cookie和session

知识内容：

1.cookie

2.session

3.flask中的cookie和session

4.Django中的cookie和session

 

参考：http://www.cnblogs.com/liwenzhou/p/8343243.html

 

 

 

一、cookie

1.cookie由来

因为http请求是无状态的，每一次请求是独立的(对于服务端来说，一切均如初见！)，很难实现保存状态

 

 

2.cookie是什么

Cookie具体指的是一段小信息，它是服务器发送出来存储在浏览器上的一组组键值对，下次访问服务器时浏览器会自动携带这些键值对，以便服务器提取有用信息

cookie说简单点就是保持在浏览器上的键值对，服务端控制着响应，在响应里可以让浏览器在本地保存这个键值对(cookie)，下次请求的时候发送的时候自动携带这个cookie

注意：cookie是服务端设置，但是浏览器(客户端)可以设置cookie(禁用cookie)，另外cookie默认关闭浏览器就失效

例如：

cookie: _ga=GA1.2.1054004464.1521898033; __gads=ID=e13aa7dde32c5592:T=1526655541:S=ALNI_MZZ6P4iXCRX7EKM9IiKRBTv75Txmw; uaid=2b0dae04996e4d1b9de87d71f6f08088; .CNBlogsCookie=BEA8AC1412C8986DF38732BCAA2D291BAB1AAF7C686923F855A33A923BB8C8F6BE2F84B80CFEC7BBE6A83F23B865AB87D25FED9E10640E1E34269A641C1B0562C85CDD083B46DCC63FC52BF67D409F90936DAD38; .Cnblogs.AspNetCore.Cookies=CfDJ8FHXRRtkJWRFtU30nh_M9mCEXAQL_UyHvUyPS0oSzb3-whvexkm5XnGWepX0a6XLb-6kRfEDb1UgmfX2cmCIy2xLqCn3X8EAAV8GHySMlOc8vyx-_rBZXSgdfdyeUxliaVUUrljH5Y0Y6kO8I4qfemj7rSEWL9COZzWaOwNWlqGYE0Y55r1TUkAZ6W7ZVgsIaeatSFrSEBcsdvF8NdmsWLkPapTH_8qegCV1Sp3beSdaymrdZ4WPiSa1PGGT6jyr-l-Ddt2tKQzrYB_Txu16wSbZqe_xWD1GNATahXlw6AA1qn-sZz9NmkxTuLVvPOaF9Q; _gid=GA1.2.1318394338.1528273714

如何在浏览器上查看cookie(以谷歌浏览器为例)：

选择页面右键点开选项选择检查，如下选择即可：

 

cookie从服务器发送到客户端的具体原理：在服务器发送给客户端的响应中如果有一个字段Set-Cookie，浏览器将会保存这个Set-Cookie对应的值，在下次向浏览器请求时带上这个值

 

 

3.cookie应用

问题来了，基于HTTP协议的无状态特征，服务器根本就不知道访问者是“谁”。那么cookie就起到桥接的作用

我们可以给每个客户端的cookie分配一个唯一的id，这样用户在访问时，通过cookie，服务器就知道来的人是“谁”。然后我们再根据不同的cookie的id，在服务器上保存一段时间的私密资料，如“账号密码”等等

具体应用场景如下：

登录、七天免登录
记录用户的浏览习惯
简单的投票限制

 

 

 

二、session

1.session的由来

cookie虽然在一定程度上解决了“保持状态”的需求，但是由于cookie本身最大支持4096字节，以及cookie本身保存在客户端，可能被拦截或窃取，因此就需要有一种新的东西，它能支持更多的字节，并且他保存在服务器，有较高的安全性。这就是session

 

 

2.session是什么

session：保存在服务端的键值对

session必须依赖cookie，如下所示：

 

 

3. cookie和session比较

cookie：存储数据小、安全性差

session：存储数据大、安全性好

总结而言：cookie弥补了HTTP无状态的不足，让服务器知道来的人是“谁”；但是cookie以文本的形式保存在本地，自身安全性较差；所以我们就通过cookie识别不同的用户，对应的在session里保存私密的信息以及超过4096字节的文本

