Django - cookie和session
阿新 • • 發佈:2019-02-15
iter 關聯 保存 bee 應用 http協議 html 功能 修改 
HTTP協議的無狀態保存: 一個瀏覽器向一個服務器發送一個請求,服務器這邊視圖函數處理之後在返回數據給瀏覽器,瀏覽器解析出來這樣一個過程 多個這種過程之間沒有任何關聯 但是實際過程中我們有時候會需要他們之間有關聯,比如說,登錄淘寶,淘寶這邊需要你登錄之後才給你看相應的一些頁面, 此時,之前登錄是一個過程,現在訪問頁面是一個過程,需要構建兩次過程之間的關聯(會話跟蹤技術) cookie簡介:具體一個瀏覽器,針對一個服務器,存儲的key-value結構 只要設置了cookie之後,在cookie的有效期內,這個瀏覽器訪問這個服務器的時候都會帶著這個cookie; 由於cookie可以直接將用戶信息暴露在瀏覽器(客戶端),所以會帶來不安全性,這時候就需要Session,數據直接存儲在服務端README1. response.set_cookie(key, value) # 設置cookie 2. request.COOKIE.get(key) # 獲取cookie 3. request.session[key] = value # 寫session 註意django對應的操作 ‘‘‘ 登錄頁面的時候,如果是第一次登錄,則按照下面的三步走,如果不是,則就更新數據 django-session表中一條記錄只針對一個瀏覽器 if request.COOKIE.get("sessionid"): 更新 在django-session表中創建一條記錄: session-key session-data expire-date lik1wdki4dis0ovp944takdggc07i56o 更新數據 else 1.生成隨機字符串 lik1wdki4dis0ovp944takdggc07i56o 2.response.set_cookie("sessionid",lik1wdki4dis0ovp944takdggc07i56o) 3.在django-session表中創建一條記錄: session-key session-data expire-date lik1wdki4dis0ovp944takdggc07i56o {"is_login":True,"username":user.user}‘‘‘ 4. request.session.get(key) # 讀session ‘‘‘ 1.request.COOKIE.get("sessionid") lik1wdki4dis0ovp944takdggc07i56o 2.django-session表中過濾記錄: session-key session-data expire-date lik1wdki4dis0ovp944takdggc07i56o {"is_login":True,"username":user.user} obj = django-session.objects.filter(session-key=lik1wdki4dis0ovp944takdggc07i56o).first() 3.obj.session-data.get("is_login")‘‘‘ 5. request.session.flush() ‘‘‘ flush(): 刪除當前的會話數據並刪除會話的Cookie 適用於確保前面的會話數據不可以再次被用戶的瀏覽器訪問 1.random_str = request.COOKIE.get("sessionid) # 獲得隨機字符 2.django-session.objects.filter(session-key=random_str).delete() # 在django-session表中刪除這條記錄 3.response.delete_cookie("sessionid,random_str) # 刪除cookie ‘‘‘ ############################################################################################################### 1. Cookie和Session 1. Cookie 服務端: 1. 生成字符串 2. 隨著響應將字符串回復給瀏覽器 3. 從瀏覽器發送的請求中拿到字符串 cookie就是保存在瀏覽器上的字符串!!! 每一次請求都會攜帶著cookie 把要保存的信息都保存在用戶的瀏覽器上 好處: 服務端不用存,減輕了服務器壓力 壞處: 信息不安全 Session: 搭配Cookie使用 Session本質上,保存在服務端的鍵值對。 