*60*24*3) # path,只有訪問shopping的時候,才會攜帶cookie過來 object.set_cookie('name', 'lqz', path='/shopping/') object.set_cookie('name', 'lqz') return object
加鹽其他屬性
domain 設定域名下有效domain='map.baidu.com' expires 超時時間,傳一個datatime物件 secure=False (預設是false,設定成True瀏覽器將通過HTTPS來回傳cookie) httponly=True 只能https協議傳輸,無法被JavaScript獲取(不是絕對,底層抓包可以獲取到也可以被覆蓋)
cookie總結:
設定cookie兩種方法: rep = HttpResponse(...) rep = render(request, ...) #第一種 rep.set_cookie(key,value,...) #第二種 rep.set_signed_cookie(key,value,salt='加密鹽', max_age=None, ...)獲取cookie兩種方法:
第一種
request.COOKIES.get('key')
第二種
request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None)
刪除cookie方法:
rep.delete_cookie('key')
session
1.什麼是session
Cookie雖然在一定程度上解決了“保持狀態”的需求,但是由於Cookie本身最大支援4096位元組,以及Cookie本身儲存在客戶端,可能被攔截或竊取,因此就需要有一種新的東西,它能支援更多的位元組,並且他儲存在伺服器,有較高的安全性。這就是Session。
問題來了,基於HTTP協議的無狀態特徵,伺服器根本就不知道訪問者是“誰”。那麼上述的Cookie就起到橋接的作用。
我們可以給每個客戶端的Cookie分配一個唯一的id,這樣使用者在訪問時,通過Cookie,伺服器就知道來的人是“誰”。然後我們再根據不同的Cookie的id,在伺服器上儲存一段時間的私密資料,如“賬號密碼”等等。
總結而言:Cookie彌補了HTTP無狀態的不足,讓伺服器知道來的人是“誰”;但是Cookie以文字的形式儲存在本地,自身安全性較差;所以我們就通過Cookie識別不同的使用者,對應的在Session裡儲存私密的資訊以及超過4096位元組的文字。
另外,上述所說的Cookie和Session其實是共通性的東西,不限於語言和框架。
session就是儲存在伺服器上的鍵值對,session雖然是儲存在伺服器上的鍵值對,但是它是依賴於cookie工作的 服務端返回給瀏覽器一個隨機的字串,瀏覽器以鍵值對的形式儲存cookieid:隨機字串 瀏覽器在訪問服務端的時候,就會將隨機字串攜帶上: 後端獲取隨機字串與後端的記錄做對比 隨機字串1:資料1 隨機字串2:資料2
2.session的使用
#設定session request.session['name'] = 'jason' #設定的session鍵值對以字典的形式儲存到django_session表中的session_data中設定session時:
1.django內部自動生成一個隨機字串 2.將隨機字串和你要儲存的資料寫入django_session表中(先在記憶體中生成一個快取記錄,等到經過中介軟體的時候才會執行) 3.將產生的隨機字串傳送到瀏覽器寫入cookie <span style="background-color: #ff0000;">sessionid:隨機字串</span>
取值
request.session.get('name')
取值時:
1.django內部會自動從請求資訊中獲取到隨機字串 2.拿著隨機字串去django_session表中對比 3.一旦對比上了就將對應的資料拿出來放在request.session中
刪除瀏覽器的sessionid資訊,為了減輕資料庫的查詢負擔,過一段時間會自動把伺服器的session刪除
request.session.delete()
將瀏覽器和服務端全部刪除(推薦使用這個)
request.session.flush()
這用於確保前面的會話資料不可以再次被使用者的瀏覽器訪問
session工作原理
設定,獲取,刪除
#設定session def set_session(request): request.session['xxx'] = 'xxx' request.session.set_expiry(30) #設定30秒過期 return HttpResponse('set_session')獲取session
def get_session(request):
request.session.get('xxx')
return HttpResponse('get_session')刪除session
def delete_session(request):
request.session.flush()
return HttpResponse('delete_session')
3.session配置
1. 資料庫Session SESSION_ENGINE = 'django.contrib.sessions.backends.db' # 引擎(預設)
快取Session
SESSION_ENGINE = 'django.contrib.sessions.backends.cache' # 引擎
SESSION_CACHE_ALIAS = 'default' # 使用的快取別名(預設記憶體快取,也可以是memcache),此處別名依賴快取的設定檔案Session
SESSION_ENGINE = 'django.contrib.sessions.backends.file' # 引擎
SESSION_FILE_PATH = None # 快取檔案路徑,如果為None,則使用tempfile模組獲取一個臨時地址tempfile.gettempdir()快取+資料庫
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db' # 引擎加密Cookie Session
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies' # 引擎其他公用設定項:
SESSION_COOKIE_NAME = "sessionid" # Session的cookie儲存在瀏覽器上時的key,即:sessionid=隨機字串(預設)
SESSION_COOKIE_PATH = "/" # Session的cookie儲存的路徑(預設)
SESSION_COOKIE_DOMAIN = None # Session的cookie儲存的域名(預設)
SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie(預設)
SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支援http傳輸(預設)
SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(預設)
SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期(預設)
SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都儲存Session,預設修改之後才儲存(預設)
設定超時時間
request.session.set_expiry(value) * 如果value是個整數,session會在些秒數後失效。 * 如果value是個datatime或timedelta,session就會在這個時間後失效。 * 如果value是0,使用者關閉瀏覽器session就會失效。 * 如果value是None,session會依賴全域性session失效策略。
**------------恢復內容結束------------**