Loading

49、django工程(cookie+session)


49.1、介绍:

1、cookie不属于http协议范围,由于http协议无法保持状态,但实际情况,我们却又需要“保持状态”,因此cookie就是在这样一个场景下诞生。

cookie的工作原理是,由服务器产生内容,浏览器收到请求后保存在本地,当浏览器再次访问时,浏览器会自动带上cookie,这样服务器就能通过

cookie的内容来判断这个是“谁”了。


2、cookie虽然在一定程度上解决了“保持状态”的需求,但是由于cookie本身最大支持4096字节,以及cookie本身保存在客户端,可能被拦截或

窃取,因此就需要有一种新的东西,它能支持更多的字节,并且他保存在服务器,有较高的安全性。这就是session。问题来了,基于http协议的无

状态特征,服务器根本就不知道访问者是“谁”,那么上述的cookie就起到桥接的作用。我们可以给每个客户端的cookie分配一个唯一的id,这样

用户在访问时,通过cookie,服务器就知道来的人是“谁”。然后我们再根据不同的cookie的id,在服务器上保存一段时间的私密资料,如“账号

密码”等等。


3、总结而言,cookie弥补了http无状态的不足,让服务器知道来的人是“谁”,但是cookie以文本的形式保存在本地,自身安全性较差,所以我

们就通过cookie识别不同的用户,对应的在session里保存私密的信息以及超过4096字节的文本。


4、另外,上述所说的cookie和session其实是共通性的东西,不限于语言和框架。


5、前几节的介绍中我们已经有能力制作一个登陆页面,在验证了用户名和密码的正确性后跳转到后台的页面。但是测试后也发现,如果绕过登陆页

面,直接输入后台的url地址也可以直接访问的,这个显然是不合理的。其实我们缺失的就是cookie和session配合的验证,有了这个验证过程,我们

就可以实现和其他网站一样必须登录才能进入后台页面了。

先说一下这种认证的机制,每当我们使用一款浏览器访问一个登陆页面的时候,一旦我们通过了认证,服务器端就会发送一组随机唯一的字符串(假

设是 123abc)到浏览器端,这个被存储在浏览端的东西就叫cookie,服务器端也会自己存储一下用户当前的状态,比如login=true,username=

hahaha 之类的用户信息。但是这种存储是以字典形式存储的,字典的唯一key就是刚才发给用户的唯一的cookie值,那么如果在服务器端查看

session信息的话,理论上就会看到如下样子的字典 {'123abc':{'login':true,'username:hahaha'}},因为每个cookie都是唯一的,所以我们在电脑上

换个浏览器再登陆同一个网站也需要再次验证。那么为什么说我们只是理论上看到这样子的字典呢,因为处于安全性的考虑,其实对于上面那个大字

典不光key值 123abc 是被加密的,value值 {'login':true,'username:hahaha'} 在服务器端也是一样被加密的,所以我们服务器上就算打开session

信息看到的也是类似与以下样子的东西 {'123abc':dasdasdasd1231231da1231231}。


49.2、cookie+session代码实现:

1、urls.py:

from django.contrib import admin

from django.urls import path

from django.conf.urls import url

from app01 import views


urlpatterns = [

path('admin/', admin.site.urls),

url(r'^login/$', views.login),

url(r'^backend/$', views.backend),

url(r'^logout/$', views.logout),

]


2、views.py:

from django.shortcuts import render,redirect


def login(request):

if request.method == "POST":

username = request.POST['username']

pwd = request.POST['passwd']

if username == 'admin' and pwd == '123456':

# 设置session内部的字典内容

request.session['is_login'] = True

request.session['username'] = 'admin'

# 登录成功就将url重定向到后台的url

return redirect('/backend/')

# 登录不成功或第一访问就停留在登录页面

return render(request, 'login.html')


def backend(request):

"""

这里必须用读取字典的get()方法把is_login的value缺省设置为False,

当用户访问backend这个url先尝试获取这个浏览器对应的session中的

is_login的值。如果对方登录成功的话,在login里就已经把is_login

的值修改为了True,反之这个值就是False的。

"""

is_login = request.session.get('is_login', False)

# 如果为真,就说明用户是正常登陆的

if is_login:

# 获取字典的内容并传入页面文件

cookie_content = request.COOKIES

session_content = request.session

username = request.session['username']

return render(request, 'backend.html',

{

'cookie_content': cookie_content,

'session_content': session_content,

'username': username

})

else:

"""

如果访问的时候没有携带正确的session,

就直接被重定向url回login页面

"""

return redirect('/login/')


def logout(request):

"""

直接通过request.session['is_login'],回去返回的时候

如果is_login对应的value值不存在会导致程序异常。所以

需要做异常处理

"""

try:

# 删除is_login对应的value值

del request.session['is_login']

except KeyError:

pass

# 点击注销之后,直接重定向回登录页面

return redirect('/login/')


