cookie、session
一、cookie
Cookie是key-value結構,類似於一個python中的字典。隨著服務器端的響應發送給客戶端瀏覽器。然後客戶端瀏覽器會把Cookie保存起來,當下一次再訪問服務器時把Cookie再發送給服務器。 Cookie是由服務器創建,然後通過響應發送給客戶端的一個鍵值對。客戶端會保存Cookie,並會標註出Cookie的來源(哪個服務器的Cookie)。當客戶端向服務器發出請求時會把所有這個服務器Cookie包含在請求中發送給服務器,這樣服務器就可以識別客戶端了!
Django中操作cookie
設置cookie
rep = HttpResponse(...) rep = render(request, ...) rep.set_cookie(key,value,...) rep.set_signed_cookie(key,value,salt=‘加密鹽‘,...)
參數:
key, 鍵 value=‘‘, 值 max_age=None, 超時時間,如果參數是None,這個cookie會延續到瀏覽器關閉為止 expires=None, 超時時間(IE requires expires, so set it if hasn‘t been already.) path=‘/‘, Cookie生效的路徑,瀏覽器只會把cookie回傳給帶有該路徑的頁面,這樣可以避免將cookie傳給
站點中的其他的應用;/表示根路徑,特殊的:根路徑的cookie可以被任何url的頁面訪問 domain=None, Cookie生效的域名 secure=False, 如果設置為True ,瀏覽器將通過https來回傳cookie httponly=False 只能http協議傳輸,無法被JavaScript獲取(不是絕對,底層抓包可以獲取到也可以被覆蓋)
獲取cookie
request.COOKIES[‘key‘] request.get_signed_cookie(key, default=RAISE_ERROR, salt=‘‘, max_age=None)
參數:
default 默認值
salt 加密鹽
max_age 後臺控制過期時間
刪除cookie
def logout(request): rep= redirect("/login/") rep.delete_cookie("user") # 刪除用戶瀏覽器上之前設置的usercookie值 return rep
cookie版登錄校驗
def check_login(func): @wraps(func) def inner(request, *args, **kwargs): next_nrl = request.path_info # 訪問127.0.0.1:8000/index/拿到的就是/index/ ret = request.get_signed_cookie("check_login", default=None, salt="xxx") if ret == "1": # 已經登錄過的用戶,繼續執行 return func(request, *args, **kwargs) else: # 沒有登錄過的用戶,將拿到的URL做拼接,然後返回login頁面 return redirect("/login/?next={}".format(next_nrl)) return inner def login(request): if request.method == "POST": username = request.POST.get("username") password = request.POST.get("password") next_url = request.GET.get("next") # 從URL中取到 next 參數 if username == "pd" and password == "123": if next_url: # 判斷是否是在其他頁面訪問登錄的 response = redirect(next_url) else: response = redirect("/home/") response.set_signed_cookie("check_login", "1", salt="xxx", max_age=30) # 設置一個30秒後失效的加鹽cookie return response # 登錄成功後,跳轉到原來的頁面或指定的頁面 return render(request, "login.html") def logout(request): response = redirect("/login/") response.delete_cookie("check_login") return response @check_login def home(request): return render(request, "home.html") @check_login def index(request): return render(request, "index.html")views.py
urlpatterns = [ url(r‘^login/$‘, views.login), url(r‘^logout/$‘, views.logout), url(r‘^home/$‘, views.home), url(r‘^index/$‘, views.index), ]urls.py
<form action="{{ request.get_full_path }}" method="post"> {% csrf_token %} <h1 style="color: hotpink">這是login頁面!</h1> <p> <label for="username"></label> <input type="text" id="username" name="username" placeholder="賬號"> </p> <p> <label for="password"></label> <input type="password" id="password" name="password" placeholder="密碼"> </p> <p> <label for="submit"></label> <input type="submit" value="登錄"> </p> </form>login.html
二、session
Cookie雖然在一定程度上解決了“保持狀態”的需求,但是由於Cookie本身最大支持4096字節,以及Cookie本身保存在客戶端,可能被攔截或竊取,因此就需要有一種新的東西,它能支持更多的字節,並且保存在服務器,有較高的安全性,這就是Session。session依賴於cookie;cookie保存在瀏覽器,session保存在服務器端。
diango中操作session
獲取、設置、刪除Session中數據
request.session[‘k1‘] request.session.get(‘k1‘,None) request.session[‘k1‘] = 123 request.session.setdefault(‘k1‘,123) # 存在則不設置 del request.session[‘k1‘]
其他使用方式
# 所有 鍵、值、鍵值對 request.session.keys() request.session.values() request.session.items() request.session.iterkeys() request.session.itervalues() request.session.iteritems() # session的key字符串 request.session.session_key # 將所有Session失效日期小於當前日期的數據刪除 request.session.clear_expired() # 檢查session的key在數據庫中是否存在 request.session.exists("session_key") # 刪除當前會話的所有Session數據 request.session.delete() # 刪除當前的會話數據並刪除會話的Cookie request.session.flush() 這用於確保前面的會話數據不可以再次被用戶的瀏覽器訪問 例如,django.contrib.auth.logout() 函數中就會調用它 # 設置會話Session和Cookie的超時時間 request.session.set_expiry(value) * 如果value是個整數,session會在些秒數後失效 * 如果value是個datatime或timedelta,session就會在這個時間後失效 * 如果value是0,用戶關閉瀏覽器session就會失效 * 如果value是None,session會依賴全局session失效策略
django中session配置
Django默認支持Session,其內部提供了5種類型的Session供開發者使用,使用方式都一樣,並且默認是將Session數據存儲在數據庫中,即:django_session 表中。
