Cookie、session、中间件
一 cookie 机制
Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。即用户A购买了一件商品放入购物车内,当再次购买商品时服务器已经无法判断该购买行为是属于用户A的会话还是用户B的会话了。Cookie可以弥补HTTP协议无状态的不足。在Session出现之前,基本上所有的网站都采用Cookie来跟踪会话。cookie有如下特点:
- cookie是保存在用户浏览器的已加密的键值对
- 可以被主动清除(浏览器界面、前端、后台)
- 可以被"伪造"
- 处于隐私保护的目的,禁止跨域共享:即www.googole.com和www.baidu.com各自的cookie不可被共享,因为域名对应的谷歌公司和百度公司服务器是不同的。
1. 查看cookie
2. 获取cookie
request.COOKIES.get('key') request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None)
- default: 默认值
- salt: 加密盐
- max_age: 后台控制过期时间
3. 设置cookie
rep = HttpResponse(...) rep = render(request, ...) #rep是Httpresponse对象 rep.set_cookie(key,value,...) rep.set_signed_cookie(key,value,salt='加密盐', max_age=None, ...)
属 性 名 | 描 述 |
String name | 该Cookie的名称。Cookie一旦创建,名称便不可更改 |
Object value | 该Cookie的值。如果值为Unicode字符,需要为字符编码。如果值为二进制数据,则需要使用BASE64编码 |
int maxAge | 该Cookie失效的时间,单位秒。如果为正数,则该Cookie在maxAge秒之后失效。如果为负数,该Cookie为临时Cookie,关闭浏览器即失效,浏览器也不会以任何形式保存该Cookie。如果为0,表示删除该Cookie。默认为–1 |
boolean secure | 该Cookie是否仅被使用安全协议传输。安全协议。安全协议有HTTPS,SSL等,在网络上传输数据之前先将数据加密。默认为false。当使用https式,必须要secure设置为Y=True。 |
String path | 该Cookie的使用路径。如果设置为“/sessionWeb/”,则只有contextPath为“/sessionWeb”的程序可以访问该Cookie。如果设置为“/”,则本域名下contextPath都可以访问该Cookie。注意最后一个字符必须为“/” |
String domain | 可以访问该Cookie的域名。如果设置为“.google.com”,则所有以“google.com”结尾的域名都可以访问该Cookie。注意第一个字符必须为“.” |
boolean httponly | 限制在浏览器控制台获取键值对,但无法对抓包工具进行限制。 |
4. 删除cookie
def logout(request): rep = redirect("/login/") rep.delete_cookie("user") # 删除用户浏览器上之前设置的usercookie值 return rep
cookie验证实例
# cookie验证 def login_required(fn): def inner(request): if request.COOKIES.get('set_cookie') == '111': ret = fn(request) # 验证成功 return ret else: # 验证失败,获取当前点击界面,以备登录后跳转 info = request.path_info return redirect('/mainapp/login/?next={}'.format(info)) return inner def login(request): if request.method == 'POST': name = request.POST.get('name') pwd = request.POST.get('pwd') next = request.GET.get('next') if name == 'matt' and pwd == '123': if next: ret = redirect('%s'%next) else: ret = redirect('/mainapp/author/') ret.set_cookie('set_cookie', '111') return ret else: return render(request, 'login.html') return render(request, 'login.html')
二 session
session存储在数据库中
Cookie虽然在一定程度上解决了“保持状态”的需求,但是由于Cookie本身最大支持4096字节,以及Cookie本身保存在客户端,可能被拦截或窃取。
session则是在request到来时,通过SessionMiddleWare中间件,在进行视图函数执行之前,做了一些操作。它在Cookie中生成了一段随机字符串作为session id(给每个客户端的Cookie分配一个唯一的id),并且将key-value随机化处理,存储到了服务器(django默认存在django_session表里)。
总结:Cookie弥补了HTTP无状态的不足,让服务器知道来的人是“谁”;但是Cookie以文本的形式保存在本地,自身安全性较差,且文本容量下;Session可对数据进行加密,能够保存超过4096字节的文本。Cookie和Session是共通的,不限于语言和框架。
1. session方法
# 获取、设置、删除Session中数据 request.session['k1'] request.session.get('k1',None) request.session['k1'] = 123 request.session.setdefault('k1',123) # 存在则不设置 del request.session['k1'] # 所有 键、值、键值对 request.session.keys() request.session.values() request.session.items() request.session.iterkeys() request.session.itervalues() request.session.iteritems() # 会话session的key request.session.session_key # 将所有Session失效日期小于当前日期的数据删除 request.session.clear_expired() # 检查会话session的key在数据库中是否存在 request.session.exists("session_key") # 删除当前会话的所有Session数据 request.session.delete() # 删除当前的会话数据并删除会话的Cookie。 request.session.flush() 这用于确保前面的会话数据不可以再次被用户的浏览器访问 例如,django.contrib.auth.logout() 函数中就会调用它。 # 设置会话Session和Cookie的超时时间 request.session.set_expiry(value) * 如果value是个整数,session会在些秒数后失效。 * 如果value是个datatime或timedelta,session就会在这个时间后失效。 * 如果value是0,用户关闭浏览器session就会失效。 * 如果value是None,session会依赖全局session失效策略。
2. session配置
查看全局配置
from django.conf import global_settings
