cookie和session

cookie和session介绍

1. 很久以前，网站都是静态的，eg: 新闻类，博客类
    # 静态网站不需要登录
    
2. 随着发展，后续诞生了支付宝，购物网站...
    # 动态网站需要登录
    
3. HTTP协议的特点：
    3.1 无状态
        诞生了保存用户数据的cookie，session，token
4. cookie介绍
    '''
        cookie把数据保存在浏览器上，以登录功能为例，cookie的工作原理
        当用户第一次登录成功之后，django后端把用户数据保存在浏览器上，浏览器会自动把用户数据提交到django后端，django接收传过来的用户信息，再次做验证，如果正确，则正常登录
        
    '''
    # 用户名和密码存在浏览器上，不安全
5. 为了解决浏览器数据不安全问题，诞生了session
    '''
        session解决的是安全问题，把数据保存在后端，在django中，session把数据保存在数据库中（默认保存的）,session会把数据保存在django生成的django_session表中、
        工作原理：
            当用户第一次登录成功之后，django会自动生成一个随机字符串，与用户的真实信息做一个对应：
            随机字符串1：用户信息1
            随机字符串2：用户信息2
            随机字符串3：用户信息3
        django会把随机字符串返回给浏览器，说白了，把随机字符串保存在cookie里了，当用户再次进入网站的时候，浏览器会自动把随机字符串提交过来，
　　　　　django会拿着随机字符串去django_session表中查找对应的信息，如果有，则说明已经登录了，如果没有，说明没有登录、
        
    '''
6. session是基于cookie工作的？正确
7. 如果用户主动进制了cookie，那么，session就一定不能用了？不是
    7.1 把随机字符串以参数的形式提交到django
    7.2 把数据放到请求头中
    
总结：
    1. cookie的数据保存在浏览器
    2. session的数据保存在数据库，session的保存位置是可以更改的：
        2.1 文件
        2.2 数据库
        2.3 redis
        2.4 memcache
        2.5 消息队列
    3. 专业的消息队列工具：
        3.1 kafka
         3.2 rabbitmq
         3.3 HTTPsqs
        
    4. session是基于cookie工作的

 

django操作cookie

# 虽然cookie是服务端告诉客户端浏览器需要保存内容
# 但是客户端浏览器可以选择拒绝保存 如果禁止了 那么 只要是需要记录用户状态的网站登陆功能都无法使用了

# 视图函数的返回值
return HttpResponse()
return render()
return redirect()

obj1 = HttpResponse()
obj1 = render()
obj1 = redirect()
return obj1
# 如果你想要操作cookie，你就不得不利用obj对象


"""
设置cookie
    obj.set_cookie(key,value)
参数：
key, 键
value='', 值
max_age=None, 超时时间
expires=None, 超时时间(IE requires expires, so set it if hasn't been already.)
path='/', Cookie生效的路径，/ 表示根路径，特殊的：根路径的cookie可以被任何url的页面访问
domain=None, Cookie生效的域名
secure=False, https传输
httponly=False 只能http协议传输，无法被JavaScript获取（不是绝对，底层抓包可以获取到也可以被覆盖）

获取cookie
    request.COOKIES.get(key)
在设置cookie的时候可以添加一个超时时间
    obj.set_cookie('username', 'jason666',max_age=3,expires=3)
    default: 默认值
    max_age
    expires
        两者都是设置超时时间的 并且都是以秒为单位
        需要注意的是 针对IE浏览器需要使用expires
主动删除cookie(注销功能)
    obj.delete_cookie("user")

 

使用cookies完成用户登录验证功能

"""
# 完成一个真正的登陆功能
# 校验用户是否登陆的装饰器
"""
用户如果在没有登陆的情况下想访问一个需要登陆的页面
那么先跳转到登陆页面 当用户输入正确的用户名和密码之后
应该跳转到用户之前想要访问的页面去 而不是直接写死
"""
def login_auth(func):
    def inner(request,*args,**kwargs):
        # print(request.path_info)
        # print(request.get_full_path())  # 能够获取到用户上一次想要访问的url
        target_url = request.get_full_path()
        if request.COOKIES.get('username'):
            return func(request,*args,**kwargs)
        else:
            return redirect('/login/?next=%s'%target_url)
    return inner

def login(request):
    if request.method == 'POST':
        username = request.POST.get('username')
        password = request.POST.get('password')
        if username == 'jason' and password == '123':

            # 获取用户上一次想要访问的url
            target_url = request.GET.get('next')  # 这个结果可能是None
            if target_url:
                obj = redirect(target_url)
            else:
                # 保存用户登陆状态
                obj = redirect('/home/')
            # 让浏览器记录cookie数据
            obj.set_cookie('username', 'jason666')
            """
            浏览器不单单会帮你存
            而且后面每次访问你的时候还会带着它过来
            """
            # 跳转到一个需要用户登陆之后才能看的页面
            return obj
    return render(request,'login.html')


@login_auth
def home(request):
    # 获取cookie信息 判断你有没有
    # if request.COOKIES.get('username') == 'jason666':
    #     return HttpResponse("我是home页面，只有登陆的用户才能进来哟~")
    # # 没有登陆应该跳转到登陆页面
    # return redirect('/login/')
    return HttpResponse("我是home页面，只有登陆的用户才能进来哟~")

