Cookie與Session
1、Cookie
介紹
Cookie是由服務器端生成,發送給User-Agent(一般是瀏覽器),瀏覽器會將Cookie的key/value保存到某個目錄下的文本文件內,下次請求同一網站時就發送該Cookie給服務器(前提是瀏覽器設置為啟用cookie)。Cookie名稱和值可以由服務器端開發自己定義,這樣服務器可以知道該用戶是否是合法用戶以及是否需要重新登錄等,服務器可以設置或讀取Cookies中包含信息,借此維護用戶跟服務器會話中的狀態。
簡單來說,Cookie 是保存在瀏覽器的一個鍵值對,每次的HTTP請求都會攜帶 Cookie 。
cookie的作用
服務器可以利用Cookies包含信息的任意性來篩選並經常性維護這些信息,以判斷在HTTP傳輸中的狀態。Cookies最典型的應用是判定註冊用戶是否已經登錄網站,用戶可能會得到提示,是否在下一次進入此網站時保留用戶信息以便簡化登錄手續,這些都是Cookies的功用。另一個重要應用場合是“購物車”之類處理。用戶可能會在一段時間內在同一家網站的不同頁面中選擇不同的商品,這些信息都會寫入Cookies,以便在最後付款時提取信息。
Django框架的下cookie
1、獲取Cookie:
獲取已經設置好的cookies極其簡單。 每一個`` HttpRequest`` 對象都有一個`` COOKIES`` 對象,該對象的行為類似一個字典,你可以使用它讀取任何瀏覽器發送給視圖(view)的cookies。
#獲取普通cookie request.COOKIES[‘key‘] request.COOKIES.get(‘key‘) #解密帶簽名的cookie request.get_signed_cookie(key, default=RAISE_ERROR, salt=‘‘, max_age=None) 參數: default: 默認值 salt: 加密鹽 max_age: 後臺控制過期時間
2、設置Cookie:
rep = HttpResponse(...) 或 rep = render(request, ...) #設置cookie需要使用 HttpResponse對象的 set_cookie()方法 #設置普通cookie rep.set_cookie(key,value,...) #設置帶簽名的cookie rep.set_signed_cookie(key,value,salt=‘加密鹽‘,...) #參數: key, 鍵 value=‘‘, 值 max_age=None, 超時時間 expires=None, 超時時間(IE requires expires, so set it if hasn‘t been already.) path=‘/‘, Cookie生效的路徑,/ 表示根路徑,特殊的:跟路徑的cookie可以被任何url的頁面訪問 domain=None, Cookie生效的域名 secure=False, https傳輸 httponly=False 只能http協議傳輸,無法被JavaScript獲取(不是絕對,底層抓包可以獲取到也可以被覆蓋)
由於cookie保存在客戶端的電腦上,所以,JavaScript和jquery也可以操作cookie。
<script src=‘/static/js/jquery.cookie.js‘></script> $.cookie("list_pager_num", 30,{ path: ‘/‘ });
註意:
Cookie(特別是那些沒通過HTTPS傳輸的)是非常不安全的。 因為HTTP數據是以明文發送的,所以 特別容易受到嗅探攻擊。 也就是說,嗅探攻擊者可以在網絡中攔截並讀取cookies,因此你要 絕對避免在cookies中存儲敏感信息。 這就意味著您不應該使用cookie來在存儲任何敏感信息。
因此不能在cookies中存儲可能會被篡改的敏感數據。 在cookies中存儲 IsLoggedIn=1 ,以標識用戶已經登錄。 犯這類錯誤的站點數量多的令人難以置信; 繞過這些網站的安全系統也是易如反掌。
2、Session
1、介紹
在WEB開發中,服務器可以為每個用戶瀏覽器創建一個會話對象(session對象),註意:一個瀏覽器獨占一個session對象(默認情況下)。因此,在需要保存用戶數據時,服務器程序可以把用戶數據寫到用戶瀏覽器獨占的session中,當用戶使用瀏覽器訪問其它程序時,其它程序可以從用戶的session中取出該用戶的數據,為用戶服務。
Session與Cookie的區別:
Session是在服務端保存的一個數據結構,用來跟蹤用戶的狀態,這個數據可以保存在集群、數據庫、文件中。
Cookie是客戶端保存用戶信息的一種機制,用來記錄用戶的一些信息,也是實現Session的一種方式。
Session 必須要依賴 Cookie ,因為 Cookie的值就等於 Session 的Key
Session的工作原理:
當用戶第一次訪問時,服務器會給其創建一個sesion,並且把session的Id(本質是隨機字符串)以cookie的形式發送給客戶端瀏覽器,下次再去訪問服務器時,客戶機瀏覽器會把存儲到cookie中的session的Id一起傳遞到服務器端,服務器發現客戶機瀏覽器帶session id過來了,就會使用內存中與之對應的session為之服務
2、Django下的 Session 框架
由於存在的限制與安全漏洞,cookies和持續性會話已經成為Web開發中令人頭疼的典範。 好消息是,Django的目標正是高效的“頭疼殺手”,它自帶的session框架會幫你搞定這些問題。
你可以用session 框架來存取每個訪問者任意數據, 這些數據在服務器端存儲,並對cookie的收發進行了抽象。 Cookies只存儲數據的哈希會話ID,而不是數據本身,從而避免了大部分的常見cookie問題。
Django中默認支持Session,其內部提供了5種類型的Session供開發者使用:
- 數據庫(默認)
- 緩存
- 文件
- 緩存+數據庫
- 加密cookie
1、數據庫Session
