2. 程式人生 > 其它 >Django Session 和 Cookie

Django Session 和 Cookie

阿新 發佈:2022-02-25

前言

http:無狀態請求(客戶端發起的無數請求,服務端並不知道是否來自同一個客戶端),所以引入session來做相應響應和許可權處理。

cookie和session區別與聯絡

cookie儲存在客戶端
session儲存在服務端

由於http的無狀態性,為了使某個域名下的所有網頁能夠共享某些資料,session和cookie出現了。客戶端訪問伺服器的流程如下:

  • 首先,客戶端會發送一個http請求到伺服器端。

  • 伺服器端接受客戶端請求後,建立一個session,併發送一個http響應到客戶端,這個響應頭,其中就包含Set-Cookie頭部。該頭部包含了sessionId。Set-Cookie格式如下,
    Set-Cookie: value[; expires=date][; domain=domain][; path=path][; secure]

  • 在客戶端發起的第二次請求,假如伺服器給了Set-Cookie,瀏覽器會自動在請求頭中新增cookie

  • 伺服器接收請求,分解cookie,驗證資訊,核對成功後返回response給客戶端

如圖,cookie和session共同完成了一次瀏覽器會話的過程:

Django Session 和 Cookie的約定

其中Set-Cookie可以對session的有效期進行設定,圖中的Max-Age=300就是在服務端做了有效期為5分鐘的設定。

注意

  • cookie只是實現session的其中一種方案。雖然是最常用的,但並不是唯一的方法。禁用cookie後還有其他方法儲存,比如放在url中
  • 用session只需要在客戶端儲存一個id,實際上大量資料都是儲存在服務端。如果全部用cookie,資料量大的時候客戶端是沒有那麼多空間的。
  • 如果只用cookie不用session,那麼賬戶資訊全部儲存在客戶端,一旦被劫持,全部資訊都會洩露。並且客戶端資料量變大,網路傳輸的資料量也會變大

Token方法

  • token 也稱作令牌,由uid+time+sign[+固定引數]
  • token 的認證方式類似於臨時的證書籤名, 並且是一種服務端無狀態的認證方式, 非常適合於 REST API 的場景. 所謂無狀態就是服務端並不會儲存身份認證相關的資料。

組成

uid: 使用者唯一身份標識
time: 當前時間的時間戳
sign: 簽名, 使用 hash/encrypt 壓縮成定長的十六進位制字串,以防止第三方惡意拼接
固定引數(可選): 將一些常用的固定引數加入到 token 中是為了避免重複查庫

存放

token在客戶端一般存放於localStorage,cookie,或sessionStorage中。在伺服器一般存於資料庫中

token認證流程

token 的認證流程與cookie很相似

  • 使用者登入,成功後伺服器返回Token給客戶端。
  • 客戶端收到資料後儲存在客戶端
  • 客戶端再次訪問伺服器,將token放入headers中
  • 伺服器端採用filter過濾器校驗。校驗成功則返回請求資料,校驗失敗則返回錯誤碼

分散式情況下的session和token

  • session是有狀態的,一般存於伺服器記憶體或硬碟中,當伺服器採用分散式或叢集時,session就會面對負載均衡問題。
    負載均衡多伺服器的情況,不好確認當前使用者是否登入,因為多伺服器不共享session。這個問題也可以將session存在一個伺服器中來解決,但是就不能完全達到負載均衡的效果。當今的幾種解決session負載均衡的方法(Nginx IP hash)。https://blog.51cto.com/zhibeiwang/1965018

  • token是無狀態的,token字串裡就儲存了所有的使用者資訊;
    客戶端登陸傳遞資訊給服務端,服務端收到後把使用者資訊加密(token)傳給客戶端,客戶端將token存放於localStroage等容器中。客戶端每次訪問都傳遞token,服務端解密token,就知道這個使用者是誰了。通過cpu加解密,服務端就不需要儲存session佔用儲存空間,就很好的解決負載均衡多伺服器的問題了。這個方法叫做JWT(Json Web Token)

  • 基於token的鑑權機制類似於http協議也是無狀態的,它不需要在服務端去保留使用者的認證資訊或者會話資訊。這就意味著基於token認證機制的應用不需要去考慮使用者在哪一臺伺服器登入了,這就為應用的擴充套件提供了便利。

  • 這個token必須要在每次請求時傳遞給服務端,它應該儲存在請求頭裡, 另外,服務端要支援CORS(跨來源資源共享)策略,一般我們在服務端這麼做就可以了Access-Control-Allow-Origin: *。

總結

  • session儲存於伺服器,key-value列表,擁有一個唯一識別符號sessionId,通常存放於cookie中。伺服器收到cookie後解析出sessionId,再去session列表中查詢,才能找到相應session。
  • cookie裝有sessionId(狀態協議),儲存在客戶端,瀏覽器通常會自動新增。
  • token是一個令牌,客戶端和服務端無狀態連線(http無狀態協議),使用者資訊都被加密到token中,伺服器收到token後解密就可知道是哪個使用者。後端要寫加密/解密方法。
  • jwt只是一個跨域認證的方案

相關推薦

Django SessionCookie分別實現記住使用者登入狀態操作

簡介 由於http協議的請求是無狀態的。故為了讓使用者在瀏覽器中再次訪問該服務端時,他的登入狀態能夠保留(也可翻譯為該使用者訪問這個服務端其他網頁時不需再重複進行使用者認證)。我們可以採用CookieSession

Django Session Cookie

前言 http:無狀態請求(客戶端發起的無數請求,服務端並不知道是否來自同一個客戶端),所以引入session來做相應響應許可權處理。

Django中的Sessioncookie

Sessioncookie 參考文獻:https://www.cnblogs.com/wupeiqi/articles/5246483.html 1.問題引入 1.1 cookie是什麼?

