Django之cookie&session
cookie
Cookie 是在 HTTP 协议下,服务器或脚本可以维护客户工作站上信息的一种方式。Cookie 是由 Web 服务器保存在用户浏览器(客户端)上的小文本文件,它可以包含有关用户的信息。无论何时用户链接到服务器,Web 站点都可以访问 Cookie 信息
我理解的cookie就是服务器端在用户浏览器中写下的信息,用来存储用户当前的状态或该用户相关的信息,如是否已经登录。
使用cookie的原因:HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。
在Django中使用cookie
一个用户登录的例子:
用户登录后,在其浏览器中写入username键值对,并在其他页面判断是否有username
class login(views.View):
def get(self,req,*args,**kwargs):
return render(req, "app1/login.html", {'massage': ''})
def post(self,req,*args,**kwargs):
user = req.POST.get('user')
pwd = req.POST.get('pwd')
c = models.Administrator.objects.filter(username=user, password=pwd).count()
if c > 0:
rep = redirect('/index/')
newuser = user.encode('utf-8').decode('latin-1')
rep.set_cookie('username', newuser, max_age=10)
return rep
else:
massage = '用户名或密码错误'
return render(req, "app1/login.html", {'massage': massage})
def index(req):
username=req.COOKIES.get('username')
if username:
newuser=username.encode('latin-1').decode('utf-8')
return render(req, "app1/index.html", {"name": newuser})
return redirect("/login")
查看set_cookie参数
def set_cookie(self, key, value='', max_age=None, expires=None, path='/',
domain=None, secure=False, httponly=False, samesite=None):
- key :键
- value :值
- max_age :cookie的生效时间
- expires :cookie的具体过期时间
它和max_age功能类似,如果不设置expires,函数会根据max_age自动设置expires,原因是ie浏览器需要expires - path :指定那个url可以访问到cookie,默认为’/‘,表示所有url
- domain :指定那个域名以及它下面的子域名可以访问这个cookie,默认为当前域名
- secure :https安全相关,当secure属性设置为true时,cookie只有在https协议下才能上传到服务器,而在http协议下是没法上传的
- httponly :限制只能通过http传输,JS无法在传输中获取和修改
- samesite :好像是2.1中的新功能,此标志可防止cookie在跨站点请求中发送,从而防止CSRF攻击并使某些方法无法窃取会话cookie。None表示不适用此标志,还有Strict与Lax参数,具体查看https://docs.djangoproject.com/en/2.1/ref/settings/#std:setting-SESSION_COOKIE_SAMESITE
删除cookie
response.delete_cookie('key')
session
session本意为开会,会议,在这里我们可以叫它会话,既然是会话,那么就是一段时间的交流,交流的状态就需要保持着。
对于cookie来说,数据或者用户相关信息是存放在客户的浏览器上,这样导致你的相关信息容易被暴露,让别人更容易进行cookie欺骗,如果可以将相关信息存放到服务器端,那么这种风险就会相对较低一些。使用的方式就是session
客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上叫做session,当客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。客户端识别是哪一个用户的方式为为其分配一个SessionId。
session内部也是通过cookie实现的。
在Django中使用session
依然是登录认证的例子
首先登录视图函数
class login(views.View):
def get(self,req,*args,**kwargs):
return render(req, "app1/login.html", {'massage': ''})
def post(self,req,*args,**kwargs):
user = req.POST.get('user')
pwd = req.POST.get('pwd')
c = models.Administrator.objects.filter(username=user, password=pwd).count()
print(c)
if c > 0:
req.session['is_login'] = True
req.session['username'] = user
return redirect('/index/')
else:
massage = '用户名或密码错误'
return render(req, "app1/login.html", {'massage': massage})
用于判断用户是否登录的装饰器
def auth(func):
def inner(request, *args, **kwargs):
is_login = request.session.get('is_login')
if is_login:
return func(request, *args, **kwargs)
else:
return redirect('/login')
return inner
至于其他登陆后进行处理的函数,只需要为其添加auth装饰器即可
这里发现,对于设置session和拿取session,和cookie的操作方式类似,那么它将设置的信息存储到了哪呢?答案是存到了数据库中
在数据库中发现了一张diango_session的表,存储的信息为
这里的信息应该是用某种加密算法加密了,expire_data为session存在截止时间
session的其他方法
- request.session.setdefault(‘k1’,123) 存在则不设置
- del request.session[‘k1’] 删除某条
- request.session.clear() 删除所有
- request.session.keys() 获得所有的key,输出为dict_keys([‘is_login’, ‘username’]),可for循环,不可以通过索引取值
- request.session.values() 获得所有的值,输出dict_values([True, ‘sfencs’]),同上
- request.session.items() 获得所有键值,输出dict_items([(‘is_login’, True), (‘username’, ‘sfencs’)]),同上
- request.session.session_key 获得用户session的随机字符串
- request.session.clear_expired() 将所有Session失效日期小于当前日期的数据删除
- request.session.exists(“session_key”) 检查用户session的随机字符串在数据库中是否存在
- request.session.set_expiry(value) 自己设置了过期时间,默认为两周。
如果value是个整数,session会在些秒数后失效。
如果value是个datatime或timedelta,session就会在这个时间后失效。
如果value是0,用户关闭浏览器session就会失效。
如果value是None,session会依赖全局session失效策略。
session的配置
SESSION_COOKIE_NAME = "sessionid" # 存在浏览器的cookie键名
SESSION_COOKIE_PATH = "/" #session的cookie的使用路径
SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默认)
SESSION_COOKIE_SECURE = False # 是否Https传输cookie(默认)
SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http传输(默认)
SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(默认)
SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否关闭浏览器使得Session过期(默认)
SESSION_SAVE_EVERY_REQUEST = False # 是否每次请求都保存Session,默认修改之后才保存(默认)