# settings.py
# 數據庫Session SESSION_ENGINE = ‘django.contrib.sessions.backends.db‘ # 引擎(默認) # 緩存Session SESSION_ENGINE = ‘django.contrib.sessions.backends.cache‘ SESSION_CACHE_ALIAS = ‘default‘ # 使用的緩存別名(默認內存緩存,也可以是memcache),此處別名依賴緩存的設置 # 文件Session SESSION_ENGINE = ‘django.contrib.sessions.backends.file‘ SESSION_FILE_PATH = None # 緩存文件路徑,如果為None,則使用tempfile模塊獲取一個臨時地址tempfile.gettempdir() # 緩存+數據庫 SESSION_ENGINE = ‘django.contrib.sessions.backends.cached_db‘ # 加密Cookie Session SESSION_ENGINE = ‘django.contrib.sessions.backends.signed_cookies‘ 其他公用設置項: SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字符串(默認) SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑(默認) SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默認) SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie(默認) SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸(默認) SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(默認) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期(默認) SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,默認修改之後才保存(默認)
session版登錄校驗
與cookie版幾乎相同
def check_login(func): @wraps(func) def inner(request, *args, **kwargs): next_nrl = request.path_info ret = request.session.get("user") if ret == "xxx": return func(request, *args, **kwargs) else: return redirect("/login/?next={}".format(next_nrl)) return inner def login(request): if request.method == "POST": username = request.POST.get("username") password = request.POST.get("password") next_url = request.GET.get("next") if username == "pd" and password == "123": if next_url: response = redirect(next_url) else: response = redirect("/home/") request.session["user"] = "xxx" return response return render(request, "login.html") def logout(request): request.session.flush() return redirect("/login/") @check_login def home(request): return render(request, "home.html") @check_login def index(request): return render(request, "index.html")views.py
三、CBV中加裝飾器
將前面的FBV版登錄改為CBV版,其他FBV修改成CBV也是這樣
from django import views class Login(views.View): def get(self, request): return render(request, "login.html") def post(self, request): username = request.POST.get("username") password = request.POST.get("password") next_url = request.GET.get("next") if username == "pd" and password == "123": if next_url: response = redirect(next_url) else: response = redirect("/home/") request.session["user"] = "xxx" return response
要在CBV視圖中使用上面的 check_login 裝飾器,有一下三種方式:
①加在CBV視圖的get或post方法上
from django.shortcuts import render,redirect from functools import wraps from django import views from django.utils.decorators import method_decorator def check_login(func): @wraps(func) def inner(request, *args, **kwargs): next_nrl = request.path_info ret = request.session.get("user") if ret == "xxx": return func(request, *args, **kwargs) else: return redirect("/login/?next={}".format(next_nrl)) return inner class Login(views.View): def get(self, request): return render(request, "login.html") def post(self, request): username = request.POST.get("username") password = request.POST.get("password") next_url = request.GET.get("next") if username == "pd" and password == "123": if next_url: response = redirect(next_url) else: response = redirect("/home/") request.session["user"] = "xxx" return response class Logout(views.View): def get(self, request): request.session.flush() return redirect("/login/") class Home(views.View): @method_decorator(check_login) def get(self, request): return render(request, "home.html") class Index(views.View): @method_decorator(check_login) def get(self,request): return render(request, "index.html") @method_decorator(check_login) def post(self,request): passView Code
②加在dispatch方法上
CBV中首先執行的就是dispatch方法,相當於給get和post方法都加上了登錄校驗。
# 其他代碼參考前面示例 class Home(views.View): @method_decorator(check_login) def dispatch(self, request, *args, **kwargs): return super(Home, self).dispatch(request, *args, **kwargs) def get(self, request): return render(request, "home.html") def post(self, request): pass
③直接加在視圖類上,但method_decorator必須傳 name 關鍵字參數
如果get方法和post方法都需要登錄校驗的話就寫兩個裝飾器。
# 其他代碼參考前面示例 @method_decorator(check_login, name="get") @method_decorator(check_login, name="post") class Index(views.View): def get(self, request): return render(request, "index.html") def post(self,request): pass
cookie、session