python Django cookie和session

在一个会话的多个请求中共享数据,这就是会话跟踪技术。例如在一个会话中的请求如下:  请求银行主页; 

  • 请求登录(请求参数是用户名和密码);
  • 请求转账(请求参数与转账相关的数据); 
  • 请求信誉卡还款(请求参数与还款相关的数据)。  

在这上会话中当前用户信息必须在这个会话中共享的,因为登录的是张三,那么在转账和还款时一定是相对张三的转账和还款!这就说明我们必须在一个会话过程中有共享数据的能力。

 

会话一定是反复的沟通,至于多少次,没有上限!

HTTP是无状态保存
简单来讲,HTTP要求浏览器对服务器的请求,每一个请求,对于服务器而言,都是新的请求
服务器,并不知道浏览器是谁。

2. 会话路径技术使用Cookie或session完成 

我们知道HTTP协议是无状态协议,也就是说每个请求都是独立的!无法记录前一次请求的状态。但HTTP协议中可以使用Cookie来完成会话跟踪!在Web开发中,使用session来完成会话跟踪,session底层依赖Cookie技术.

什么叫Cookie 

Cookie是key-value结构,类似于一个python的字典 ,随着服务器端的响应发送给客户端浏览器,然后客户端浏览器会把Cookie保存起来,当下一次访问服务器时把cookie再发给服务器.

cookie是由服务器创建,然后通过响应发送给客户端的一个键值对

客户端会保存Cookie,并会标记出Cookie的来源(哪个服务器)

当客户端想服务器发出请求时会把所有这个服务器的Cookie包 在请求中发送给服务器,这样服务器就可以识别客户端

Cookie规范 

  •  Cookie大小上限为4KB; 
  •  一个服务器最多在客户端浏览器上保存20个Cookie; 
  •  一个浏览器最多保存300个Cookie;  

每一个客户端浏览器,都有一个cookie容器。

cookie:针对一个服务器,保存在客户端某一个浏览器上的key-value存储的数据结构中

服务器有权利向浏览器写入cookie
一旦写入cookie,那么下次访问,会带着cookie去访问服务器

比如电脑的谷歌浏览器和火狐浏览器,各自有独立的cookie容器,不能相互访问!

request是客户端请求,response是服务端响应。
读取客户端的cookies要用request的,但是要写入客户端cookies就要用response

urls.py

urlpatterns = [
    # url(r'^admin/', admin.site.urls),
    url(r'^login/', views.login),
    url(r'^index/', views.index),
]

 

views.py

from django.shortcuts import render, HttpResponse, redirect
from django.urls import reverse
import datetime

# Create your views here.
def index(request):
    print(request.COOKIES)  # 打印cookie
    is_login = request.COOKIES.get("is_login")
    if not is_login:
        return redirect("/login/")
    username =request.COOKIES.get("username")#获取cookies的username值
    time=request.COOKIES.get("login_time")
    return render(request, "index.html",{"username":username,"login_time":time})

def login(request):
    if request.method == "POST":
        user = request.POST.get("user")
        pwd = request.POST.get("pwd")
        if user == "zaizai" and pwd == "123":
            obj = redirect("/index/")  # 302重定向登陆页面
            # obj.set_cookie("is_login", True)
            obj.set_cookie("is_login", True, 5)  # cookie设置登陆状态  设置为5秒钟,cookie失效
            obj.set_cookie("username", user, 5)  # cookie设置用户名
            #获取当前时间
            now=datetime.datetime.now().strftime("%Y-%m-%d %H:%M:%S")
            obj.set_cookie("login_time",now)
            return obj
    return render(request, "login.html")

login.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form action="" method="post">
    {% csrf_token %}
    <lable>用户名</lable>
    <input type="text" name="user">
    <lable>密码</lable>
    <input type="password" name="pwd">
    <input type="submit">
</form>
</body>
</html>

index.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h3>{{ username }}个人首页,登陆时间{{ login_time }}</h3>
</body>
</html>

跳转首页后,疯狂的刷新页面。5秒后,会自动调转到登录页面

效果如下:

 

二、session

服务器技术,为每一个用户的浏览器创建了一个独享的session对象,由于session为用户浏览器独享

所以用户在访问服务器web资源时,可以把各自的数据放在各自的session中

当用户在访问其他资源,其他web资源在从用户各自session中去除数据为用户服务

session要比cookie用的更多,因为cookie不安全!
session是基于cookie开发的。思路和cookie是不一样的
它们之间最大的不同在于,session存在服务器。而cookie存储在浏览器中!

 session给cookie一把钥匙,
cookie只存钥匙。通过钥匙,进入session仓库,取东西。

request.session['session_name'] = "admin"
1. 生成随机字符串 1s813eub...
2. django-session表中生成一条记录
+-------------+--------------+----------------------------+
| session_key | session_data | expire_date                |
+-------------+--------------+----------------------------+
| 1s813eub...  | ZWU0MD...    | 2018-07-18 12:49:52.143483 |
+-------------+--------------+----------------------------+
session_data原始数据是这样的{"is_login":True,"username":"xiao","login_time":"2018-07-04 11:49:52"}
存表时,做了加密存储
   
3. 响应体.set_cookie("sessionid","1s813eub...")  