好處: 用戶的信息都保存在服務端,安全 壞處: 數據都保存在服務端,存儲壓力比較大 cookie和Session應用場景: 登錄 刷票限制 保存用戶的瀏覽習慣 Django中使用Session: 獲取、設置、刪除Session中數據 request.session[‘k1‘] request.session.get(‘k1‘,None) request.session[‘k1‘] = 123 request.session.setdefault(‘k1‘,123) # 存在則不設置 # 刪除當前用戶的所有Session數據 request.session.delete() request.session.set_expiry(value) * 如果value是個整數,session會在些秒數後失效。 * 如果value是個datatime或timedelta,session就會在這個時間後失效。 * 如果value是0,用戶關閉瀏覽器session就會失效。 * 如果value是None,session會依賴全局session失效策略。 ############################################################################################################### 1.cookie 本質上就是保存在瀏覽器上得鍵值對 為了解決HTTP請求是無狀態得 可以用來做登錄 7天免登錄 瀏覽習慣 (每頁顯示多少條) Django 操作Cookie 1.設置Cookie 是在response對象 1.明文的 rep = 響應對象(基礎必備三件套) rep.set_cookie(key,value,..) 2.加鹽的 rep = 響應對象(基礎必備三件套) rep.set_signed_cookie(key,value,salt=‘加密鹽) 2.獲取Cookie 是在request對象 1.明文的 request.COOKIES.get(‘key‘) / request.COOKIES[‘key‘] 2.加鹽的 request.get_signed_cookie(key, default="默認值", salt=‘‘, max_age=None) 2.session 1.定義 保存在服務器端的鍵值對,依賴與Cookie 2.Django的session 操作 1.設置session request.session[‘k1‘] request.session.setdefault(‘k1‘,123) # 存在則不設置 2.獲取session request.session.get(‘k1‘,None) request.session[‘k1‘] 3.刪除session del request.session[‘k1‘] 註銷之後刪除用戶所有的session數據 request.session.delete() 4.將所有Session失效日期小於當前日期的數據刪除 request.session.clear_expired() 5.設置會話Session和Cookie的超時時間 request.session.set_expiry(value) * 如果value是個整數,session會在些秒數後失效。 * 如果value是個datatime或timedelta,session就會在這個時間後失效。 * 如果value是0,用戶關閉瀏覽器session就會失效。 * 如果value是None,session會依賴全局session失效策略。
一.Cookie
Cookie的由來
大家都知道HTTP協議是無狀態的。
無狀態的意思是每次請求都是獨立的,它的執行情況和結果與前面的請求和之後的請求都無直接關系,它不會受前面的請求響應情況直接影響,也不會直接影響後面的請求響應情況。
狀態可以理解為客戶端和服務器在某次會話中產生的數據,那無狀態的就以為這些數據不會被保留。會話中產生的數據又是我們需要保存的,也就是說要“保持狀態”。因此Cookie就是在這樣一個場景下誕生。(會話跟蹤技術)
什麽是Cookie
Cookie具體指的是一段小信息,它是服務器發送出來存儲在瀏覽器上的一組組鍵值對(具體一個瀏覽器針對一個服務器),下次訪問服務器時瀏覽器會自動攜帶這些鍵值對,以便服務器提取有用信息。(類似於python字典的key-value結構)
Cookie的原理
cookie的工作原理是:由服務器產生內容,瀏覽器收到請求後保存在本地;當瀏覽器再次訪問時,瀏覽器會自動帶上Cookie,這樣服務器就能通過Cookie的內容來判斷這個是“誰”了。
Cookie規範
- Cookie大小上限為4KB;
- 一個服務器最多在客戶端瀏覽器上保存20個Cookie;
- 一個瀏覽器最多保存300個Cookie;
上面的數據只是HTTP的Cookie規範,但在瀏覽器大戰的今天,一些瀏覽器為了打敗對手,為了展現自己的能力起見,可能對Cookie規範“擴展”了一些,例如每個Cookie的大小為8KB,最多可保存500個Cookie等!但也不會出現把你硬盤占滿的可能!