3、login.html:

<!DOCTYPE html>

<html lang="en">

<head>

<meta charset="UTF-8">

<title>login</title>

</head>

<body>

<form action="/login/" method="post">

{% csrf_token %}

<div>用户名:<input type="text" name="username" placeholder="用户名"/></div>

<div>密 码:<input type="password" name="passwd" placeholder="密码"/></div>

<div><input type="submit" value="submit"></div>

</form>

</body>

</html>


4、backend.html:

<!DOCTYPE html>

<html lang="en">

<head>

<meta charset="UTF-8">

<title>backend</title>

</head>

<body>

<div>cookie内容是:{{ cookie_content }}</div>

<div>session内容是:{{ session_content }}</div>

<div>登录用户名:{{ username }}</div>

<div><a href="/logout/">注销</a></div>

</body>

</html>


5、登录测试:

(1)登录:


(2)登录成功:

1)backend.html页面:

2)通过google cookie插件查看浏览器存储的cookie:

A、

B、

C、


(3)django的session默认是存储在数据库里的,到数据库查看一下真正session内容:


(4)如果在没有登录的浏览器上直接访问http://127.0.0.1:8080/backend/地址会跳转到登录界面。

如果在已登录的浏览器上复制http://127.0.0.1:8080/backend/地址到其它未登录的浏览器上会跳转到登录界面。


49.3、总结:

1、Cookie操作:

(1)设置cookie的字典内容:

# response.set_cookie(key,value)

ret=redirect("/index/")

ret.set_cookie("is_login",True,max_age=3,expires=datetime.datetime.utcnow()+datetime.timedelta(days=3))

return ret

(2)获取cookie的字典内容:ret = request.COOKIES[key]

(3)get方法获取cookie的字典内容:ret = request.COOKIES.get(key,None)

(4)由于cookie保存在客户端的电脑上,所以,jquery也可以操作cookie。


2、Session操作:

(1)设置session内部的字典内容:reqeust.session[key] = value

(2)获取session内部的字典内容:ret = request.session[key]

(3)get方法获取session内部的字典内容:ret = request.session.get(key, None)

(4)删除session:del request.session[key]

这个删除其实就是把数据库的 session_data 更新为一个其他的值了,并没有立即删除。

(5)设置session超时时间(session默认在服务器端保存15天):

request.session.set_expiry(value)

* 如果value是个整数,session会在些秒数后失效。

* 如果value是个datatime或timedelta,session就会在这个时间后失效。

* 如果value是0,用户关闭浏览器session就会失效。

* 如果value是None,session会依赖全局session失效策略。


3、Cookie原理:

(1)cookie验证原理:

1)用户登录验证成功后在服务端为cookie添加内容,发送cookie到客户端并存储(登录验证失败,由于没有在服务端为

cookie添加内容,所以不发送cookie到客户端)。

2)客户端在下次访问服务端时会带着cookie到服务端。

3)服务端从cookie中取出内容进行验证。

(2)cookie超时失效的原理:

用户登录验证成功后在服务端为cookie添加内容时会将超时间写在其中并一同发送给客户端存储,超时时间到后会将

客户端上的cookie清掉,用户再访问时因没有验证数据而需要从新验证。

(3)弊端:用户的一些私密信息会存储到客户端上,容易被窃取。


4、session原理:

(1)session验证原理:

1)用户登录验证成功后在服务端为session添加内容,在django_session表session_key、session_data字段下

生成数据且都已加密,然后将session_key的值放到cookie中以sessionid字符串方式随cookie发送到客户端存储

(登录验证失败,由于没有在服务端为session添加内容,所以不在django_session表生成数据,也不发送cookie

到客户端)。

2)客户端下次访问时带着cookie(包含sessionid)到服务端。

3)服务端从cookie中取出sessionid的值和django_session表中的session_key字段值匹配成功后取出session_data

值对用户进行验证。

(2)session超时失效原理:在服务端设置django_session表中sessionid所对应的session_data失效时间。

(3)session用户注销原理:在服务端删除django_session表中sessionid所对应的session_data中的验证key,这样

用户再次访问时因找不到相应的验证数据而需要从新验证。

(4)优点:用户的私密信息保存在服务端的django_session表中,有利与保障用户账号的安全。


5、cookie 和 session 的区别:

(1)cookie数据存放在客户的浏览器上,session数据放在服务器上。

(2)cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗,考虑到安全应当使用session。

(3)session会在一定时间内保存在服务器上,当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,

应当使用COOKIE。

(4)单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。

(5)将登陆信息等重要信息存放为SESSION,其他信息如果需要保留,可以放在COOKIE中。



















posted @ 2020-02-17 10:35  云起时。  阅读(176)  评论(0编辑  收藏  举报