Django高级之cookie与session
cookie,session,token
1 cookie:是保存到客户端浏览器上的键值对
-如果不加密,是不安全的(可能被窃取,篡改)
2 session:存在服务端的键值对
-用户登录后,给用户分配一个随机字符串(会话标识:session id),用户存到cookie中
-在服务端以刚刚随机字符串为key,value是字典,放用户信息
3 token:三段式(jwt:json web token)(服务端不存了)
{公司信息。。}.{name:lqz,id:10}.asdfasasf
cookie
django中cookie 的使用
1 设置cookie
#四件套之一
obj.set_cookie('key','value')
2 获取cookie
request.COOKIES.get('key')
3 更新cookie
#四件套之一
obj.set_cookie('key','value')
4 删除cookie
obj.delete_cookie('is_login')
5 cookie的过期时间
-浏览器会管理cookie,到时间,它会自动删除,10s过期
-obj.set_cookie('key','value',expires=10)
-如果不写,关闭浏览器,cookie就失效了
-obj.set_cookie('key','value')
6 对cookie进行加盐
obj.set_signed_cookie('nb','yes','123',expires=1000)
7 获取加盐的cookie
nb=request.get_signed_cookie('nb',salt='123')
基于cookie的登录认证装饰器
1 登录功能,如果登录成功往cookie中写入用户名和登录成功的状态标志
2 访问order页面,如果登录了,可以正常显示,如果没登录,重定向到登陆页面
3 用户如果在没有登录的情况下想访问一个需要登录的页面,那么先跳转到登录页面,当用户输入正确的用户名和密码之后应该跳转到用户之前想要访问的页面去,而不是直接写死
实现代码:
前端
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登录页面</title>
<script src="https://cdn.bootcdn.net/ajax/libs/jquery/3.4.1/jquery.min.js"></script>
<link href="https://cdn.bootcdn.net/ajax/libs/twitter-bootstrap/3.4.1/css/bootstrap.min.css" rel="stylesheet">
<script src="https://cdn.bootcdn.net/ajax/libs/twitter-bootstrap/3.4.1/js/bootstrap.min.js"></script>
</head>
<body>
<div class="col-md-6 col-md-offset-3">
<div class="panel panel-primary">
<div class="panel-heading">
</div>
<div class="panel-body">
<h1 class="text-center">登录</h1>
<form action="" method="post">
<p>用户名:<input type="text" name="username" class="form-control"></p>
<p>密码:<input type="password" name="password" class="form-control"></p>
<input type="submit" class="btn btn-primary btn-block">
</div>
</div>
</div>
</body>
</html>
路由层
urlpatterns = [
url(r'^login/$',views.login),
url(r'^order/$',views.order),
url(r'^func/$',views.func),
url(r'^index/$',views.index),
url(r'^logout/$',views.logout)
]
视图层
# 效验用户是否登录的装饰器
def login_auth(func):
def inner(request, *args, **kwargs):
target_url = request.get_full_path() # 能够获取到用户上一次想要访问的url
# 利用request进行判断,如果能拿到值就正常执行
if request.COOKIES.get('username'):
return func(request, *args,**kwargs)
else:
"""
一旦用户没有登录的情况下,会自动跳到登录页面,利用?问号携带的参数的方式
把用户的上一次想要访问的url也跟在login的后面,当用户登录就可以访问
"""
return redirect('/login/?next=%s'%target_url) # 传给login
return inner
# 登录功能
def login(request):
if request.method == 'POST':
username = request.POST.get('username')
password = request.POST.get('password')
if username == 'jason' and password == '123':
# 获取用户上一次想要访问的url
target_url = request.GET.get('next') # 这个结果可能是None
if target_url:
obj = redirect(target_url)
else:
# 保存用户登录状态
obj = redirect('/home/')
# 让浏览器记录cookie数据
obj.set_cookie('username', 'jason666',max_age=3) # 设置cookie,且超时时间为3秒到期
"""
浏览器不单单会帮你保存
而且后面每次访问你的时候还会带着它过来
"""
# 跳转到一个需要用户登录之后才能看的页面
return obj
return render(request,'login.html')
# 访问页面1
@login_auth
def order(request):
# # 获取cookie信息,判断你有没有
# if request.COOKIES.get('username') == 'jason666':
# return HttpResponse('我是order页面')
# # 没有登录应该跳到登录页面
# return redirect('/login/')
return HttpResponse('我是order页面')
# 访问页面2
@login_auth
def func(request):
return HttpResponse('我是func页面')
# 访问页面3
@login_auth
def index(request) :
return HttpResponse('我是index页面')
# 注销功能
@login_auth
def logout(request):
obj = redirect('/login/')
obj.delete_cookie('username')
return obj
Session
django中session的使用
1 设置session
request.session['name']='lqz'
request.session['is_login'] = True
'''
1 生成一个随机字符串afdsfdasfs,一旦有,就是更新操作
2 把随机字符串放到cookie中:obj.set_cookie('sessionid','afdsfdasfs')
3 把name=lqz 放到django_session表中
session_key session_data date
afdsfdasfs {name:'lqz',is_login:True} 时间
'''
2 获取session
name=request.session.get('name')
is_login=request.session.get('is_login')
3 更新session
request.session['name']='lqz'
4 删除session
del request.session['name']