註意,不同瀏覽器之間是不共享Cookie的。也就是說在你使用IE訪問服務器時,服務器會把Cookie發給IE,然後由IE保存起來,當你在使用FireFox訪問服務器時,不可能把IE保存的Cookie發送給服務器。
Cookie與HTTP頭
Cookie是通過HTTP請求和響應頭在客戶端和服務器端傳遞的:
- Cookie:請求頭,客戶端發送給服務器端;
- 格式:Cookie: a=A; b=B; c=C。即多個Cookie用分號離開; ? Set-Cookie:響應頭,服務器端發送給客戶端;
- 一個Cookie對象一個Set-Cookie: Set-Cookie: a=A Set-Cookie: b=B Set-Cookie: c=C
Cookie的覆蓋
如果服務器端發送重復的Cookie那麽會覆蓋原有的Cookie,例如客戶端的第一個請求服務器端發送的Cookie是:Set-Cookie: a=A;第二請求服務器端發送的是:Set-Cookie: a=AA,那麽客戶端只留下一個Cookie,即:a=AA。
查看Cookie
我們使用Chrome瀏覽器,打開開發者工具。
Django中操作Cookie
獲取Cookie
request.COOKIES[‘key‘] request.get_signed_cookie(key, default=RAISE_ERROR, salt=‘‘, max_age=None)
參數:
- default: 默認值
- salt: 加密鹽
- max_age: 後臺控制過期時間
設置Cookie
rep = HttpResponse(...) rep = render(request, ...) rep.set_cookie(key,value,...) rep.set_signed_cookie(key,value,salt=‘加密鹽‘,...)
參數:
- key, 鍵
- value=‘‘, 值
- max_age=None, 超時時間
- expires=None, 超時時間(IE requires expires, so set it if hasn‘t been already.)
- path=‘/‘, Cookie生效的路徑,/ 表示根路徑,特殊的:根路徑的cookie可以被任何url的頁面訪問
- domain=None, Cookie生效的域名
- secure=False, https傳輸
- httponly=False 只能http協議傳輸,無法被JavaScript獲取(不是絕對,底層抓包可以獲取到也可以被覆蓋)
刪除Cookie
def logout(request):
rep = redirect("/login/")
rep.delete_cookie("user") # 刪除用戶瀏覽器上之前設置的usercookie值
return rep
Cookie版登陸驗證
models.py
from django.db import models # Create your models here. class UserInfo(models.Model): user = models.CharField(max_length=32) pwd = models.CharField(max_length=32)
views.py
# -*- encoding:utf-8 -*- from django.shortcuts import render,HttpResponse,redirect # Create your views here. from app01.models import UserInfo def login(request): if request.method == "POST": user = request.POST.get("user") pwd = request.POST.get("pwd") user = UserInfo.objects.filter(user=user,pwd=pwd).first() # 過濾用戶 if user: # 登錄成功 ‘‘‘ 響應體: return HttpResponse() return render() return redirect() ‘‘‘ ‘‘‘ 設置cookie的超時參數: max_age=15,這裏的單位是秒,超時意義是15秒後過期 expires=date,超時意義是過了這個固定時間過期 ‘‘‘ response = HttpResponse("登錄成功!") # response.set_cookie("is_login", True,max_age=15) # 響應體調用set_cookie response.set_cookie("is_login", True) # 響應體調用set_cookie import datetime # date = datetime.datetime(year=2019, month=2, day=13, hour=9, minute=21) # 因為是東8區,所以這裏的小時要減去8 # response.set_cookie("username", user.user, expires=date) # 將用戶名存儲在cookie中,方便後面在首頁顯示姓名 response.set_cookie("username", user.user, path="/index/") ‘‘‘ 有效路徑參數: path="/index/",意思就是只有在index這個視圖函數下才能獲得當前cookie ‘‘‘ return response return render(request,"login.html") def index(request): print(request.COOKIES) is_login = request.COOKIES.get("is_login") # 獲取cookie if is_login: # 如果登錄成功 username = request.COOKIES.get("username") last_time = request.COOKIES.get("last_time") # 上次登錄時間,首次為None import datetime date = datetime.datetime.now().strftime("%Y-%m-%d %H:%M:%S") # 獲取當前時間,格式化 response = render(request, "index.html", {"username": username, "last_time": last_time}) # 將從cookie中獲取的last_time映射到網頁中 response.set_cookie("last_time", date) # 設置last_time為cookie中的鍵值對 return response else: return redirect("/login/") # 二者區別? # return render(request, "login.html") def test(request): print("test:", request.COOKIES) return HttpResponse("Test!") ‘‘‘ response.set_cookie("is_login", True):設置cookie request.COOKIES:獲取cookie response.delete_cookie("cookie_key",path=‘/‘,domain=name):刪除cookie ‘‘‘
login.