Django之Session
Django之Session
session:是保存在服务器端的数据(本质是键值对)。
什么是session:
session是保存在服务器端的数据,可以是键值对,也可以是任何数据类型的数据。
session是直译就是会话,保持会话。
http请求是无状态短连接。来一次请求,回一次请求,并断开连接。cookie就解决了第二次请求来时,身份识别的工作。
而session就是做这个检测的。
session在应用中是依赖cookie的。他的作用是保持web的会话。保持与用户的会话。
session的流程:
一个登陆请求的url,输入用户名密码,然后post提交。然后有一个键值对发从到cookie里,用set_cookie设置cookie的值。这个cookie里面存储的是再下次请求来时,能识别出当前用户的身份识别信息。也可以理解为是当前用户的唯一标识。但是cookie的这样的传递身份识别是有问题的, 比如在前端页面,身份id是1,但是在前端更改成id为2的话,那么第二次访问请求来时,这时的身份id就是2了,这对于请求的安全是没有保障的。就算cookie带有签名,也依旧可以在前端获取,退一万步讲,签名加密,也依旧有可以破解的可能。
所以,解决的方式是,在登录成功时,加一个随机的字符串。发从到cookie里面。这个随机字符串是原生的字符串,他可以是md5加密的字符串,也可以是其他任何类型的数据字符串。
然后在session在服务器端在存储一遍这个字符串,以键值对的形式存储。在这个字符串里加上字典。
等第二次在有访问请求时,会先对比请求的cookie中的字符串和服务器端存储的字符串是否一致,如果一致,再将与其对应的id为1的数据发
送给响应。这样的效果就是session在服务器将数据保护起来,而前端拿到的只有字符串而已,并拿不到后面的数据。并且根据字符串是无法计算出对应的数据值是什么的。
{ "asdfasdfadsfasdfasd":{"id":1,"name":"george",email="xxxxx"} }
session的好处:
敏感数据不会直接给客户端。
流程:
1、GET请求来服务器,获取页面返回。
2、返回是页面加数据已POST请求再去服务器,这时的服务器验证登录。
3、如果登录成功,则在服务器端生成一个随机字符串。并连同登录成功结果和字符串返回给客户端。
4、服务器在内存中保存一份字符串和与字符串相关的数据。
用session实现用户登录:
login.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <h1>登录</h1> <form method="post" action="/login/"> {% csrf_token %} <p>username: <input type="text" name="username"> </p> <p>password: <input type="text" name="password"></p> <input type="submit" value="subimt">{{ msg }} </form> </body> </html>
views.py
def login(request): if request.method == "GET": return render(request,"login.html") else: username = request.POST.get("username") password = request.POST.get("password") if username == "wangzhe" and password == "123": #1.生成随机字符串 #2.通过cookie发送给客户端 #3.服务器保存session {"随机字符串":{字典里是当前用户的信息}} #3.服务器保存session {"adfaf":{"username":"wangzhe","password":123,....}} request.session["username"] = "wangzhe" #这样就给username加了session。 request.session["password"] = "123" return redirect('/index/') else: return render(request,"login.html",{"msg":"username or passwrod is error"}) def index(request): #1.获取客户端cookie中的随机字符串 #2.去session中查找有没有随机字符串 #3.判断session的字典的值,比如username有没有值,如果有值,说明已经登录了 v = request.session.get("username") if v: return HttpResponse("登陆成功:%s" %v) else: return redirect('/login/')
view函数的连接数据库的用户名匹配:
def login(request): if request.method == "GET": return render(request,"login.html") else: username = request.POST.get("username") password = request.POST.get("password") obj = models.UserInfo.objects.filter(username=username,password=password).first() if obj: #1.生成随机字符串 #2.通过cookie发送给客户端 #3.服务器保存session {"随机字符串":{字典里是当前用户的信息}} #3.服务器保存session {"adfaf":{"username":"wangzhe","password":123,....}} request.session["username"] = obj.username #这样就给username加了session。 request.session["password"] = obj.password return redirect('/index/') else: return render(request,"login.html",{"msg":"username or passwrod is error"}) def index(request): #1.获取客户端cookie中的随机字符串 #2.去session中查找有没有随机字符串 #3.判断session的字典的值,比如username有没有值,如果有值,说明已经登录了 v = request.session.get("username") if v: return HttpResponse("登陆成功:%s" %v) else: return redirect('/login/')
前端结果代码查看:
session的值存放在数据库的表里了,在django_session中。session_key是发给前端的字符串,session_data是前端传来的数据的加密,是username和password的加密值
参考session:www.cnblogs.com/wupeiqi/articles/5246483.html
--------- END ---------
