Cookie、session、中间件

一  cookie 机制

Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。即用户A购买了一件商品放入购物车内,当再次购买商品时服务器已经无法判断该购买行为是属于用户A的会话还是用户B的会话了。Cookie可以弥补HTTP协议无状态的不足。在Session出现之前,基本上所有的网站都采用Cookie来跟踪会话。cookie有如下特点:

  • cookie是保存在用户浏览器的已加密的键值对
  • 可以被主动清除(浏览器界面、前端、后台)
  • 可以被"伪造"
  • 处于隐私保护的目的,禁止跨域共享:即www.googole.com和www.baidu.com各自的cookie不可被共享,因为域名对应的谷歌公司和百度公司服务器是不同的。

1. 查看cookie

 2. 获取cookie

request.COOKIES.get('key')
request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None)
  • default: 默认值
  • salt: 加密盐
  • max_age: 后台控制过期时间

3. 设置cookie

rep = HttpResponse(...)
rep = render(request, ...)
#rep是Httpresponse对象

rep.set_cookie(key,value,...)
rep.set_signed_cookie(key,value,salt='加密盐', max_age=None, ...)
属  性  名 描    述
String name 该Cookie的名称。Cookie一旦创建,名称便不可更改
Object value 该Cookie的值。如果值为Unicode字符,需要为字符编码。如果值为二进制数据,则需要使用BASE64编码
int maxAge 该Cookie失效的时间,单位秒。如果为正数,则该Cookie在maxAge秒之后失效。如果为负数,该Cookie为临时Cookie,关闭浏览器即失效,浏览器也不会以任何形式保存该Cookie。如果为0,表示删除该Cookie。默认为–1
boolean secure 该Cookie是否仅被使用安全协议传输。安全协议。安全协议有HTTPS,SSL等,在网络上传输数据之前先将数据加密。默认为false。当使用https式,必须要secure设置为Y=True。
String path 该Cookie的使用路径。如果设置为“/sessionWeb/”,则只有contextPath为“/sessionWeb”的程序可以访问该Cookie。如果设置为“/”,则本域名下contextPath都可以访问该Cookie。注意最后一个字符必须为“/”
String domain 可以访问该Cookie的域名。如果设置为“.google.com”,则所有以“google.com”结尾的域名都可以访问该Cookie。注意第一个字符必须为“.”
boolean httponly 限制在浏览器控制台获取键值对,但无法对抓包工具进行限制。

4. 删除cookie

def logout(request):
    rep = redirect("/login/")
    rep.delete_cookie("user")  # 删除用户浏览器上之前设置的usercookie值
    return rep

cookie验证实例

# cookie验证
def login_required(fn):
    def inner(request):
        if request.COOKIES.get('set_cookie') == '111':
            ret = fn(request)
            # 验证成功
            return ret
        else:
            # 验证失败,获取当前点击界面,以备登录后跳转
            info = request.path_info
            return redirect('/mainapp/login/?next={}'.format(info))
    return inner

def login(request):
    if request.method == 'POST':
        name = request.POST.get('name')
        pwd = request.POST.get('pwd')
        next = request.GET.get('next')
        if name == 'matt' and pwd == '123':
            if next:
                ret = redirect('%s'%next)
            else:
                ret = redirect('/mainapp/author/')
            ret.set_cookie('set_cookie', '111')
            return ret
        else:
            return render(request, 'login.html')
    return render(request, 'login.html')

二  session

session存储在数据库中

Cookie虽然在一定程度上解决了“保持状态”的需求,但是由于Cookie本身最大支持4096字节,以及Cookie本身保存在客户端,可能被拦截或窃取。

session则是在request到来时,通过SessionMiddleWare中间件,在进行视图函数执行之前,做了一些操作。它在Cookie中生成了一段随机字符串作为session id(给每个客户端的Cookie分配一个唯一的id),并且将key-value随机化处理,存储到了服务器(django默认存在django_session表里)。

总结:Cookie弥补了HTTP无状态的不足,让服务器知道来的人是“谁”;但是Cookie以文本的形式保存在本地,自身安全性较差,且文本容量下;Session可对数据进行加密,能够保存超过4096字节的文本。Cookie和Session是共通的,不限于语言和框架。

1. session方法

# 获取、设置、删除Session中数据
request.session['k1']
request.session.get('k1',None)
request.session['k1'] = 123
request.session.setdefault('k1',123) # 存在则不设置
del request.session['k1']

# 所有 键、值、键值对
request.session.keys()
request.session.values()
request.session.items()
request.session.iterkeys()
request.session.itervalues()
request.session.iteritems()

