Cookie与Session对比及Django提供的COOKIE与SESSION操作
当近web系统最常听到的cookie与session,他们有什么区别
【Cookie】
cookie是保存在用户浏览器的类似字典类型的数据;如key1=value1
【Session】
session是保存在服务器端的类似字典类型的数据结构;如:
{
dddddfeessdaccddefasddef(此随机字符串表示JSESSIONID):{
key1:value1,
key2:value2,
}
ffdeccdaccdddccefasddef(此随机字符串表示JSESSIONID):{
key1:value1,
key2:value2,
}
....
}
【浏览器如何保持会话】
1、首先cookie中会保存JSESSIONID;
2、服务器端通过JSESSIONID映射用户登录系统成功后保存的状态信息;
3、当浏览器每次访问系统时,每次请求将JSESSIONID发给后端,后端检查此JSESSIONID是否存在且是否存在对应的登录状态信息;
4、以此保证系统可以保持登录状态;
【创建Session的过程】
1、当登录系统时,系统验证用户名、密码是否正确;
2、如果正确,将创建一个长的唯一的字符串,向浏览器写入cookie;(默认此cookie关闭浏览器就失效,且无超时时间)
3、在执行2步的同时,在session中保存2步中的唯一字符串做为SESSIONID,且保存相关用户信息;
4、当用户再访问其它功能时,请求中传递cookie中所有内存,后端取得JSESSIONID与session中的JSESSIONID对应并查询是否有用户信息;
5、有用户信息便可继续操作,若没有则针对业务需要跳转到登录页;
【DJango框架提供的Cookie操作】
-----设置COOKIE-----
rep = HttpResponse(...) 或 rep = render(request, ...)
rep.set_cookie(key,value,...) ###设置COOKIE
rep.set_signed_cookie(key,value,salt='加密盐',...) ###为COOKIE加密
通用参数:
key, 键
value='', 值
max_age=None, 超时时间
expires=None, 超时时间(IE requires expires, so set it if hasn't been already.)
path='/', Cookie生效的路径,/ 表示根路径,特殊的:跟路径的cookie可以被任何url的页面访问
domain=None, Cookie生效的域名
secure=False, https传输
httponly=False 只能http协议传输,无法被JavaScript获取(不是绝对,底层抓包可以获取到也可以被覆盖)
-----Python代码中获取COOKIE-----
request.COOKIES['key'] ###获取未加密的COOKIE
request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None) ###获取加密后的COOKIE
参数:
default: 默认值
salt: 加密盐
max_age: 后台控制过期时间
-----浏览器通过JS或Jquery设置或获取COOKIE-----
<script src='/static/js/jquery.cookie.js'></script>
$.cookie("list_pager_num", 30,{ path: '/',max_age=10 }); ###设置COOKIE
$.cookie("list_pager_num"); ###获取COOKIE
document.cookie ###JS获取所有的cookie
document.cookie="GroupInit=true;" ###JS设置cookie
【DJango框架提供的Session操作】
Django内部提供了5种存放Session的方式,默认将session存放在数据库中,其它方式分别如下:
缓存
文件
缓存+数据库
加密cookie
【示例操作】
Django默认支持Session,并且默认是将Session数据存储在数据库中,即:django_session 表中。
a. 配置 settings.py
SESSION_ENGINE = 'django.contrib.sessions.backends.db' # 引擎(默认)
------------其它引擎-----------
SESSION_ENGINE = 'django.contrib.sessions.backends.cache' # 引擎
SESSION_CACHE_ALIAS = 'default' # 使用的缓存别名(默认内存缓存,也可以是memcache),此处别名依赖缓存的设置
SESSION_ENGINE = 'django.contrib.sessions.backends.file' # 引擎
SESSION_FILE_PATH = None # 缓存文件路径,如果为None,则使用tempfile模块获取一个临时地址tempfile.gettempdir()
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db' # 引擎
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies' # 引擎
------------其它引擎-----------
SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认)
SESSION_COOKIE_PATH = "/" # Session的cookie保存的路径(默认)
SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默认)
SESSION_COOKIE_SECURE = False # 是否Https传输cookie(默认)
SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http传输(默认)
SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(默认)
SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否关闭浏览器使得Session过期(默认)
SESSION_SAVE_EVERY_REQUEST = False # 是否每次请求都保存Session,默认修改之后才保存(默认)
b. 使用
def index(request):
# 获取、设置、删除Session中数据
request.session['k1']
request.session.get('k1',None)
request.session['k1'] = 123
request.session.setdefault('k1',123) # 存在则不设置
del request.session['k1']
# 所有 键、值、键值对
request.session.keys()
request.session.values()
request.session.items()
request.session.iterkeys()
request.session.itervalues()
request.session.iteritems()
# 用户session的随机字符串
request.session.session_key
# 将所有Session失效日期小于当前日期的数据删除
request.session.clear_expired()
# 检查 用户session的随机字符串 在数据库中是否
request.session.exists("session_key")
# 删除当前用户的所有Session数据
request.session.delete("session_key")
request.session.set_expiry(value)
* 如果value是个整数,session会在些秒数后失效。
* 如果value是个datatime或timedelta,session就会在这个时间后失效。
* 如果value是0,用户关闭浏览器session就会失效。
* 如果value是None,session会依赖全局session失效策略。