request.session.delete() # 删除数据库
request.session.flush() # cookie和数据库都删
路由层
urlpatterns = [
url(r'^set_session/$',views.set_session),
url(r'^get_session/$',views.get_session),
url(r'^update_session/$',views.update_session),
url(r'^del_session/$',views.del_session),
]
视图层
# 设置session
def set_session(request):
request.session['name'] = 'geng'
request.session['is_login'] = True
"""
设置session内部发生了哪些事
1.django内部会自动帮你生成一个随机字符串
2.django内部自动将随机字符串和对应的数据存储到django_session表中
2.1 先在内存中产生操作数据的内存
2.2 在响应结果django中间件的时候才真正的操作数据库
3.将产生的随机字符串回给客户端浏览器(放到cookie中)返保存
"""
# request.session.set_expiry(2) # 2s后过期
# 默认是14天后过期, 0 表示关闭浏览器过期
# 5s 表示 5s后过期
return HttpResponse('设置session成功')
# 获取session
def get_session(request):
name = request.session.get('name')
is_login = request.session.get('is_login')
"""
获取session内部发生了哪些事
1.自动从浏览器请求中获取sessionid对应的随机字符串
2.拿着随机字符串去django_session表中查找对应的数据
3.如果比对上了,则将对应的数据取出并以字典的形式封装到request.session中
如果比对不上,则request.session.get返回的是None
"""
print(name)
print(type(is_login))
return HttpResponse('获取session成功')
# 更新session
def update_session(request):
request.session['name'] = 'feng'
"""
直接去django_session表中替换
cookie还是原来的随机字符串,没有动
"""
return HttpResponse('更新session成功')
# 删除session
def del_session(request):
del request.session['is_login']
return HttpResponse('删除session成功')
基于session的登陆认证装饰器
- 只要登录了能访问home,order地址
- 如果没有登录,都重定向到登陆
前端
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登录页面</title>
<script src="https://cdn.bootcdn.net/ajax/libs/jquery/3.4.1/jquery.min.js"></script>
<link href="https://cdn.bootcdn.net/ajax/libs/twitter-bootstrap/3.4.1/css/bootstrap.min.css" rel="stylesheet">
<script src="https://cdn.bootcdn.net/ajax/libs/twitter-bootstrap/3.4.1/js/bootstrap.min.js"></script>
</head>
<body>
<div class="col-md-6 col-md-offset-3">
<div class="panel panel-primary">
<div class="panel-heading">
</div>
<div class="panel-body">
<h1 class="text-center">登录</h1>
<form action="" method="post">
<p>用户名:<input type="text" name="username" class="form-control"></p>
<p>密码:<input type="password" name="password" class="form-control"></p>
<input type="submit" class="btn btn-primary btn-block">
</div>
</div>
</div>
</body>
</html>
路由层
urlpatterns = [
url(r'^login/$',views.login),
url(r'^order/$',views.order),
url(r'^home/$',views.home),
url(r'^index/$',views.index),
url(r'^logout/$',views.logout),
]
视图层
# 效验用户是否登录的装饰器
def login_auth(func) :
def inner(request, *args, **kwargs) :
target_url = request.get_full_path() # 能够获取到用户上一次想要访问的url
# 进行判断,如果能拿到值就正常执行
if request.session.get('username') : # 获取session
return func(request, *args, **kwargs)
else :
"""
一旦用户没有登录的情况下,会自动跳到登录页面,利用?问号携带的参数的方式
把用户的上一次想要访问的url也跟在login的后面,当用户登录就可以访问
"""
return redirect('/login/?next=%s' % target_url) # 传给login
return inner
# 登录功能
def login(request):
if request.method == 'POST' :
username = request.POST.get('username')
password = request.POST.get('password')
if username == 'jason' and password == '123' :
# 获取用户上一次想要访问的url
target_url = request.GET.get('next') # 这个结果可能是None
if target_url:
red = redirect(target_url)
else :
# 保存用户登录状态
red = redirect('/home/')
request.session["username"] = "jason" # 设置session
# request.session.set_expiry(3)
# 跳转到一个需要用户登录之后才能看的页面
return red
return render(request, 'login.html')
# 访问页面1
@login_auth
def order(request):
return HttpResponse('我是order页面')
# 访问页面2
@login_auth
def home(request):
return HttpResponse('我是home页面')
# 访问页面3
@login_auth
def index(request):
return HttpResponse('我是index页面')
# 注销登录
@login_auth
def logout(request):
del request.session['username'] # 删除session
return redirect('/login/')
cookie,session其他了解知识
cookie的其他参数
key, 键
value=’’, 值
max_age=None, 超时时间 cookie需要延续的时间(以秒为单位)如果参数是\ None`` ,这个cookie会延续到浏览器关闭为止
expires=None, 超时时间(IE requires expires, so set it if hasn’t been already.)
