Django学习——cookie，session，token、Django中cookie的使用、Django中session的使用、cookie，session其他了解知识

1 cookie，session，token

1 cookie: 保存到客户端浏览器上的键值对
	用户名 密码 登录状态 写到 cookie
	不加密的cookie不安全
	-如果不加密，是不安全的（可能被窃取，篡改）
    只要存在客户端浏览器上的东西都叫cookie
    
cookie 是一个非常具体的东西，指的就是浏览器里面能永久存储的一种数据，仅仅是浏览器实现的一种数据存储功能。

cookie由服务器生成，发送给浏览器，浏览器把cookie以kv形式保存到某个目录下的文本文件内，下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的，所以浏览器加入了一些限制确保cookie不会被恶意使用，同时不会占据太多磁盘空间，所以每个域的cookie数量是有限的。

2 session：存在服务端的键值对
	-用户登录后，给用户分配一个随机字符串（会话标识(session id)），用户存到cookie中
	-在服务端以刚刚随机字符串为key，value是字典，放用户信息
    
我就不保存session id 了， 我只是生成token , 然后验证token ， 我用我的CPU计算时间获取了我的session 存储空间 ！

session 从字面上讲，就是会话
服务器使用session把用户的信息临时保存在了服务器上，用户离开网站后session会被销毁。这种用户信息存储方式相对cookie来说更安全，可是session有一个缺陷：如果web服务器做了负载均衡，那么下一个操作请求到了另一台服务器的时候session会丢失。

3 Token：三段式(JWT:json web token)（服务器不存了）
	{公司信息..}.{name:qiao,id:8}.adsfasasf  # 把第1段和第2端加密后得到一个签名
    asdfas.asfadafad.adafasfd  # 整体base64转码后给客户端 cookie
tokens 是多用户下处理认证的最佳方式
    1.无状态、可扩展
    2.支持移动设备
    3.跨程序调用
    4.安全
    
基于服务器验证方式暴露的一些问题

1.Seesion：每次认证用户发起请求时，服务器需要去创建一个记录来存储信息。当越来越多的用户发请求时，内存的开销也会不断增加。

2.可扩展性：在服务端的内存中使用Seesion存储登录信息，伴随而来的是可扩展性问题。

3.CORS(跨域资源共享)：当我们需要让数据跨多台移动设备上使用时，跨域资源的共享会是一个让人头疼的问题。在使用Ajax抓取另一个域的资源，就可以会出现禁止请求的情况。

4.CSRF(跨站请求伪造)：用户在访问银行网站时，他们很容易受到跨站请求伪造的攻击，并且能够被利用其访问其他的网站。

基于Token的身份验证的过程如下:

1.用户通过用户名和密码发送请求。

2.程序验证。

3.程序返回一个签名的token 给客户端。

4.客户端储存token,并且每次用于每次发送请求。

5.服务端验证token并返回数据。

每一次请求都需要token。token应该在HTTP的头部发送从而保证了Http请求无状态。我们同样通过设置服务器属性Access-Control-Allow-Origin:* ，让服务器能接受到来自所有域的请求。需要主要的是，在ACAO头部标明(designating)*时，不得带有像HTTP认证，客户端SSL证书和cookies的证书。
    
token是有时效的，一段时间之后用户需要重新验证。我们也不一定需要等到token自动失效，token有撤回的操作，通过token revocataion可以使一个特定的token或是一组有相同认证的token无效。

2 Django中cookie的使用

1 设置cookie
# 四件套之一
 	obj.set_cookie('key','value')
2 获取cookie
	request.COOKIES.get('key')
3 更新cookie
# 四件套之一
	obj.set_cookie('key','value')
4 删除cookie
 	obj.delete_cookie('key')
    
5 cookie的过期时间
	-浏览器会管理cookie，到时间，它会自动删除，10s过期
	-obj.set_cookie('key','value',expires=10)
	# 如果不写 默认会话结束时过期 关闭浏览器，cookie就失效了
	--obj.set_cookie('key','value')  
    
6 设置加盐的cookie
    obj.set_signed_cookie('fk','yes','123',expires=1000)
    
7 获取加盐的cookie
	 fk = request.get_signed_cookie('fk',salt='123')

3 Django中session的使用

1 设置session
def set_session(request):
    # 默认存数据库：必须迁移，Django_session表
    # 设置session
    request.session['name'] = 'lqz'
    request.session['is_login'] = True
    '''
    1 生成一个随机字符串afdsfadsfs，一旦有，就是更新操作
    2 把随机字符串放到cookie中: obj.set_cookie('sessionid','afdsfadsfs')
    3 把name=lqz 放到django_session表中
    session_key   session_data    date
    afdsfadsfs    {name:'lqz',is_login:True}    时间
    '''


    return HttpResponse('设置session成功')

2 获取session
def get_session(request):
    # 取出携带的cookie
    # 在进视图函数之前，早已经把session从django_session表中session_data取出来
    # 转到了session中
    name = request.session.get('name')
    is_login = request.session.get('is_login')

    print(name)
    print(is_login,type(is_login))
    return HttpResponse('获取session成功')
3 更新 删除 session
def update_session(request):
    request.session['name'] = 'alex'
    # 删除session