 

session操作

"""
session数据是保存在服务端的(存？)，给客户端返回的是一个随机字符串
    sessionid:随机字符串
    
1.在默认情况下操作session的时候需要django默认的一张django_session表
    数据库迁移命令
        django会自己创建很多表    django_session就是其中的一张
        

django默认session的过期时间是14天
    但是你也可以人为的修改它
    

设置session    
request.session['key'] = value

获取session
request.session.get('key')

设置过期时间
request.session.set_expiry()
    括号内可以放四种类型的参数
        1.整数                        多少秒
        2.日期对象               到指定日期就失效
        3.0                                一旦当前浏览器窗口关闭立刻失效
        4.不写                        失效时间就取决于django内部全局session默认的失效时间

清除session    
    request.session.delete()  # 只删服务端的 客户端的不删
    request.session.flush()  # 浏览器和服务端都清空(推荐使用)


session是保存在服务端的 但是session的保存位置可以有多种选择
    1.MySQL
    2.文件
    3.redis
    4.memcache
    ...
    

django_session表中的数据条数是取决于浏览器的
    同一个计算机上(IP地址)同一个浏览器只会有一条数据生效
    (当session过期的时候可能会出现多条数据对应一个浏览器，但是该现象不会持续很久，内部会自动识别过期的数据清除 你也可以通过代码清除)
    
    主要是为了节省服务端数据库资源
"""

request.session['hobby'] = 'girl'
    """
    内部发生了哪些事
        1.django内部会自动帮你生成一个随机字符串
        2.django内部自动将随机字符串和对应的数据存储到django_session表中
            2.1先在内存中产生操作数据的缓存
            2.2在响应结果django中间件的时候才真正的操作数据库
        3.将产生的随机字符串返回给客户端浏览器保存
    """
request.session.get('hobby')
    """
    内部发生了哪些事
        1.自动从浏览器请求中获取sessionid对应的随机字符串
        2.拿着该随机字符串去django_session表中查找对应的数据
        3.
            如果比对上了 则将对应的数据取出并以字典的形式封装到request.session中
            如果比对不上 则request.session.get()返回的是None
    """

 

session的相关方法

# 获取、设置、删除Session中数据
request.session['k1']
request.session.get('k1',None)
request.session['k1'] = 123
request.session.setdefault('k1',123) # 存在则不设置
del request.session['k1']


# 所有 键、值、键值对
request.session.keys()
request.session.values()
request.session.items()
request.session.iterkeys()
request.session.itervalues()
request.session.iteritems()

# 会话session的key
request.session.session_key

# 将所有Session失效日期小于当前日期的数据删除
request.session.clear_expired()

# 检查会话session的key在数据库中是否存在
request.session.exists("session_key")

# 删除当前会话的所有Session数据
request.session.delete()
　　
# 删除当前的会话数据并删除会话的Cookie。
request.session.flush() 
    这用于确保前面的会话数据不可以再次被用户的浏览器访问
    例如，django.contrib.auth.logout() 函数中就会调用它。

# 设置会话Session和Cookie的超时时间
request.session.set_expiry(value)
    * 如果value是个整数，session会在些秒数后失效。
    * 如果value是个datatime或timedelta，session就会在这个时间后失效。
    * 如果value是0,用户关闭浏览器session就会失效。
    * 如果value是None,session会依赖全局session失效策略。

 

session的相关设置

1. 数据库Session
SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎（默认）

2. 缓存Session
SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
SESSION_CACHE_ALIAS = 'default'                            # 使用的缓存别名（默认内存缓存，也可以是memcache），此处别名依赖缓存的设置

3. 文件Session
SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎
SESSION_FILE_PATH = None                                    # 缓存文件路径，如果为None，则使用tempfile模块获取一个临时地址tempfile.gettempdir() 

4. 缓存+数据库
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'        # 引擎

5. 加密Cookie Session
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'   # 引擎

其他公用设置项：
SESSION_COOKIE_NAME ＝ "sessionid"                       # Session的cookie保存在浏览器上时的key，即：sessionid＝随机字符串（默认）
SESSION_COOKIE_PATH ＝ "/"                               # Session的cookie保存的路径（默认）
SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名（默认）
SESSION_COOKIE_SECURE = False                            # 是否Https传输cookie（默认）
SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http传输（默认）
SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期（2周）（默认）
SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否关闭浏览器使得Session过期（默认）
SESSION_SAVE_EVERY_REQUEST = False                       # 是否每次请求都保存Session，默认修改之后才保存（默认）

 

CBV如何添加装饰器

from django.views import View
from django.utils.decorators import method_decorator
"""
CBV中django不建议你直接给类的方法加装饰器
无论该装饰器能都正常给你 都不建议直接加
"""

# @method_decorator(login_auth,name='get')  # 方式2(可以添加多个针对不同的方法加不同的装饰器)
# @method_decorator(login_auth,name='post')
class MyLogin(View):
    @method_decorator(login_auth)  # 方式3:它会直接作用于当前类里面的所有的方法
    def dispatch(self, request, *args, **kwargs):
        return super().dispatch(request,*args,**kwargs)
    # @method_decorator(login_auth)  # 方式1:指名道姓
    def get(self,request):
        return HttpResponse("get请求")

    def post(self,request):
        return HttpResponse('post请求')