Python Web框架篇:Django cookie和session
part 1 概念
在Django里面,cookie和session都记录了客户端的某种状态,用来跟踪用户访问网站的整个回话。
两者最大的区别是cookie的信息是存放在浏览器客户端的,而session是存放在服务器端的。
两者使用的方式都是request.COOKIES[XXX]和request.session[XXX],其中XXX是您想要取得的东西的key。
Cookie——保存在客户端浏览器上的键值对
只要是HTTP协议,就会有COOKIE这个东西; 只要您的浏览器没有禁用Cookie,就可是使用它。而且是不分用什么语言,用什么框架,因为这是在HTTP协议的层面支持的,浏览器会把您设置的XXX的这个Cookie在Response之后保存到您的本地机器,在下次您向服务器提交或者浏览的时候会把上次保存下来的COOKIE带上发送向服务器;说到这里我们应该澄清一个概念,就是BS结构理论上是没有同步的服务器-客户端的状态维持的,所以Cookie本质上就是一种异步的状态维护,所有这一切浏览器都帮我们搞定了,所以不用关心。 当然如果使用是Django的话,最终的HttpRequest也许是WSGIRequest(调试的时候使用WSGI方式),也许是ModPythonRequest(使用Apache+Mod_python的方式),他们都是一个HTTP协议要求的Requset的实现;
Session是保存在服务器端的键值对,session内部机制依赖于cookie
我们都知道Django可以通过meddleware来修改requset和response,如果想使用Django当中Session,
首先必须要求您的Django工程的settiongs.py文件里面的MIDDLEWARE_CLASSES设置里面已经包含有django.contrib.sessions.middleware.SessionMiddleware(其实默认就是有的)。
接下来我们看看/django/contrib/sessions/middleware.py这个文件,里面定义了一个SessionMiddleware的class,
其中的process_request函数有一句话:
session_key = request.COOKIES.get(settings.SESSION_COOKIE_NAME)
我们所使用的request.session当中的sesson这个变量就是在这一刻诞生的
这个类是根据得到COOKIES里面的settings.SESSION_COOKIE_NAME来生成
如果浏览器不支持Cookie的话,Django的Session也就无从用起了,因为Session的生成是根据Cookie里面记录的SESSION_COOKIE_NAME来生成的
part 2 cookie
1,views视图函数
1 user_info = { 2 'user1': {'pwd': "123123"}, 3 'user2': {'pwd': "kkkkkkk"}, 4 } 5 def login(request): 6 if request.method == "GET": 7 return render(request,'login.html') 8 if request.method == "POST": 9 u = request.POST.get('username') 10 p = request.POST.get('pwd') 11 dic = user_info.get(u) 12 if not dic: 13 return render(request,'login.html') 14 if dic['pwd'] == p: 15 res = redirect('/index/') 16 # res.set_cookie('user1',u,max_age=10) 17 # import datetime 18 # current_date = datetime.datetime.utcnow() 19 # current_date = current_date + datetime.timedelta(seconds=5) 20 # res.set_cookie('user1',u,expires=current_date) 21 res.set_cookie('user1',u) 22 res.set_cookie('user_type',"asdfjalskdjf",httponly=True) 23 return res 24 else: 25 return render(request,'login.html') 26 27 def auth(func): 28 def inner(reqeust,*args,**kwargs): 29 v = reqeust.COOKIES.get('user1') 30 if not v: 31 return redirect('/login/') 32 return func(reqeust, *args,**kwargs) 33 return inner 34 35 @auth 36 def index(reqeust): 37 # 获取当前已经登录的用户 38 v = reqeust.COOKIES.get('user1') 39 return render(reqeust,'index.html',{'current_user': v}) 40 41 from django import views 42 from django.utils.decorators import method_decorator 43 44 @method_decorator(auth,name='dispatch') 45 class Order(views.View): 46 47 # @method_decorator(auth) 48 # def dispatch(self, request, *args, **kwargs): 49 # return super(Order,self).dispatch(request, *args, **kwargs) 50 51 # @method_decorator(auth) 52 def get(self,reqeust): 53 v = reqeust.COOKIES.get('user1') 54 return render(reqeust,'index.html',{'current_user': v}) 55 56 def post(self,reqeust): 57 v = reqeust.COOKIES.get('user1') 58 return render(reqeust,'index.html',{'current_user': v}) 59 60 def order(reqeust): 61 # 获取当前已经登录的用户 62 v = reqeust.COOKIES.get('user1') 63 return render(reqeust,'index.html',{'current_user': v}) 64 65 def cookie(request): 66 # request.COOKIES 67 # request.COOKIES['user1'] 68 request.COOKIES.get('user1') 69 response = render(request,'index.html') 70 response = redirect('/index/') 71 # 设置cookie,关闭浏览器失效 72 response.set_cookie('key',"value") 73 # 设置cookie, N秒只有失效 74 response.set_cookie('user1',"value",max_age=10) 75 # 设置cookie, 截止时间失效 76 import datetime 77 current_date = datetime.datetime.utcnow() 78 current_date = current_date + datetime.timedelta(seconds=5) 79 response.set_cookie('user1',"value",expires=current_date) 80 response.set_cookie('user1',"value",max_age=10) 81 # request.COOKIES.get('...') 82 # response.set_cookie(...) 83 obj = HttpResponse('s') 84 obj.set_signed_cookie('username',"kangbazi",salt="asdfasdf") 85 request.get_signed_cookie('username',salt="asdfasdf") 86 return response
代码详解:
1.1 login函数渲染登录页面,同时设置cookie
1.2 装饰器
FBV(function base views) 就是在视图里使用函数处理请求。
auth装饰器相当于下面的index函数
def index(reqeust): # 获取当前已经登录的用户 v = reqeust.COOKIES.get('user1') if not v: return redirect('/login/') return render(reqeust,'index.html',{'current_user': v})
CBV(class base views) 就是在视图里使用类处理请求。
1 @method_decorator(auth,name='dispatch')#写在这里表示对dispatch装饰 2 class Order(views.View): 3 # @method_decorator(auth) #写在这里,规则要通过dispatch,dispatch不符合就下面也用不上 4 #dispath方法在执行下面方法之前执行 5 def dispatch(self, request, *args, **kwargs): 6 return super(Order,self).dispatch(request, *args, **kwargs) 7 8 # @method_decorator(auth)写在这里只能对get做验证,对post无用 9 def get(self,reqeust): 10 v = reqeust.COOKIES.get('user1') 11 return render(reqeust,'index.html',{'current_user': v})
1.4 cookie增删改查操作:
1、设置Cookies response.set_cookie("cookie_key","value") 2、获取Cookies value = request.COOKIES["cookie_key"]
request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None)参数: default: 默认值 salt: 加密盐 max_age: 后台控制过期时间3、删除Cookies response.delete_cookie("cookie_key",path="/",domain=name) 4、检测Cookies if "cookie_name" is request.COOKIES :
5、设置加密的cookie
rep.set_signed_cookie(key,value,salt='加密盐',...) 参数: key, 键 value='', 值 max_age=None, 超时时间,表示多少秒数之后失效 expires=None, 超时时间,表示失效的时间点。支持datetime 和 time.time path='/', Cookie生效的路径,/ 表示根路径,特殊的:跟路径的cookie可以被任何url的页面访问 domain=None, Cookie生效的域名 secure=False, https传输 httponly=False 只能http协议传输,无法被JavaScript获取(不是绝对,底层抓包可以获取到也可以被覆盖)
2,index页面
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title></title> </head> <body> <h1>欢迎登录:{{ current_user }}</h1> </body> </html>
3,login页面
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title></title> </head> <body> <form action="/login/" method="POST"> <input type="text" name="username" placeholder="用户名" /> <input type="password" name="pwd" placeholder="密码" /> <input type="submit" /> </form> </body> </html>
运行django之后,访问index,会自动跳转到login页面,输入账户密码之后,自动跳转到index,并从cookie中取出username,打印出来
part 3 session
正常情况下,你无需任何设置就可以使用session功能。如果你删除或修改过请检测一下配置
1、编辑settings.py中MIDDLEWARE_CLASSES 配置,确保 'django.contrib.sessions.middleware.SessionMiddleware'存在,如果没有则添加。
2、编辑settings.py中INSTALLED_APPS配置,确保'django.contrib.sessions' (如果你是刚打开这个应用,别忘了运行 manage.py syncdb )
Django中默认支持Session,其内部提供了5种类型的Session供开发者使用:
只需要更改settings/py文件中的SESSION_ENGINE