session全局配置
1. 数据库Session SESSION_ENGINE = 'django.contrib.sessions.backends.db' # 引擎(默认) 2. 缓存Session SESSION_ENGINE = 'django.contrib.sessions.backends.cache' # 引擎 SESSION_CACHE_ALIAS = 'default' # 使用的缓存别名(默认内存缓存,也可以是memcache),此处别名依赖缓存的设置 3. 文件Session SESSION_ENGINE = 'django.contrib.sessions.backends.file' # 引擎 SESSION_FILE_PATH = None # 缓存文件路径,如果为None,则使用tempfile模块获取一个临时地址tempfile.gettempdir() 4. 缓存+数据库 SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db' # 引擎 5. 加密Cookie Session SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies' # 引擎 其他公用设置项: SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认) SESSION_COOKIE_PATH = "/" # Session的cookie保存的路径(默认) SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默认) SESSION_COOKIE_SECURE = False # 是否Https传输cookie(默认) SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http传输(默认) SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(默认) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否关闭浏览器使得Session过期(默认) SESSION_SAVE_EVERY_REQUEST = False # 是否每次请求都保存Session,默认修改之后才保存(默认)
session实例验证
# session验证 def login_required(fn): def inner(request): # if request.COOKIES.get('set_cookie') == '111': if request.session.get('set_session') == '111': ret = fn(request) # 验证成功 return ret else: # 验证失败,获取当前点击界面,以备登录后跳转 info = request.path_info return redirect('/mainapp/login/?next={}'.format(info)) return inner def login(request): if request.method == 'POST': name = request.POST.get('name') pwd = request.POST.get('pwd') next = request.GET.get('next') if name == 'matt' and pwd == '123': request.session['set_session'] = '111' if next: ret = redirect('%s' % next) else: ret = redirect('/mainapp/author/') # ret.set_cookie('set_cookie', '111') return ret else: return render(request, 'login.html') return render(request, 'login.html') @login_required def author(request): obj = models.Author.objects.all() return render(request, 'author.html', {'obj': obj})
3. 补充
- csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
- csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。
from django.views.decorators.csrf import csrf_exempt, csrf_protect from django.utils.decorators import method_decorator
三 中间件
中间件是一个用来处理Django的请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。中间件是在视图函数执行之前和执行之后都可以做一些额外的操作,它本质上就是一个自定义类,类中定义了几个方法,Django框架会在请求的特定的时间去执行这些方法。
1. 作用
- IP限制,频繁登录限制
- session检测
- 缓存,客户端请求来了,中间件去缓存查看是否有数据,若有直接返回给客户端,没有再去逻辑层执行视图函数
2. 自定义中间件
中间件可以定义五个方法,分别是:(主要的是process_request和process_response)
- process_request(self,request)
- process_view(self, request, view_func, view_args, view_kwargs)
- process_template_response(self,request,response)
- process_exception(self, request, exception)
- process_response(self, request, response)
在setting.py中注册中间件
MIDDLEWARE = [ ...'django.middleware.clickjacking.XFrameOptionsMiddleware', 'app01.views.CustomizeMiddleware' #创建的自定义中间件类(路径 + 类名) ]
2.1 request_process(self,request)
- 在URL解析、视图函数之前执行的。
- 正序执行
- 不同中间件之间传递的request都是同一个对象
- 若返回值时Httpresponse,直接执行当前的中间件的process_response方法。
from django.shortcuts import HttpResponse from django.utils.deprecation import MiddlewareMixin class CustomizeMiddleware(MiddlewareMixin): def process_request(self, request): allowed_ip = ['192.168.1.1',] # 允许/禁止访问的ip地址列表,判断请求ip, 放行/阻拦 if request.META.get('REMOTE_ADDR') not in allowed_ip: return HttpResponse('您的IP地址无权访问') else: return None
2.2 process_view(self, request, view_func, view_args, view_kwargs)
request是HttpRequest对象。
view_func是Django即将使用的视图函数。 (它是实际的函数对象,而不是函数的名称作为字符串。)
view_args是将传递给视图的位置参数的列表.
