爲什麼會有cookie和session?
瀏覽器向服務器發送http請求,建立session(會話),服務器返回完成,session結束,瀏覽器與服務斷開
再次發送http請求,重新建立會話,這就會出現用戶信息丟失,服務器不能對請求的信息進行區分。
A登陸帳戶,服務器驗證後,結束連接,A登陸的信息兩邊都沒有記錄,A再點其它連接,服務器就不知道是誰點的。。。
cookie和session是什麼?
爲了跟蹤用戶和服務器之間的連接狀態,先出現了cookie(存在客戶端),後來發現不太安全,又出現了session(存在)
Cookie通過在客戶端記錄信息確定用戶身份,Session通過在服務器端記錄信息確定用戶身份。
一、cookie
※cookie信息以鍵值對的形式記錄在客戶端
※可以被修改
※瀏覽器提交請求自動附加cookie信息
※最大支持4096字節
※不可以跨域共享,比如京東不會識別到已登陸淘寶的用戶信息
1、設置cookie
普通設置:set_cookie
格式:set_cookie(key, value='', max_age=None, expires=None, path='/', domain=None, secure=False, httponly=False)
注意:set_cookie是HttpResponse方法,所以只能用於redirect和HttpResponse,render沒有此方法
帶加密的:set_signed_cookie,使用salt字符串進行簽名認證,不僅檢測cookie值,還檢測salt生成的簽名字符串
set_signed_cookie(key, value='', salt,max_age=None, expires=None, path='/', domain=None, secure=False, httponly=False)
選項功能:
參數 | 作用 |
name | 該Cookie的名稱。Cookie一旦創建,名稱便不可更改 |
value | 該Cookie的值。如果值爲Unicode字符,需要爲字符編碼。如果值爲二進制數據,則需要使用BASE64編碼 |
maxAge | 該Cookie失效的時間,單位秒。如果爲正數,則該Cookie在maxAge秒之後失效。如果爲負數,該Cookie爲臨時Cookie,關閉瀏覽器即失效,瀏覽器也不會以任何形式保存該Cookie。如果爲0,表示刪除該Cookie。默認爲–1,常用max_age = 60*60*24(一天) |
expires | 1、可以爲秒,expires 2、可以爲datetime時間格式 3、datime格式的字符串--源碼裏直接使用self.cookie[value]['expires']=str來設置, 但是,並不生效,待探討 需要注意的是服務器和客戶端時間不同步問題 |
secure | 該Cookie是否僅被使用安全協議傳輸。安全協議。安全協議有HTTPS,SSL等,在網絡上傳輸數據之前先將數據加密。默認爲false。當使用https式,必須要secure設置爲Y=True。 |
path | 該Cookie的使用路徑。如果設置爲“/sessionWeb/”,則只有contextPath爲“/sessionWeb”的程序可以訪問該Cookie。如果設置爲“/”,則本域名下contextPath都可以訪問該Cookie。注意最後一個字符必須爲“/” |
domain | 可以訪問該Cookie的域名。如果設置爲“.google.com”,則所有以“google.com”結尾的域名都可以訪問該Cookie。注意第一個字符必須爲“.” |
httponly | 限制在瀏覽器控制檯獲取鍵值對,但無法對抓包工具進行限制。 |
salt | 參數是字符串,加密cookie,客戶端顯示的是無序的cookie值。僅在set_signed_cookie下有效 |
# django views.py def login(request): user = request.GET.get('user',None) # 獲取值,如果沒有,賦值None pw = request.GET.get('pw',None) if user=='david' and pw=='123456': res = redirecte('index/') res.set_cookie('username',user) # 基於httpresponse類設置cookie res.set_signed_cookie('pw','123456',salt="lakjsdfh") # 使用salt生成簽名,服務端使用get_signed_cookie獲取,使用相同的salt進行簽名認證 else: res = redirecte('/djhw/') # 用戶名和密碼不對則返回主頁 return res
2、讀取cookie
request.COOKIE.get():讀取普通的cookie
request.get_signed_cookie(),讀取帶簽名的cookie,注意:要想設置默認值,寫default=‘’
def index(request): user = request.COOKIE.get('user',None) # 獲取cookie,如果沒有,賦值None pw = request.COOKIE.get('pw',None) # 獲取到的是:123456:加密的簽名字符串 pw = request.get_signed_cookie('pw',None,salt) # 使用salt,獲取到的是:123456 if user == 'david' and pw == '123456': # 判斷獲取的cookie是否和之前設置的一樣 return render(request, 'hw/index.html') # 如果一樣,進入index頁面 else: return redirect('/djhw/') # 如果不一樣,進入登陸面頁
3、刪除cookie,delete_cookie()
res = redirect('/djhw/') res.delete_cookie('user_name')
4、使用裝飾器認證
#FBV def auth(func): def inner(request, *args, **kwargs) username = request.COOLIES.get('user_name') # 讀取用戶名 if username: return func(request, *args, **kwargs) # 如果存在,返回傳入的func函數 else: return redirect('/djhw/') # 如果不存在,返回首頁(登陸頁) return inner # 返回結果 #CBV import django.utils.decorators import method_decorator form django import views 方法一:使用類裝飾器 @method_decorator(auth,name='dispatch') class Blog(views.View): def get(self,request): username=request.COOKIES.get('user_name') return render(request,'hw/index.html') 方法二: class Blog(views.View): # 因爲所有方法都是dispatch方法註冊的,只裝飾dispatch,所有方法都被裝飾。 @auth def dispatch(self,request,*args,**kwargs): return super(Blog.self).dispatch(request,*args,**kwargs) def get(self,request): username=request.COOKIES.get('user_name') return render(request,'hw/index.html')