一文搞懂SessionCookie的用法及區別

1. SessionCookie是什麼 1.1 概念理解 要了解sessioncookie是什麼,先要了解以下幾個概念。

28 Session Cookie 的概念

現在正式進入第四部分學習,作為開頭部分,我們首先要介紹下 Web 框架中常用到的 Cookie Session 的概念。在瞭解了這些基礎知識後,我們就可以學習 Django 中是如何使用 Cookie Session 幫我們完成一些簡單的必

【網路通訊與資訊保安】之深入分析Token、sessioncookie的使用場景區別

在Web開發領域,相信大家對於 Cookie Session 都很熟悉,Cookie Session 都是會話保持技術的解決方案。隨著技術的發展,Token 機制出現在我們面前,不過很多開發者對於 Token CookieSession 的區

一文理解Token、SessionCookie

Web發展史 線上購物,部落格,視訊等網站都需要管理會話,需要記錄儲存使用者的狀態資訊,然而HTTP請求是無狀態的,如果每次請求都是一個新的HTTP協議,那麼使用者第一次發起請求,登入成功後,每次開啟一個頁面都

一文看懂 session cookie

----------- cookie 大家應該都熟悉,比如說登入某些網站一段時間後,就要求你重新登入;再比如有的同學很喜歡玩爬蟲技術,有時候網站就是可以攔截住你的爬蟲,這些都 cookie 有關。如果你明白了伺服器後端對於 co

你真的瞭解 Session Cookie 嗎?

我是陳皮,一個在網際網路 Coding 的 ITer,微信搜尋「陳皮的JavaLib」第一時間閱讀最新文章,回覆【資料】,即可獲得我精心整理的技術資料,電子書籍,一線大廠面試資料優秀簡歷模板。

sessioncookie

參考B站視訊:https://www.bilibili.com/video/BV1sw41197h8 部落格:https://www.cnblogs.com/moyand/p/9047978.html

爬蟲與Python:(一)網路爬蟲概念篇——7.SessionCookie

什麼是Session和Cookie? Session和Cookie是使用者保持HTTP連線狀態的技術。在網頁或APP等應用中基本都會使用到。在寫爬蟲的時候,也經常會涉及需要攜帶Cookie應對一般的反爬,接下來會對Session和Cookie的基本原理做

JavaWeb學習(2)--SessionCookie

SessionCookie的區別 (b站-狂神說Java-JavaWeb入門) 7. Cookie Session 7.1會話 使用者開啟一個瀏覽器,點選了很多超連結,訪問了多個web資源,關閉瀏覽器,這個過程可以稱之為會話

會話跟蹤技術sessioncookie

隨筆連結: Cookie 1.什麼是Cookie 2.Cookie的建立伺服器的獲取 Session 1.什麼是Session 2.Session的建立獲取

關於http的無狀態管理以及sessioncookie

 HTTP協議模式下,瀏覽器訪問伺服器資料,一旦資料成功響應,客戶端伺服器之間的連線就會斷開,保

Django中的cookiesession

http協議是無狀態的。下一次去訪問一個頁面時並不知道上一次對這個頁面做了什麼。

Python 之 Django框架( CookieSessionDjango中介軟體、AJAX、Django序列化)

12.4 CookieSession 12.41 cookie Cookie具體指的是一段小資訊,它是伺服器傳送出來儲存在瀏覽器上的一組組鍵值對,下次訪問伺服器時瀏覽器會自動攜帶這些鍵值對,以便伺服器提取有用資訊

Django筆記:CookieSession

Django中,cookiesession都是使用鍵值對的形式來進行儲存操作的,可以使用response_obj.set_cookie()、response_obj.delete_cookie()request.COOKIES等方式來設定、刪除獲取cookie資訊,使用request.sessi

django框架之cookiesession的使用等相關內容-74

0 form元件校驗原始碼 1 讀的入口是:form.is_valid()--->self.errors(BaseForm類)---》self.full_clean()(BaseForm類)--》-self._clean_fields(區域性資料校驗)self._clean_form(全域性資料校驗)2 self._clean_

Django專案學習5--註冊功能2,sessionredis快取驗證碼(流水賬)

前面利用了uuid加圖形驗證碼的方式來進行驗證,一般驗證碼都有個過期時間。下面來設定過期時間。

requests介面自動化9-共享session傳遞cookie

前言: session:用requests.session()建立會話,可以將會話資訊傳遞給其他介面 cookie:用RequestsCookieJar或者cookie字典傳遞cookie資訊