cookie和session
Cookie
为什么会有cookie 和session?
http协议是无状态的.(无法记住你是谁,每次请求都是相当于全新的)
无法记住你是谁,所以我们需要将每次客户端和服务端会话产生的数据保留保存起来,也就是说'保持状态',那么就产生了Cookie.
什么是Cookie?
cookie服务器发送出来在客户端浏览器上保存的键值对,下次浏览器访问服务器的时候浏览器就会自动携带键值对,这样服务器就能通过Cookie的内容来判断这个是谁了.
默认情况下它是服务端设置在客户端浏览器上的键值对,那么也就意味着浏览器可以拒绝服务端的命令...
Django中Cookie操作
设置,获取,删除Cookie
obj = HttpResponse()
obj = render(request,)
obj = redirect()
# 获取Cookie
request.COOKIES['key']
request.COOKIES.get()
# 设置
obj.set_cookie(key,value,...)
"""
key, 键
value='', 值
max_age=None, 超时时间
expires=None, 超时时间(IE requires expires, so set it if hasn't been already.)
path='/', Cookie生效的路径,/ 表示根路径,特殊的:根路径的cookie可以被任何url的页面访问
domain=None, Cookie生效的域名
secure=False, https传输
httponly=False 只能http协议传输,无法被JavaScript获取(不是绝对,底层抓包可以获取到也可以被覆盖)
print(request.COOKIES)你会发现确实是一个键值对
"""
# 删除
obj.delete_cookie() # 删除之前设置得值
登录功能小练习
- 首先配置一下路由层url.py
from django.conf.urls import url
from app import views
urlpatterns = [
url(r'^admin/', admin.site.urls),
url(r'^index/', views.index),
url(r'^login/', views.login),
]
- 再来简单写一下模板层(templates.py)
- form标签 提交方式为POST,提交按钮为input标签里面的type='submit'
<body>
<form action="" method="post">
<p>username:<input type="text" name="username"></p>
<p>password:<input type="text" name="password"></p>
<p><input type="submit"></p>
</form>
</body>
</html>
- views.py
from djang.shorcuts import redirect,HttpResponse,render
# 登录
def login(request):
if request.method == 'POST':
username = request.POST.get('username')
password = request.POST.get('password')
if username == 'jh' and password == '123':
# 此处old_path为装饰器get请求携带的参数
old_path = request.GET.get('next')
if old_path:
# 得到路径重定向
obj = redirect(old_path)
else:
# 默认到home界面
obj = redirect('/home/')
# 设置cookie key value
obj.set_cookie('name', 'sbzj')
return obj
return render(request, 'login.html')
from functools import wraps
# 加上装饰器
def login_auth(func): # 即被装饰的函数
@wraps(func)
def inner(request, *args, **kwargs):
if request.COOKIES.get('name'):
res = func(request, *args, **kwargs)
return res
else:
path = request.path_info #只拿rul不拿get请求携带的额外参数
return redirect('/login/?next=%s'%path)
return inner
# 简单写一下主页内容
@login_auth
def home(request):
return HttpResponse('我是只有登录了才能看的主页')
Session
为什么还要有session呢?
虽然cookie一定程度上解决了'保持状态'需求,但是他保存在客户端,可能被拦截或者说窃取,最大支持4096字节.
那么我们就需要一种新的东西,能够支持更多字节,且有安全性,Session.
Cookie和Session其实是共通的东西,不限于语言和框架.
session简介
session是保存在服务器上的键值对, Django中session默认的过期时间是14天.
Session相关方法
设置session
request.session['key'] = value # 仅仅只在内存产生一个缓存
"""
1.django内部自动生成了随机的字符串
2.django_session表中存入数据
session_key session_data date
随机字符串1 数据1 ...
2 2 ...
3 3 ...
3.将产生的随机字符串发送给浏览器,让浏览器保存到cookie中
sessionid:随机字符串
"""
获取session
# request.session.get('key')
1. 浏览器发送cookie到django后端后 django会自动获取到cookie值
2. 拿着随机字符串到django_session表中比对 是否有对应的数据
3. 如果比对上了 就将随机字符串对应的数据 取出request.session
如果比对不上 那么request.session就是空
django session表示针对浏览器的, 不同浏览器才会有不同的记录
删除session
request.session.delete() # 只删除服务端的session
request.session.flush() # 浏览器和服务端全部删除
session也可以设置超时时间
request.session.set_expiry(value多种配置)
session方法大全
# 获取、设置、删除Session中数据
request.session['k1']
request.session.get('k1',None)
request.session['k1'] = 123
request.session.setdefault('k1',123) # 存在则不设置
del request.session['k1']
# 所有 键、值、键值对
request.session.keys()
request.session.values()
request.session.items()
request.session.iterkeys()
request.session.itervalues()
request.session.iteritems()
# 会话session的key
request.session.session_key
# 将所有Session失效日期小于当前日期的数据删除
request.session.clear_expired()
# 检查会话session的key在数据库中是否存在
request.session.exists("session_key")
# 删除当前会话的所有Session数据
request.session.delete()
# 删除当前的会话数据并删除会话的Cookie。
request.session.flush()
这用于确保前面的会话数据不可以再次被用户的浏览器访问
例如,django.contrib.auth.logout() 函数中就会调用它。
# 设置会话Session和Cookie的超时时间
request.session.set_expiry(value)
* 如果value是个整数,session会在些秒数后失效。
* 如果value是个datatime或timedelta,session就会在这个时间后失效。
* 如果value是0,用户关闭浏览器session就会失效。
* 如果value是None,session会依赖全局session失效策略。