# 会话session的key
request.session.session_key

# 将所有Session失效日期小于当前日期的数据删除
request.session.clear_expired()

# 检查会话session的key在数据库中是否存在
request.session.exists("session_key")

# 删除当前会话的所有Session数据
request.session.delete()
  
# 删除当前的会话数据并删除会话的Cookie。
request.session.flush() 
    这用于确保前面的会话数据不可以再次被用户的浏览器访问
    例如,django.contrib.auth.logout() 函数中就会调用它。

# 设置会话Session和Cookie的超时时间
request.session.set_expiry(value)
    * 如果value是个整数,session会在些秒数后失效。
    * 如果value是个datatime或timedelta,session就会在这个时间后失效。
    * 如果value是0,用户关闭浏览器session就会失效。
    * 如果value是None,session会依赖全局session失效策略。

2. session配置

查看全局配置

from django.conf import global_settings

session全局配置

1. 数据库Session
SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎(默认)

2. 缓存Session
SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
SESSION_CACHE_ALIAS = 'default'                            # 使用的缓存别名(默认内存缓存,也可以是memcache),此处别名依赖缓存的设置

3. 文件Session
SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎
SESSION_FILE_PATH = None                                    # 缓存文件路径,如果为None,则使用tempfile模块获取一个临时地址tempfile.gettempdir() 

4. 缓存+数据库
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'        # 引擎

5. 加密Cookie Session
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'   # 引擎

其他公用设置项:
SESSION_COOKIE_NAME = "sessionid"                       # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认)
SESSION_COOKIE_PATH = "/"                               # Session的cookie保存的路径(默认)
SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名(默认)
SESSION_COOKIE_SECURE = False                            # 是否Https传输cookie(默认)
SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http传输(默认)
SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期(2周)(默认)
SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否关闭浏览器使得Session过期(默认)
SESSION_SAVE_EVERY_REQUEST = False                       # 是否每次请求都保存Session,默认修改之后才保存(默认)

session实例验证

# session验证
def login_required(fn):
    def inner(request):
        # if request.COOKIES.get('set_cookie') == '111':
        if request.session.get('set_session') == '111':
            ret = fn(request)
            # 验证成功
            return ret
        else:
            # 验证失败,获取当前点击界面,以备登录后跳转
            info = request.path_info
            return redirect('/mainapp/login/?next={}'.format(info))
    return inner

def login(request):
    if request.method == 'POST':
        name = request.POST.get('name')
        pwd = request.POST.get('pwd')
        next = request.GET.get('next')
        if name == 'matt' and pwd == '123':
            request.session['set_session'] = '111'
            if next:
                ret = redirect('%s' % next)
            else:
                ret = redirect('/mainapp/author/')
            # ret.set_cookie('set_cookie', '111')
            return ret
        else:
            return render(request, 'login.html')
    return render(request, 'login.html')

@login_required
def author(request):
    obj = models.Author.objects.all()
    return render(request, 'author.html', {'obj': obj})

3. 补充

  • csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
  • csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。
from django.views.decorators.csrf import csrf_exempt, csrf_protect
from django.utils.decorators import method_decorator

三  中间件

中间件是一个用来处理Django的请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。中间件是在视图函数执行之前和执行之后都可以做一些额外的操作,它本质上就是一个自定义类,类中定义了几个方法,Django框架会在请求的特定的时间去执行这些方法。

1. 作用

  • IP限制,频繁登录限制
  • session检测
  • 缓存,客户端请求来了,中间件去缓存查看是否有数据,若有直接返回给客户端,没有再去逻辑层执行视图函数

2. 自定义中间件

中间件可以定义五个方法,分别是:(主要的是process_request和process_response)

  • process_request(self,request)
  • process_view(self, request, view_func, view_args, view_kwargs)
  • process_template_response(self,request,response)
  • process_exception(self, request, exception)
  • process_response(self, request, response)

在setting.py中注册中间件

MIDDLEWARE = [
    ...'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'app01.views.CustomizeMiddleware'        #创建的自定义中间件类(路径 + 类名)
]

 

2.1 request_process(self,request)

  • 在URL解析、视图函数之前执行的。
  • 正序执行
  • 不同中间件之间传递的request都是同一个对象
  • 若返回值时Httpresponse,直接执行当前的中间件的process_response方法。
from django.shortcuts import HttpResponse
from django.utils.deprecation import MiddlewareMixin
class CustomizeMiddleware(MiddlewareMixin):
    def process_request(self, request):
        allowed_ip = ['192.168.1.1',]
        # 允许/禁止访问的ip地址列表,判断请求ip, 放行/阻拦
        if request.META.get('REMOTE_ADDR') not in allowed_ip:
            return HttpResponse('您的IP地址无权访问')
        else:
            return None