#Django默認支持Session,並且默認是將Session數據存儲在數據庫中,即:django_session 表中。 a. 配置 settings.py SESSION_ENGINE = ‘django.contrib.sessions.backends.db‘ # 引擎(默認) SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字符串(默認) SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑(默認) SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默認) SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie(默認) SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸(默認) SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(默認) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期(默認) SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,默認被修改之後才保存(默認) b. 使用 def index(request): # 獲取、設置、刪除Session中數據 request.session[‘k1‘] request.session.get(‘k1‘,None) request.session[‘k1‘] = 123 request.session.setdefault(‘k1‘,123) # 存在則不設置 del request.session[‘k1‘] # 所有 鍵、值、鍵值對 request.session.keys() request.session.values() request.session.items() request.session.iterkeys() request.session.itervalues() request.session.iteritems() # 用戶session的隨機字符串 request.session.session_key # 將所有Session失效日期小於當前日期的數據刪除 request.session.clear_expired() # 檢查 用戶session的隨機字符串 在數據庫中是否 request.session.exists("session_key") # 刪除當前用戶的所有Session數據 request.session.delete("session_key") request.session.set_expiry(value) * 如果value是個整數,session會在些秒數後失效。 * 如果value是個datatime或timedelta,session就會在這個時間後失效。 * 如果value是0,用戶關閉瀏覽器session就會失效。 * 如果value是None,session會依賴全局session失效策略。View Code
2、緩存Session
a. 配置 settings.py SESSION_ENGINE = ‘django.contrib.sessions.backends.cache‘ # 引擎 SESSION_CACHE_ALIAS = ‘default‘ # 使用的緩存別名(默認內存緩存,也可以是memcache),此處別名依賴緩存的設置 SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字符串 SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑 SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名 SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸 SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期 SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,默認修改之後才保存 b. 使用 同上View Code
3、文件Session
a. 配置 settings.py SESSION_ENGINE = ‘django.contrib.sessions.backends.file‘ # 引擎 SESSION_FILE_PATH = None # 緩存文件路徑,如果為None,則使用tempfile模塊獲取一個臨時地址tempfile.gettempdir() # 如:/var/folders/d3/j9tj0gz93dg06bmwxmhh6_xm0000gn/T SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字符串 SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑 SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名 SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸 SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期 SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,默認修改之後才保存 b. 使用 同上View Code
4、緩存+數據庫Session
數據庫用於做持久化,緩存用於提高效率 a. 配置 settings.py SESSION_ENGINE = ‘django.contrib.sessions.backends.cached_db‘ # 引擎 b. 使用 同上View Code
5、加密cookie Session
a. 配置 settings.py SESSION_ENGINE = ‘django.contrib.sessions.backends.signed_cookies‘ # 引擎 b. 使用 同上View Code
Cookie與Session