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <form action="" method="post"> {% csrf_token %} 用戶名 <input type="text" name="user"> 密碼 <input type="password" name="pwd"> <input type="submit" value="submit"> </form> </body> </html>
index.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <h3>Hi,{{ username }},welcome to Index</h3> <p>您上次登錄時間:{{ last_time }}</p> # 保存上次訪問時間 <a href="/logout/">註銷</a> # 後面註銷的時候備用 </body> </html>
訪問login頁面:
訪問index頁面的時候,它是帶著cookie的
一次登錄成功了設置好了cookie,以後什麽時候都帶著cookie;當你換一個瀏覽器訪問的時候又是新的了;瀏覽器和服務器請求要是一對一的,當你在這個頁面帶著cookie時,比如去訪問京東這個cookie就沒有了;
如果登錄另外一個人的賬號,就會把之前的那個cookie值給覆蓋掉。
二.Session
Session的由來
Cookie雖然在一定程度上解決了“保持狀態”的需求,但是由於Cookie本身最大支持4096字節,以及Cookie本身保存在客戶端,可能被攔截或竊取,因此就需要有一種新的東西,它能支持更多的字節,並且他保存在服務器,有較高的安全性。這就是Session。
問題來了,基於HTTP協議的無狀態特征,服務器根本就不知道訪問者是“誰”。那麽上述的Cookie就起到橋接的作用。
我們可以給每個客戶端的Cookie分配一個唯一的id,這樣用戶在訪問時,通過Cookie,服務器就知道來的人是“誰”。然後我們再根據不同的Cookie的id,在服務器上保存一段時間的私密資料,如“賬號密碼”等等。
總結而言:Cookie彌補了HTTP無狀態的不足,讓服務器知道來的人是“誰”;但是Cookie以文本的形式保存在本地,自身安全性較差;所以我們就通過Cookie識別不同的用戶,對應的在Session裏保存私密的信息以及超過4096字節的文本。
另外,上述所說的Cookie和Session其實是共通性的東西,不限於語言和框架。
Django中Session相關方法
# 獲取、設置、刪除Session中數據 request.session[‘k1‘] request.session.get(‘k1‘,None) request.session[‘k1‘] = 123 request.session.setdefault(‘k1‘,123) # 存在則不設置 del request.session[‘k1‘] # 所有 鍵、值、鍵值對 request.session.keys() request.session.values() request.session.items() request.session.iterkeys() request.session.itervalues() request.session.iteritems() # 會話session的key request.session.session_key # 將所有Session失效日期小於當前日期的數據刪除 request.session.clear_expired() # 檢查會話session的key在數據庫中是否存在 request.session.exists("session_key") # 刪除當前會話的所有Session數據 request.session.delete() # 刪除當前的會話數據並刪除會話的Cookie。 request.session.flush() 這用於確保前面的會話數據不可以再次被用戶的瀏覽器訪問 例如,django.contrib.auth.logout() 函數中就會調用它。 # 設置會話Session和Cookie的超時時間 request.session.set_expiry(value) * 如果value是個整數,session會在些秒數後失效。 * 如果value是個datatime或timedelta,session就會在這個時間後失效。 * 如果value是0,用戶關閉瀏覽器session就會失效。 * 如果value是None,session會依賴全局session失效策略。
Session流程解析
Session版登陸驗證,保存上次登錄時間,session更新操作和註銷功能
views.py
# -*- encoding:utf-8 -*- from django.shortcuts import render,HttpResponse,redirect # Create your views here. from app01.models import UserInfo # Session登錄視圖 def login_session(request): if request.method == "POST": user = request.POST.get("user") pwd = request.POST.get("pwd") user = UserInfo.objects.filter(user=user,pwd=pwd).first() if user: request.session["is_login"] = True # 設置session的鍵值 request.session[‘username‘] = user.user ‘‘‘ 登錄頁面的時候,如果是第一次登錄,則按照下面的三步走,如果不是,則就更新數據 django-session表中一條記錄只針對一個瀏覽器 if request.COOKIE.get("sessionid"): 更新 在django-session表中創建一條記錄: session-key session-data expire-date lik1wdki4dis0ovp944takdggc07i56o 更新數據 else 1.