上面一行代码执行是,会生成钥匙给浏览器,并存储在服务器上
存储在django_session表中

执行2个命令,生成django需要的表

python manage.py makemigrations
python manage.py migrate

打开django_session表,它只有3个字段

session_key:这个是客户端保存的钥匙
session_data: 这个是session数据,比如{"username":"xiao"}。它会将数据加密后保存!
expire_date:有效期

session_key是随机的。这个session是django封装的,

在表中,能通过key取到session_data,说明是登录过的。否则没有登录!

django中session语法

1、设置Sessions值
          request.session['session_name'] ="admin"
2、获取Sessions值
          session_name = request.session["session_name"]
3、删除Sessions值
          del request.session["session_name"]
4、flush()
     删除当前的会话数据并删除会话的Cookie。
     这用于确保前面的会话数据不可以再次被用户的浏览器访问

views.py

def login_session(request):
    if request.method == "POST":
        user = request.POST.get("user")
        pwd = request.POST.get("pwd")
        if user == "xiao" and pwd == "123":
            # 写session
            request.session['is_login'] = True  # session设置登录状态
            request.session['username'] = user # session设置用户名
            now = datetime.datetime.now().strftime("%Y-%m-%d %H:%I:%S")
            request.session['login_time'] = now
            return redirect("/index_session/")  # 302重定向到首页
    return render(request,"login.html")

def index_session(request):
    is_login = request.session.get("is_login")  # 从session中获取登录状态
    if not is_login:  # 判断状态不是True时
        return redirect("/login_session/") # 302重定向到登录页面

    username = request.session.get("username")  # 从session中获取用户名
    login_time = request.session.get("login_time")  # 从session中获取登录时间

    return render(request, "index.html", {"username": username, "login_time": login_time})
def logout(request):
    request.session.flush()#清理session
    return redirect("/login_session")

login.html

<body>
<form action="" method="post">
    {% csrf_token %}
    <lable>用户名</lable>
    <input type="text" name="user">
    <lable>密码</lable>
    <input type="password" name="pwd">
    <input type="submit">
</form>
</body>
</html>

index.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h3>{{ username }}个人首页,登陆时间{{ login_time }}</h3>
<p><a href="/logout/">注销</a></p>
</body>
</html>

登陆成功后

 

http://127.0.0.1:8000/index_session/  不过期就可以一直访问 无须再次输入密码

request.session.flush() 它到底执行了啥呢?

它执行了3个步骤:

1. 浏览器发送请求时,将cookie发送给服务器,服务器获取key为sessionid的值

2. 在服务器的django-session表中查询session_key=sessionid值。并执行delete操作,删除一条记录。

3. 将浏览器cookie中的sessionid删除掉

 

总结:cooke和session的区别

cookie实际,就是一个字符串的字典数据,存储在浏览器中。

cookie只能有4K

存储在浏览器中,它是由服务器响应体中的Set-Cookie来设置的

浏览器能从cookie中获取数据,有安全隐患

 

session是存储在服务端,它会加密存储。

session是基于cookie来做的。浏览器保存key,也就是sessionid。如果服务器有脏数据,会在14天后删除。

 

cookie中,有设置加密的方法。比如:set_signed_cookie(),有兴趣的,可以了解一下!

 

作业

ef user(f):
    def inner(*args, **kwargs):
        request = args[0]  # 响应请求
        is_login = request.session.get("is_login")
        print(is_login)
        print(request)
        if request.session.get("is_login"):
            return f(*args, **kwargs)
        else:
            return redirect("/login_def/")
    return inner

def login_def(request):
    # print('111111',request)
    if request.method == "POST":
        user = request.POST.get("user")
        pwd = request.POST.get("pwd")
        if user == "xiao" and pwd == "123":
            # 写session
            request.session['is_login'] = True  # session设置登录状态
            request.session['username'] = user  # session设置用户名
            now = datetime.datetime.now().strftime("%Y-%m-%d %H:%I:%S")
            request.session['login_time'] = now
            print(user)
            return redirect("/index_def/")  # 302重定向到首页
    return render(request, "login.html")


@user
def index_def(request):
    # is_login = request.session.get("is_login")  # 从session中获取登录状态
    # if not is_login:  # 判断状态不是True时
    #     return redirect("/login_session/") # 302重定向到登录页面
    username = request.session.get("username")  # 从session中获取用户名
    print(username)
    login_time = request.session.get("login_time")  # 从session中获取登录时间
    return render(request, "index.html", {"username": username, "login_time": login_time})

 

posted @ 2019-03-07 18:06  崽崽1573  阅读(393)  评论(0编辑  收藏  举报