Django——session&cookie（登录状态）

Session

Cookie虽然在一定程度上解决了“保持状态”的需求，但是由于Cookie本身最大支持4096字节，以及Cookie本身保存在客户端，可能被拦截或窃取，因此就需要有一种新的东西，它能支持更多的字节，并且他保存在服务器，有较高的安全性。这就是Session。

由于HTTP是无状态的意思是每次请求都是独立的，它的执行情况和结果与前面的请求和之后的请求都无直接关系，它不会受前面的请求响应情况直接影响，也不会直接影响后面的请求响应情况。

特点：

1. 依赖cookie来使用，在cookie中添加一个session
2. 解决cookie的安全性问题，将用户数据存放到本地，只对远端发送一个key
3. 解决cookie的传输大小问题。
4. 在本地创建一个session表，里面存放用户加密信息和key

session创建

在创建数据库以后，django会自动创建一个_session的表。

session方法

# 获取、设置、删除Session中数据
request.session['k1']
request.session.get('k1',None)
request.session['k1'] = 123   #设置
request.session.setdefault('k1',123) # 存在则不设置
del request.session['k1']   #删除

# 所有 键、值、键值对
request.session.keys()
request.session.values()
request.session.items()

# 会话session的key，可以打印用户访问的key
request.session.session_key

# 将所有Session失效日期小于当前日期的数据删除。
request.session.clear_expired()

# 检查会话session的key在数据库中是否存在
request.session.exists("session_key")

# 删除当前会话的所有Session数据
request.session.delete()
　　
# 删除当前的会话数据并删除会话的Cookie。
request.session.flush() 
#这用于确保前面的会话数据不可以再次被用户的浏览器访问
#例如，django.contrib.auth.logout() 函数中就会调用它。

# 设置会话Session和Cookie的超时时间
request.session.set_expiry(value)
    * 如果value是个整数，session会在些秒数后失效。
    * 如果value是个datatime或timedelta，session就会在这个时间后失效。
    * 如果value是0,用户关闭浏览器session就会失效。
    * 如果value是None,session会依赖全局session失效策略。

Django中默认支持Session，其内部提供了5种类型的Session供开发者使用。

1. 数据库Session
SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎（默认）

2. 缓存Session
SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
SESSION_CACHE_ALIAS = 'default'                            # 使用的缓存别名（默认内存缓存，也可以是memcache），此处别名依赖缓存的设置

3. 文件Session
SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎
SESSION_FILE_PATH = None                                    # 缓存文件路径，如果为None，则使用tempfile模块获取一个临时地址tempfile.gettempdir() 

4. 缓存+数据库
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'        # 引擎

5. 加密Cookie Session
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'   # 引擎

其他公用设置项：
SESSION_COOKIE_NAME ＝ "sessionid"                       # Session的cookie保存在浏览器上时的key，即：sessionid＝随机字符串（默认）
SESSION_COOKIE_PATH ＝ "/"                               # Session的cookie保存的路径（默认）
SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名（默认）
SESSION_COOKIE_SECURE = False                            # 是否Https传输cookie（默认）
SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http传输（默认）
SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期（2周）（默认）
SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否关闭浏览器使得Session过期（默认）
SESSION_SAVE_EVERY_REQUEST = False                       # 是否每次请求都保存Session，默认修改之后才保存（默认）

Cookie

而cookie则是由服务器发送出来，保存在本地浏览器上的一组组键值对，下次浏览器访问服务器时将自动带有设置的键值对，以便服务器提取有用的信息。

• 特点：

1. 用于在本地浏览器中保存用户信息使用
2. 由服务器让浏览器进行设置的
3. 下次再访问时，自动携带
4. 保存在网页的请求体中
5. 是在http协议中使用的

• 常用功能：

1. 登录信息
2. 保存浏览习惯

• 使用cookie

#封装cookie（明文）
ret = redirect(get_url)     
ret.set_cookie('is_login','1') 
return ret

#获取cookie（明文）
request.COOKIES.get('is_login') != '1': 

    

#封装cookie（密文）
ret = redirect(get_url)     
ret.set_signed_cookie('is_login','1','zhao')   # key,value,salt
return ret

#获取cookie（密文）
request.get_signed_cookie('is_login',salt='zhao',default='') != '1':
    
    
#超时时间，默认浏览器关闭即失效，秒为单位
ret = redirect(get_url)     
ret.set_cookie('is_login','1',max_age=10)   #设置10秒后超时，需要重新登录
return ret

#携带cookie的路径
ret = redirect(get_url)     
ret.set_cookie('is_login','1',path='/index/')   #设置只对/index/下的路径斜塞，其他的路径不携带。默认为/
return ret

#携带cookie的域名
ret = redirect(get_url)     
ret.set_cookie('is_login','1',domain=None)   #设置Cookie携带的域名
return ret

#携带cookie的协议
ret = redirect(get_url)     
ret.set_cookie('is_login','1',secure=False)   #设置Cookie只对https访问携带
return ret


#注销cookie，相当于退出登录
def logout(request):
    rep = redirect("/login/")
    rep.delete_cookie("user")  # 删除用户浏览器上之前设置的user的cookie值
    return rep

• 网页中显示的位置：

• cookie设置

from django.views import View

#使用装饰器来使用cookie
def login_required(func):
    def inner(request,*args,**kwargs):
        if request.COOKIES.get('is_login') != '1':   #判断是否存在cookie
            url = request.path_info   #获取当前用户需要访问的页面
            return redirect(f'/login/?return_url={url}')   #将用户需要登录的页面进行填充，然后登录完成后，将其原路返回。
        ret = func(reqeust,*args,**kwargs)
        return ret
    return inner

@login_required
class login(View):

    def get(self, request,*args,**kwargs): 
        return render(request, "login.html")
    
    def post(self, request,*args,**kwargs):
        username = request.POST.get('username')
        pwd = request.POST.get('pwd')
        if username == 'zhao' and pwd == 'abc':
            get_url = reqeust.GET.get('return_url')   #将用户需要访问的页面进行提取
            if not get_url:get_url='/index/'   
            ret = redirect(get_url)     #返回用户需要访问的页面，如果没有将访问首页
            ret.set_cookie('is_login':'1') #这里就是需要设置的键值对，并要求浏览器带有该键值对进行后续访问。
            return ret
        return render(reqeust,'lgoin.html',{'error':'用户名密码错误'})
@login_required
def index(request):
    return redirect('/index')
@login_required
def home(request):
    return redirect('/home')

创建好cookie后，用户发送的请求认证成功后，服务器会要求浏览器下一次带有cookie标签来访问。

 后续的重定向后，将会带有cookie进行访问

cookie超时时间