    # request.session['is_login] = ''
    del request.session['is_login']  # None <class 'NoneType'>
    '''
    直接去django_session表中替换
    cookie还是原来的
    '''
    obj = HttpResponse('session 更新成功，删除login')

    return obj


# 删除session
request.session.delete()  # 删除数据库
request.session.flush()  # cookie和数据库都删

4 cookie，session其他了解知识

4.1 cookie的其他参数

key，健
value='',值
max_age=None，超时时间 cookie需要延续的时间（以秒为单位）如果参数是
\ None'' ，这个cookie会延续到浏览器关闭为止
expires=None,超时时间(IE requires expires, so set it if hasn't been already.)
                  
path='/',cookie生效的路径，/ 表示根路径，特殊的：根路径的cookie可以被任何url的页面访问，浏览器只会把cookie回传给带有该路径的页面，这样可以避免将cookie传给站点中的其他的应用。
domain=None,cookie生效的域名 你可以用这个参数来构造一个跨站cookie，如，domain=".example.com"所构造的cookie对下面这些站点都是可读的：
www.example.com 、 www2.example.com 和 an.other.sub.domain.example.com 。 如果该参数设置为None，cookie只能由设置它的站点读取
secure=False，浏览器将通过HTTPS来回传cookie
httponly=False 只能http协议传输，无法被Javascript获取（不是绝对，底层抓包可以获取到也可以被覆盖）

4.2 session的其他方法

# 获取、设置、删除session中数据
request.session['k1']
request.session.get('k1',None)
request.session['k1'] = 123
request.session.setdefault('k1',123)  # 存在则不设置
del request.session['k1']

# 所有 健、值、键值对
request.session.keys()
request.session.values()
request.session.items()
request.session.iterkeys()
request.session.itervalues()
request.session.iteritems()

# 会话session的key(随机字符串)
request.session.session_key

# 将所有session失效日期小于当前日期的数据删除
request.session.clear_expired()

# 检查会话session的key在数据库中是否存在
request.session.exists("session_key")

# 删除当前会话的所有session数据（只删数据库）
request.session.delete()

# 删除当前的会话数据并删除会话的cookie（数据库和cookie都删）
request.session.flush()
	这用于确保前面的会话数据不可以再次被用户的浏览器访问
	例如，djang.contrib.auth.logout() 函数中就会调用它
    
# 设置会话session和cookie的超时时间
request.session.set_expiry(value)
	* 如果value是个整数，session会在秒数后失效
	* 如果value是个datatime或timedelta，session就会在这个时间后失效
	* 如果value是0，用户关闭浏览器session就会失效
	* 如果value是None，session会依赖全局session失效策略

4.3session的其他配置(配置文件中)

1. 数据库Session
SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎（默认）

2. 缓存Session
SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
SESSION_CACHE_ALIAS = 'default'                            # 使用的缓存别名（默认内存缓存，也可以是memcache），此处别名依赖缓存的设置

3. 文件Session
SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎
SESSION_FILE_PATH = None                                    # 缓存文件路径，如果为None，则使用tempfile模块获取一个临时地址tempfile.gettempdir() 

4. 缓存+数据库
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'        # 引擎

5. 加密Cookie Session
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'   # 引擎

其他公用设置项：
SESSION_COOKIE_NAME ＝ "sessionid"                       # Session的cookie保存在浏览器上时的key，即：sessionid＝随机字符串（默认）
SESSION_COOKIE_PATH ＝ "/"                               # Session的cookie保存的路径（默认）
SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名（默认）
SESSION_COOKIE_SECURE = False                            # 是否Https传输cookie（默认）
SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http传输（默认）
SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期（2周）（默认）
SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否关闭浏览器使得Session过期（默认）
SESSION_SAVE_EVERY_REQUEST = False                       
# 是否每次请求都保存Session，默认修改之后才保存（默认）

补充

1 方法和函数

• 绑定给对象的方法，如果类来调用，它就是普通函数，有几个传几个

2 如何看源码

2.1 快速定位到当前py文件

2.2 查看当前py文件中有哪些类，哪些方法

作业

必写：

1 登录功能，如果登录成功往cookie中写入用户名和登录成功的状态标志

2 访问order页面，如果登录了，可以正常显示，如果没登录，重定向到登录页面

扩展作业：

1 什么是集群 什么是分布式

集群：为解决某个特定问题将多台计算机组合起来形成的单个系统

2 内网穿透 公网地址

3 什么是反向代理，什么是正向代理 Nginx反向代理服务器

4 JWT

5 csrf 跨站请求伪造

回顾

1 forms局部和全局钩子的源码
	-is_valid  --> self.erros --> self.full_clean()
	self._clean_fields()  # 字段自己的校验规则和局部钩子执行
	self._clean_form()  # 全局钩子执行
	self._post_clean()
    
2 cookie，session和token
	-cookie是存在浏览器里的键值对
	-session是存在服务端的键值对
	-token是为了不把数据存在服务端又要保证数据的安全，新出的一种认证方式。它有三段。
3 Django中使用cookie
	-HttpResponse的对象.set_cookie(key,value,expire=30)
	-request.COOKIES.get()
	-更新
	-HttpResponse的对象，delete_cookie()
4 cookie的其他参数
	-过期时间
	-httponly
	-path /index
    
5 session的使用
	-request.session['name']=lqz(原来有，原来没有)
	-request.session.get('name')
	-del request.session['name']
    
6 session的其他
	-对象的其他方法
	-配置：过期时间，sessionid...