另外，上述所说的cookie和cookie其实是共通性的东西，不限于语言和框架。

 

 

 

三、flask中的cookie和session

(1)flask的cookie

# flask写入 cookie, 必须使用 make_response 函数
# 然后再用 set_cookie 来设置 cookie
r = make_response(template)
r.set_cookie('cookie_name', 'wyb')
return r

 

(2)flask的session

flask中有一个 session 对象。它允许你在不同请求间存储特定用户的信息。它是在 Cookies 的基础上实现的，并且对 Cookies 进行密钥签名要使用会话，你需要设置一个密钥：

• 设置：session['username'] ＝ 'xxx'
• 取出session值：session.get('username', None)
• 删除：session.pop('username', None)

基本使用(没有登录就让其登录，登录了页面显示登录成功，点击logout注销回到登录页面)：

from flask import Flask, session, redirect, url_for, escape, request

app = Flask(__name__)
# set the secret key.  keep this really secret:
app.secret_key = 'abcdefghyjklmnopqrstasdfu280975298165=-'

# escape(session['username']), session.get("username", None)是两种取session中值的方法
@app.route('/')
def index():
    if 'username' in session:
        return 'Logged in as %s(%s), %s' % (escape(session['username']), session.get("username", None), "<a href='/logout'>注销</a>")
    return redirect(url_for("login"))

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'POST':
        session['username'] = request.form['username']
        return redirect(url_for('index'))
    return '''
        <form action="" method="post">
            <p><input type=text name=username>
            <p><input type=submit value=Login>
        </form>
    '''

@app.route('/logout')
def logout():
    # remove the username from the session if it's there
    session.pop('username', None)
    return redirect(url_for('login'))

if __name__ == '__main__':
    app.run(debug=True)

 

 

 

四、Django中的cookie和session

(1) django中的cookie

# Cookie: 保存在浏览器端的键值对
 
# 为什么要有Cookie: 因为HTTP请求是无状态的
  
# Cookie的原理:
"""
服务端可以在返回响应的时候 做手脚
在浏览器上写入键值对（Cookie）
     
浏览器发送请求的时候会自动携带该网站保存在我浏览器的键值对（Cookie）
"""
     
# Django 从请求携带的Cookie中取值：
    request.COOKIES.get("is_login")
    request.get_signed_cookie(key, default=None, salt="xxx")
# Django中设置Cookie:(针对的是响应对象)
    rep = HttpResponse()/render(request, "test.html)/redirect()
    rep.set_cookie(key, value)
    # rep.set_signed_cookie(key, value, salt="xxx", max_age=7)
# Django中删除Cookie:(注销)
    rep.delete_cookie(key)

删除cookie实现注销：

def logout(request):
    rep = redirect("/login/")
    rep.delete_cookie("user")  # 删除用户浏览器上之前设置的usercookie值
    return rep

cookie实现登陆验证： 

def check_login(func):
    @wraps(func)
    def inner(request, *args, **kwargs):
        next_url = request.get_full_path()
        if request.get_signed_cookie("login", salt="SSS", default=None) == "yes":
            # 已经登录的用户...
            return func(request, *args, **kwargs)
        else:
            # 没有登录的用户，跳转刚到登录页面
            return redirect("/login/?next={}".format(next_url))
    return inner


def login(request):
    if request.method == "POST":
        username = request.POST.get("username")
        passwd = request.POST.get("password")
        if username == "xxx" and passwd == "xxx":
            next_url = request.GET.get("next")
            if next_url and next_url != "/logout/":
                response = redirect(next_url)
            else:
                response = redirect("/index/")
            response.set_signed_cookie("login", "yes", salt="xxx")
            return response
    return render(request, "login.html")

 

(2)django中的session

# Session保存在服务端的键值对，另外Session依赖于Cookie

"""
Session原理:
    用户数据:
    xasdfvxs: {"is_login": 1, "name": "xiaohei", "age":18}
    safsdfsdf: {"is_login": 1, "name": "xiaobai", "age":20}
    wergasfd: {"is_login": 0, "name": "xiaohui", "age":48}