view_kwargs是将传递给视图的关键字参数的字典。 view_args和view_kwargs都不包含第一个视图参数(request)。
- 在URL解析之后,视图函数之前执行。
- 正序执行
- 若返回值时Httpresponse,直接执行最底层中间件的process_response方法。
2.3 process_exception(self, request, exception)
request:HttpRequest对象
exception:视图函数异常产生的Exception对象。
视图中出现异常,就会被执行,默认不执行
from django.shortcuts import HttpResponse class CustomizeMiddleware(MiddlewareMixin): def process_exception(self, request, exception): return HttpResponse('在处理中间件时,抛出了异常,就会走这里哦~')
- 在URL解析、视图函数之后执行。
- 倒序执行
- 若返回值时Httpresponse,直接执行最底层中间件的process_response方法。
2.4 process_template_response(self,request,response)(很少使用)
request:HttpRequest对象
response:TemplateResponse对象(由视图函数或者中间件产生)
视图函数执行完之后,立即执行了中间件的process_template_response方法,顺序是倒序,先执行CustomizeMiddleware3的,再执行CustomizeMiddleware2的,接着执行了视图函数返回的HttpResponse对象的render方法,返回了一个新的HttpResponse对象,接着执行中间件的process_response方法。
2.5 process_response(self, request, response)
class CustomizeMiddleware(MiddlewareMixin): def process_response(self, request, response): print('处理一些逻辑条件等......') return response
- 在URL解析、视图函数之后执行。
- 倒序执行
实例:
class MD1(MiddlewareMixin): def process_request(self, request): print("MD1里面的 process_request") def process_response(self, request, response): print("MD1里面的 process_response") return response def process_view(self, request, view_func, view_args, view_kwargs): print("-" * 80) print("MD1 中的process_view") print(view_func, view_func.__name__) def process_exception(self, request, exception): print(exception) print("MD1 中的process_exception") return HttpResponse(str(exception)) def process_template_response(self, request, response): print("MD1 中的process_template_response") return response class MD2(MiddlewareMixin): def process_request(self, request): print("MD2里面的 process_request") pass def process_response(self, request, response): print("MD2里面的 process_response") return response def process_view(self, request, view_func, view_args, view_kwargs): print("-" * 80) print("MD2 中的process_view") print(view_func, view_func.__name__) def process_exception(self, request, exception): print(exception) print("MD2 中的process_exception") def process_template_response(self, request, response): print("MD2 中的process_template_response") return response
views.py中:
def index(request): print("app01 中的 index视图") def render(): print("in index/render") return HttpResponse("O98K") rep = HttpResponse("OK") rep.render = render return rep
访问index视图,终端输出的结果:
MD2里面的 process_request MD1里面的 process_request -------------------------------------------------------------------------------- MD2 中的process_view <function index at 0x000001C111B97488> index -------------------------------------------------------------------------------- MD1 中的process_view <function index at 0x000001C111B97488> index app01 中的 index视图 MD1 中的process_template_response MD2 中的process_template_response in index/render MD1里面的 process_response MD2里面的 process_response
实例:
from django.utils.deprecation import MiddlewareMixin from django.shortcuts import redirect, HttpResponse, render import time # session验证 class MD1(MiddlewareMixin): black_list = ['/press/'] white_list = ['/mainapp/login/'] def process_request(self, request): info = request.path_info if request.session.get('set_session') == '111' or info in self.white_list: return None else: return redirect('/mainapp/login/?next={}'.format(info)) # 10s内请求不能超过三次 class Ipcount(MiddlewareMixin): ip_list = {} def process_request(self, request): ip_name = request.META.get('REMOTA_ADDR') if ip_name in self.ip_list: time_list = self.ip_list[ip_name] time_list.append(time.time()) if len(time_list) > 3: if time_list[-1] - time_list[0] < 10: time_list.pop() return HttpResponse('太频繁') else: time_list.pop(0) else: self.ip_list[ip_name] = [time.time()]
3. 执行流程
4. 带有中间件Django流程