Django cookie和session组件
什么是cookie
cookie就是存储在客户端浏览器上的键值对,其实Cookie是key-value结构,类似于一个python中的字典。随着服务器端的响应发送给客户端浏览器。然后客户端浏览器会把Cookie保存起来,当下一次再访问服务器时把Cookie再发送给服务器。 Cookie是由服务器创建,然后通过响应发送给客户端的一个键值对。客户端会保存Cookie,并会标注出Cookie的来源(哪个服务器的Cookie)。当客户端向服务器发出请求时会把所有这个服务器Cookie包含在请求中发送给服务器,这样服务器就可以识别客户端了!
cookie原理
服务器产生,发给客户端浏览器,浏览器保存起来,下次发请求,会携带这个键值对到服务器
Cookie的覆盖
如果服务器端发送重复的Cookie那么会覆盖原有的Cookie,例如客户端的第一个请求服务器端发送的Cookie是:Set-Cookie: a=A;第二请求服务器端发送的是:Set-Cookie: a=AA,那么客户端只留下一个Cookie,即:a=AA。
获取Cookie
request.COOKIES['key'] request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None)
参数:
- default: 默认值
- salt: 加密盐
- max_age: 后台控制过期时间
Cookie设置
obj = HttpResponse(...)
obj = render(request, ...)
写cookie: obj.set_cookie(key,value) return obj 删除cookie: obj.delete_cookie('name') return obj 加盐,123是个密码,解cookie的时候需要它, object.set_signed_cookie('name','lay',salt='123') return obj 5秒之后失效,三天失效 object.set_cookie('name','lay',max_age=60*60*24*3) return obj path object.set_cookie('name', 'lqz', path='/shopping/')
return obj
参数:
- key, 键
- value='', 值
- max_age=None, 超时时间 cookie需要延续的时间(以秒为单位)如果参数是\ None`` ,这个cookie会延续到浏览器关闭为止
- expires=None, 超时时间(IE requires expires, so set it if hasn't been already.)
- path='/', Cookie生效的路径,/ 表示根路径,特殊的:根路径的cookie可以被任何url的页面访问,浏览器只会把cookie回传给带有该路径的页面,这样可以避免将cookie传给站点中的其他的应用。
- domain=None, Cookie生效的域名 你可用这个参数来构造一个跨站cookie。如, domain=".example.com"所构造的cookie对下面这些站点都是可读的:www.example.com 、 www2.example.com 和an.other.sub.domain.example.com 。如果该参数设置为 None ,cookie只能由设置它的站点读取
- secure=False, 浏览器将通过HTTPS来回传cookie
- httponly=False 只能http协议传输,无法被JavaScript获取(不是绝对,底层抓包可以获取到也可以被覆盖)
Cookie登陆校验
def auto_login(func):
def inner(request,*args,**kwargs):
is_login=request.COOKIES.get('is_login')
url=request.get_full_path()
print(url)
if is_login:
res=func(request,*args,**kwargs)
return res
else:
return redirect('/login/?returnurl=%s'%url)
return inner
def login(request):
if request.method=='GET':
return render(request,'login.html')
else:
returnurl=request.GET.get('returnurl')
name=request.POST.get('name')
pwd=request.POST.get('pwd')
if name=='lll' and pwd=='123':
if returnurl:
obj=redirect(returnurl)
else:
obj=redirect('/login/')
obj.set_cookie('is_login',True)
return obj
return HttpResponse('账号密码错误')
@auto_login
def order(request):
return HttpResponse('订单')
session介绍
- 解决cookie不安全的问题,
- 存在服务器上的键值对{'随机字符串':{name:lll,pwd:123}}
- 用session必须跟cookie连用
session解析图
session使用方法
# 获取、设置、删除Session中数据
#获取session中键为k1的值 request.session['k1'] request.session.get('k1',None)
#设置session中键为k1值为123 request.session['k1'] = 123
'''设置内部机制
1 生成随机字符串:dfasfasdfa
2 去数据库存储
随机字符串 值 (字典形式) 超时时间
dfasfasdfa {'name':'lqz','age':18,'sex':'男'} 超时时间
3 写入scookie(set_cookie('sessionid','dfasfasdfa'))
'''
request.session.setdefault('k1',123) # 存在则不设置
#删除session数据 del request.session['k1']
name=request.session['name']
# 正常流程
# 去cookie中取出随机字符串
# 取session那个表去查询,取出session_data的数据,解密成字典,然后取name的值
# 所有 键、值、键值对 request.session.keys() request.session.values() request.session.items() request.session.iterkeys() request.session.itervalues() request.session.iteritems() # 会话session的key request.session.session_key
#内部执行 request.COOKIES.get('sessionid') 拿到sessionid # 将所有Session失效日期小于当前日期的数据删除 request.session.clear_expired() # 检查会话session的key在数据库中是否存在 request.session.exists("session_key") # 删除当前会话的所有Session数据(只删数据库) request.session.delete() # 删除当前的会话数据并删除会话的Cookie(数据库和cookie都删)。 request.session.flush() 这用于确保前面的会话数据不可以再次被用户的浏览器访问 例如,django.contrib.auth.logout() 函数中就会调用它。 # 设置会话Session和Cookie的超时时间 request.session.set_expiry(value) * 如果value是个整数,session会在些秒数后失效。 * 如果value是个datatime或timedelta,session就会在这个时间后失效。 * 如果value是0,用户关闭浏览器session就会失效。 * 如果value是None,session会依赖全局session失效策略。
Session配置
在django的settings文件内配置
1. 数据库Session SESSION_ENGINE = 'django.contrib.sessions.backends.db' # 引擎(默认) 2. 缓存Session SESSION_ENGINE = 'django.contrib.sessions.backends.cache' # 引擎 SESSION_CACHE_ALIAS = 'default' # 使用的缓存别名(默认内存缓存,也可以是memcache),此处别名依赖缓存的设置 3. 文件Session SESSION_ENGINE = 'django.contrib.sessions.backends.file' # 引擎 SESSION_FILE_PATH = None # 缓存文件路径,如果为None,则使用tempfile模块获取一个临时地址tempfile.gettempdir() 4. 缓存+数据库 SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db' # 引擎 5. 加密Cookie Session SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies' # 引擎 其他公用设置项: SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认) SESSION_COOKIE_PATH = "/" # Session的cookie保存的路径(默认) SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默认) SESSION_COOKIE_SECURE = False # 是否Https传输cookie(默认) SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http传输(默认) SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(默认) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否关闭浏览器使得Session过期(默认) SESSION_SAVE_EVERY_REQUEST = False # 是否每次请求都保存Session,默认修改之后才保存(默认)
session登陆检验
def auto_login(func):
def inner(request, *args, **kwargs):
nexturl = request.get_full_path()
if request.session.get('is_login'):
res = func(request, *args, **kwargs)
return res
else:
return redirect('/login/?nexturl=%s' % nexturl)
return inner
def login(request):
if request.method == 'GET':
return render(request, 'login.html')
else:
nexturl = request.GET.get('nexturl')
name = request.POST.get('name')
pwd = request.POST.get('pwd')
if name == 'lay' and pwd == '123':
if nexturl:
obj = redirect(nexturl)
else:
obj = redirect('/login/')
request.session['is_login'] = True
request.session['name'] = name
request.session['pwd'] = pwd
return obj
return HttpResponse('错误')
@auto_login
def order(request):
return HttpResponse('订单')
@auto_login
def shop(request):
return HttpResponse('购物')