    给浏览器写入Cookie:
        sessionid: wergasfd
    
    1. 从用户发来的请求的Cookie中 根据 sessionid 取值， 取到一个随机字符串
    2. 根据这个随机字符串找到对应的 Session 数据  --> {"is_login": 0, "name": "xiaohui", "age":48}
    3. request.session.get("is_login")    --> 从Session取值
"""


# Django中设置Session:
    request.session["is_login"] = 1

# Django设置session和cookie的超时时间 (Cookie和Session数据的)
    request.session.set_expiry(7)  
    # 如果value是个整数，session会在些秒数后失效。
    # 如果value是个datatime或timedelta，session就会在这个时间后失效。
    # 如果value是0,用户关闭浏览器session就会失效。
    # 如果value是None,session会依赖全局session失效策略。

# Django中取出session中的值
    request.session.get("is_login")

# 在settings.py中设置，每次请求都刷新Session超时时间
    SESSION_SAVE_EVERY_REQUEST = True 

# Django中删除Session:
    request.session.delete()   # 只删除session
    request.session.flush()     # 清除Cookie和Session数据
    request.session.clear_expired()  将所有Session失效日期小于当前日期的数据删除

 

(3)django中的session配置

1. 数据库Session
SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎（默认）

2. 缓存Session
SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
SESSION_CACHE_ALIAS = 'default'                            # 使用的缓存别名（默认内存缓存，也可以是memcache），此处别名依赖缓存的设置

3. 文件Session
SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎
SESSION_FILE_PATH = None                                    # 缓存文件路径，如果为None，则使用tempfile模块获取一个临时地址tempfile.gettempdir() 

4. 缓存+数据库
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'        # 引擎

5. 加密Cookie Session
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'   # 引擎

其他公用设置项：
SESSION_COOKIE_NAME ＝ "sessionid"                       # Session的cookie保存在浏览器上时的key，即：sessionid＝随机字符串（默认）
SESSION_COOKIE_PATH ＝ "/"                               # Session的cookie保存的路径（默认）
SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名（默认）
SESSION_COOKIE_SECURE = False                            # 是否Https传输cookie（默认）
SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http传输（默认）
SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期（2周）（默认）
SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否关闭浏览器使得Session过期（默认）
SESSION_SAVE_EVERY_REQUEST = False                       # 是否每次请求都保存Session，默认修改之后才保存（默认）

Django中Session相关设置

 

(4)Django中CBV使用装饰器实现登陆验证

要在CBV视图中使用我们上面的check_login装饰器，需要使用以下的django内置的方法：

from django.utils.decorators import method_decorator

当然关于这个方法的使用有以下三种方式：

1. 加在CBV视图的get或post方法上：

from django.utils.decorators import method_decorator

class HomeView(View):
    def dispatch(self, request, *args, **kwargs):
        return super(HomeView, self).dispatch(request, *args, **kwargs)

    def get(self, request):
        return render(request, "home.html")
    
    @method_decorator(check_login)
    def post(self, request):
        print("Home View POST method...")
        return redirect("/index/")

2. 加在dispatch方法上：

from django.utils.decorators import method_decorator

class HomeView(View):
    @method_decorator(check_login)
    def dispatch(self, request, *args, **kwargs):
        return super(HomeView, self).dispatch(request, *args, **kwargs)

    def get(self, request):
        return render(request, "home.html")

    def post(self, request):
        print("Home View POST method...")
        return redirect("/index/")

# 因为CBV中首先执行的就是dispatch方法，所以这么写相当于给get和post方法都加上了登录校验

3. 直接加在视图类上：

# 如果get方法和post方法都需要登录校验的话就写两个装饰器
# 注意method_decorator必须传name关键字参数

from django.utils.decorators import method_decorator

@method_decorator(check_login, name="get")
@method_decorator(check_login, name="post")
class HomeView(View):
    def dispatch(self, request, *args, **kwargs):
        return super(HomeView, self).dispatch(request, *args, **kwargs)

    def get(self, request):
        return render(request, "home.html")

    def post(self, request):
        print("Home View POST method...")
        return redirect("/index/")