2.2 process_view(self, request, view_func, view_args, view_kwargs)

request是HttpRequest对象。
view_func是Django即将使用的视图函数。 (它是实际的函数对象,而不是函数的名称作为字符串。)
view_args是将传递给视图的位置参数的列表.
view_kwargs是将传递给视图的关键字参数的字典。 view_args和view_kwargs都不包含第一个视图参数(request)。
  • 在URL解析之后,视图函数之前执行。
  • 正序执行
  • 若返回值时Httpresponse,直接执行最底层中间件的process_response方法。

2.3 process_exception(self, request, exception)

request:HttpRequest对象
exception:视图函数异常产生的Exception对象。

视图中出现异常,就会被执行,默认不执行

from django.shortcuts import HttpResponse
class CustomizeMiddleware(MiddlewareMixin):

    def process_exception(self, request, exception):
        return HttpResponse('在处理中间件时,抛出了异常,就会走这里哦~')
  • 在URL解析、视图函数之后执行。
  • 倒序执行
  • 若返回值时Httpresponse,直接执行最底层中间件的process_response方法。

2.4 process_template_response(self,request,response)(很少使用)

request:HttpRequest对象
response:TemplateResponse对象(由视图函数或者中间件产生)

视图函数执行完之后,立即执行了中间件的process_template_response方法,顺序是倒序,先执行CustomizeMiddleware3的,再执行CustomizeMiddleware2的,接着执行了视图函数返回的HttpResponse对象的render方法,返回了一个新的HttpResponse对象,接着执行中间件的process_response方法。

2.5 process_response(self, request, response)

class CustomizeMiddleware(MiddlewareMixin):

    def process_response(self, request, response):
        print('处理一些逻辑条件等......')
        return response
  • 在URL解析、视图函数之后执行。
  • 倒序执行

实例:

class MD1(MiddlewareMixin):

    def process_request(self, request):
        print("MD1里面的 process_request")

    def process_response(self, request, response):
        print("MD1里面的 process_response")
        return response

    def process_view(self, request, view_func, view_args, view_kwargs):
        print("-" * 80)
        print("MD1 中的process_view")
        print(view_func, view_func.__name__)

    def process_exception(self, request, exception):
        print(exception)
        print("MD1 中的process_exception")
        return HttpResponse(str(exception))

    def process_template_response(self, request, response):
        print("MD1 中的process_template_response")
        return response

class MD2(MiddlewareMixin):
    def process_request(self, request):
        print("MD2里面的 process_request")
        pass

    def process_response(self, request, response):
        print("MD2里面的 process_response")
        return response

    def process_view(self, request, view_func, view_args, view_kwargs):
        print("-" * 80)
        print("MD2 中的process_view")
        print(view_func, view_func.__name__)

    def process_exception(self, request, exception):
        print(exception)
        print("MD2 中的process_exception")

    def process_template_response(self, request, response):
        print("MD2 中的process_template_response")
        return response

views.py中:

def index(request):
    print("app01 中的 index视图")

    def render():
        print("in index/render")
        return HttpResponse("O98K")
    rep = HttpResponse("OK")
    rep.render = render
    return rep

访问index视图,终端输出的结果:

MD2里面的 process_request
MD1里面的 process_request
--------------------------------------------------------------------------------
MD2 中的process_view
<function index at 0x000001C111B97488> index
--------------------------------------------------------------------------------
MD1 中的process_view
<function index at 0x000001C111B97488> index
app01 中的 index视图
MD1 中的process_template_response
MD2 中的process_template_response
in index/render
MD1里面的 process_response
MD2里面的 process_response

实例:

from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import redirect, HttpResponse, render
import time
# session验证
class MD1(MiddlewareMixin):
    black_list = ['/press/']
    white_list = ['/mainapp/login/']

    def process_request(self, request):
        info = request.path_info
        if request.session.get('set_session') == '111' or info in self.white_list:
            return None
        else:
            return redirect('/mainapp/login/?next={}'.format(info))
# 10s内请求不能超过三次
class Ipcount(MiddlewareMixin):
    ip_list = {}
    def process_request(self, request):
        ip_name = request.META.get('REMOTA_ADDR')
        if ip_name in self.ip_list:
            time_list = self.ip_list[ip_name]
            time_list.append(time.time())
            if len(time_list) > 3:
                if time_list[-1] - time_list[0] < 10:
                    time_list.pop()
                    return HttpResponse('太频繁')
                else:
                    time_list.pop(0)
        else:
            self.ip_list[ip_name] = [time.time()]

3. 执行流程

 4. 带有中间件Django流程

 

posted @ 2019-09-30 08:16  jefferyzhang1002  阅读(510)  评论(0编辑  收藏  举报