二、session
※session信息以鍵值對的形式記錄在服務端,存儲位置可以在數據庫、內存、文件
※服務端給用戶所回一個隨機字符串,客戶端在Cookies中存儲這個隨機串
※客戶端下次提交包含隨機字符串,通過隨機字符串獲取session
1、設置Session鍵值
session是基於request的方法
def login(request): # 設置和讀取session鍵值 request.session['key1']='value1' # 增加key1,如果鍵存在,更新值 request.session.setdefault('key2', 'value2') # 增加key2,如果存在,不設置value2 request.session.get('key3','value3') # key3存在,獲取;不存在,增加key3,值爲'value' request.session['key1'] # 獲取Key1的值,如果不存在報錯 # 查詢是否存在session ID request.session.exists('session id') # 可用於數據庫+緩存方式,緩存沒有找數據庫 # 設置session生效時間 request.session.set_expiry(value) # 設置生效時長,value單位秒 # 如果value是個整數,session會在多少些秒後失效 # 如果value是個datetime或timedelta,session就會在這個時間後失效 # 如果value是0,用戶關閉瀏覽器session就會失效 # 如果value是None,session會依賴全局session失效策略 request.session.clear_expired() # datetime日期,把生效日期小於當前日期的session刪除 # 刪除 del request.session['key1'] # 刪除session鍵 request.session.clear() # 刪除所有session鍵,session ID保留 request.session.delete() # 刪除當前session ID,參數可以放session ID,用戶logout時用 # 查看session request.session.items() # 把鍵值對以列表顯示[(k1,v1),(k2,v2)] request.session.keys() # 顯示所有keys,[k1,k2] request.session.values() # 顯示所有values,[v1,v2] # 查看當前請求的session_id request.session.session_key # 存儲在cookies的加密session ID
2、session的全局配置:
在settings.py文件中可以對session進行全局配置
SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字符串(默認) SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑(默認) SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默認) SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie(默認) SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸(默認) SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(默認) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期(默認) SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,默認修改之後才保存(默認)
3、session的存儲位置
在settings.py文件中配置引擎,可以輕鬆改變session的存儲位置
SESSION_ENGINE = 'django.contrib.sessions.backends.db' # 數據庫(默認) SESSION_ENGINE = 'django.contrib.sessions.backends.file' # 文件 SESSION_ENGINE = 'django.contrib.sessions.backends.cache' # 緩存 SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db' # 緩存數據庫 SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies' # 加密cookie
4、session保存在緩存(內存、memcache、redis)
settings.py配置:
SESSION_ENGINE = 'django.contrib.sessions.babckends.cache' # 設置引擎(緩存) SESSION_ENGINE = 'django.contrib.sessions.babckends.cache_db' # 設置引擎(緩存+數據庫),緩存找不到,去數據庫找 SESSION_CACHE_ALIAS = 'default' # 指定CACHES裏面的配置項名 # CACHES裏面可以有多項,但只有一個生效 CACHES = { 'default':{ # 保存在內存 'BACKEND': 'django.core.cache.backends.locmem.LocMemCache', 'LOCATION': 'unique-snowflake', } 'memcache':{ # 保存在內存 'BACKEND': 'django.core.cache.backends.memcached.PyLibMCCache', 'LOCATION': ['ip1:port','ip2:port',], } 'redis':{ # 保存在redis,django需要pip3 install django_redis安裝 'BACKEND': 'django_redis.cache.RedisCache', 'LOCATION': 'redis://密碼@IP:PORT/1', 'OPTIONS': {'CLIENT_CLASS':'django_redis.client.DefaultClient'}, } }
5、存儲到文件
settings.py
SESSION_ENGINE = 'django.contrib.sessions.backends.file' SESSION_FILE_PATH = None # 緩存文件路徑,如果爲None,則使用tempfile模塊獲取一個臨時地址tempfile # SESSION_FILE_PATH = os.path.join(BASE_DIR, 'cache') SESSION_CACHE_ALIAS = 'default' # 指定CACHES裏面的配置項名 CACHES = { 'default': { 'BACKEND': 'django.core.cache.backends.filebased.FileBasedCache', 'LOCATION': '/var/tmp/django_cache', } }