生成隨機字符串 lik1wdki4dis0ovp944takdggc07i56o 2.response.set_cookie("sessionid",lik1wdki4dis0ovp944takdggc07i56o) 3.在django-session表中創建一條記錄: session-key session-data expire-date lik1wdki4dis0ovp944takdggc07i56o {"is_login":True,"username":user.user} ‘‘‘ return HttpResponse("登錄成功") return render(request,"login.html") def index_session(request): print("is_login:", request.session.get("is_login")) # 從session中取值 # 這一句話會產生以下三步操作 ‘‘‘ 1.request.COOKIE.get("sessionid") lik1wdki4dis0ovp944takdggc07i56o 2.django-session表中過濾記錄: session-key session-data expire-date lik1wdki4dis0ovp944takdggc07i56o {"is_login":True,"username":user.user} obj = django-session.objects.filter(session-key=lik1wdki4dis0ovp944takdggc07i56o).first() 3.obj.session-data.get("is_login") ‘‘‘ is_login = request.session.get("is_login") if not is_login: return redirect("/login_session/") username = request.session.get("username") last_time = request.session.get("last_time") import datetime date = datetime.datetime.now().strftime("%Y-%m-%d %X") request.session[‘last_time‘] = date return render(request, "index.html", {"username": username, "last_time": last_time}) # 註銷 def logout(request): # del request.session["is_login"] # 這種語法僅僅是刪除一個鍵值對 request.session.flush() ‘‘‘ flush(): 刪除當前的會話數據並刪除會話的Cookie 適用於確保前面的會話數據不可以再次被用戶的瀏覽器訪問 1.random_str = request.COOKIE.get("sessionid) # 獲得隨機字符 2.django-session.objects.filter(session-key=random_str).delete() # 在django-session表中刪除這條記錄 3.response.delete_cookie("sessionid,random_str) # 刪除cookie ‘‘‘ return redirect( "/login/")
django-session表中的數據:
Django中的Session配置
Django中默認支持Session,其內部提供了5種類型的Session供開發者使用。
1. 數據庫Session SESSION_ENGINE = ‘django.contrib.sessions.backends.db‘ # 引擎(默認) 2. 緩存Session SESSION_ENGINE = ‘django.contrib.sessions.backends.cache‘ # 引擎 SESSION_CACHE_ALIAS = ‘default‘ # 使用的緩存別名(默認內存緩存,也可以是memcache),此處別名依賴緩存的設置 3. 文件Session SESSION_ENGINE = ‘django.contrib.sessions.backends.file‘ # 引擎 SESSION_FILE_PATH = None # 緩存文件路徑,如果為None,則使用tempfile模塊獲取一個臨時地址tempfile.gettempdir() 4. 緩存+數據庫 SESSION_ENGINE = ‘django.contrib.sessions.backends.cached_db‘ # 引擎 5. 加密Cookie Session SESSION_ENGINE = ‘django.contrib.sessions.backends.signed_cookies‘ # 引擎 其他公用設置項: SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字符串(默認) SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑(默認) SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默認) SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie(默認) SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸(默認) SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(默認) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期(默認) SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,默認修改之後才保存(默認)
Django - cookie和session