1 数据库配置settings.py(默认): 2 Django默认支持Session,并且默认是将Session数据存储在数据库中,即:django_session 表中。 3 1.配置settings.py 4 SESSION_ENGINE = 'django.contrib.sessions.backends.db' 5 SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认) 6 SESSION_COOKIE_PATH = "/" # Session的cookie保存的路径(默认) 7 SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默认) 8 SESSION_COOKIE_SECURE = False # 是否Https传输cookie(默认) 9 SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http传输(默认) 10 SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(默认) 11 SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否关闭浏览器使得Session过期(默认) 12 SESSION_SAVE_EVERY_REQUEST = False # 是否每次请求都保存Session,默认修改之后才保存(默认) 13 14 缓存配置settings.py: 15 SESSION_ENGINE = 'django.contrib.sessions.backends.cache' # 引擎 16 SESSION_CACHE_ALIAS = 'default' # 使用的缓存别名(默认内存缓存,也可以是memcache),此处别名依赖缓存的设置 17 18 SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串 19 SESSION_COOKIE_PATH = "/" # Session的cookie保存的路径 20 SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名 21 SESSION_COOKIE_SECURE = False # 是否Https传输cookie 22 SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http传输 23 SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周) 24 SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否关闭浏览器使得Session过期 25 SESSION_SAVE_EVERY_REQUEST = False # 是否每次请求都保存Session,默认修改之后才保存 26 27 文件配置settings.py: 28 SESSION_ENGINE = 'django.contrib.sessions.backends.file' 29 SESSION_FILE_PATH = None # 缓存文件路径,如果为None,则使用tempfile模块获取一个临时地址tempfile.gettempdir() 30 31 SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串 32 SESSION_COOKIE_PATH = "/" # Session的cookie保存的路径 33 SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名 34 SESSION_COOKIE_SECURE = False # 是否Https传输cookie 35 SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http传输 36 SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周) 37 SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否关闭浏览器使得Session过期 38 SESSION_SAVE_EVERY_REQUEST = False # 是否每次请求都保存Session,默认修改之后才保存 39 40 缓存+数据库配置settings.py: 41 SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db' 42 43 加密cookie配置settings.py: 44 SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies' 45 sessions使用: 46 1.获取、设置、删除Session中数据 47 def index(request): 48 request.session['k1'] #获取session,如果没有会报错 49 request.session.get('k1',None) #获取session,如果没有会返回None 50 request.session['k1'] = 123 #设置session,如果k1存在就覆盖 51 request.session.setdefault('k1',123) #设置session,如果存在则不设置 52 del request.session["k1"] #只删除k1,随机字符串和其他session值还存在 53 request.session.session_key #当前用户随机字符串 54 55 2.# 所有 键、值、键值对 56 request.session.keys() #获取所有键 57 request.session.values() #获取所有值 58 request.session.items() #获取所有的键值 59 request.session.iterkeys() 60 request.session.itervalues() 61 request.session.iteritems() 62 63 request.session.session_key # 用户session的随机字符串 64 65 request.session.clear_expired() #将所有Session失效日期小于当前日期的数据删除 66 67 request.session.exists("session_key") # 检查 用户session的随机字符串 在数据库中是否 68 69 request.session.delete("session_key") # 删除当前用户的所有Session数据 70 71 request.session.set_expiry(value) 72 * 如果value是个整数,session会在些秒数后失效。 73 * 如果value是个datatime或timedelta,session就会在这个时间后失效。 74 * 如果value是0,用户关闭浏览器session就会失效。 75 * 如果value是None,session会依赖全局session失效策略。 76 77