path=’/‘, Cookie生效的路径,/ 表示根路径,特殊的:根路径的cookie可以被任何url的页面访问,浏览器只会把cookie回传给带有该路径的页面,这样可以避免将cookie传给站点中的其他的应用。
domain=None, Cookie生效的域名 你可用这个参数来构造一个跨站cookie。如, domain=”.example.com”所构造的cookie对下面这些站点都是可读的:www.example.com 、 www2.example.com 和an.other.sub.domain.example.com 。如果该参数设置为 None ,cookie只能由设置它的站点读取
secure=False, 浏览器将通过HTTPS来回传cookie
httponly=False 只能http协议传输,无法被JavaScript获取(不是绝对,底层抓包可以获取到也可以被覆盖)
session的其他方法
# 获取、设置、删除Session中数据
request.session['k1']
request.session.get('k1',None)
request.session['k1'] = 123
request.session.setdefault('k1',123) # 存在则不设置
del request.session['k1']
# 所有 键、值、键值对
request.session.keys()
request.session.values()
request.session.items()
request.session.iterkeys()
request.session.itervalues()
request.session.iteritems()
# 会话session的key(随机字符串)
request.session.session_key
# 将所有Session失效日期小于当前日期的数据删除
request.session.clear_expired()
# 检查会话session的key在数据库中是否存在
request.session.exists("session_key")
# 删除当前会话的所有Session数据(只删数据库)
request.session.delete()
# 删除当前的会话数据并删除会话的Cookie(数据库和cookie都删)。
request.session.flush()
这用于确保前面的会话数据不可以再次被用户的浏览器访问
# 设置会话Session和Cookie的超时时间
request.session.set_expiry(value)
* 如果value是个整数,session会在些秒数后失效。
* 如果value是个datatime或timedelta,session就会在这个时间后失效。
* 如果value是0,用户关闭浏览器session就会失效。
* 如果value是None,session会依赖全局session失效策略。
session的其他配置(配置文件中)
1. 数据库Session
SESSION_ENGINE = 'django.contrib.sessions.backends.db' # 引擎(默认)
2. 缓存Session
SESSION_ENGINE = 'django.contrib.sessions.backends.cache' # 引擎
SESSION_CACHE_ALIAS = 'default' # 使用的缓存别名(默认内存缓存,也可以是memcache),此处别名依赖缓存的设置
3. 文件Session
SESSION_ENGINE = 'django.contrib.sessions.backends.file' # 引擎
SESSION_FILE_PATH = None # 缓存文件路径,如果为None,则使用tempfile模块获取一个临时地址tempfile.gettempdir()
4. 缓存+数据库
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db' # 引擎
5. 加密Cookie Session
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies' # 引擎
其他公用设置项:
SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认)
SESSION_COOKIE_PATH = "/" # Session的cookie保存的路径(默认)
SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默认)
SESSION_COOKIE_SECURE = False # 是否Https传输cookie(默认)
SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http传输(默认)
SESSION_COOKIE_AGE = 60 * 60 * 24 * 7 * 2 # Session的cookie失效日期(2周)(默认)
SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否关闭浏览器使得Session过期(默认)
SESSION_SAVE_EVERY_REQUEST = False # 是否每次请求都保存Session,默认修改之后才保存(默认)
浙公网安备 33010602011771号