Django——会话.Cookie&Session
一、Cookie
会话指的是浏览器与web服务器之间的通信。HTTP协议是无状态协议。web服务器无法知道用户上一次会话数据,用来维护用户在访问网站过程中的状态 , 会话控制使用 Cookie 和 Session 一起实现。
通常把 Session 称为会话对象 , web服务器会给每一个用户创建一个 Session 对象 ,Session 对象在服务器端保存用户数据。Cookie 用于浏览器端保存用户数据。
Cookie 原理:当客户端访问服务端的时候,服务器会生成一份 Cookie 数据传输给浏览器,浏览器会自动把这份 Cookie 数据保存起来。之后浏览器在每一次请求访问的时候都回自动的携带这个 Cookie 数据。
Cookie保存是文本数据,以键值对的方式保存信息
def cookie_set(request):
# 设置 Cookie 数据,因为 Cookie 要响应给浏览器
# 所以设置 Cookie 数据要使用 HttpResponse 对象或者其子类对象
# Cookie 数据在浏览器中保存的时间默认为 2 周
response = HttpResponse('设置 Cookie 数据')
# set_cookie(key , value) , 设置 Cookie 的数据不能是中文
# max_age 设置过期时间, 单位:秒
# expires 以时间对象为单位设置过期时间 , datetime.timedelta()
response.set_cookie('name','ac' , max_age=30)
# datetime.datetime.now()+datetime.timedelta(days=2) 设置两天后过期
response.set_cookie('age','27' , expires=datetime.datetime.now()+datetime.timedelta(days=2))
return response
def cookie_get(request):
print(request.COOKIES)
print(request.COOKIES.get('name'))
return HttpResponse('获取 Cookie 数据')
def cookie_del(request):
# 删除 Cookie 数据需要通过使用 HttpResponse 对象或者其子类对象
response = HttpResponse('设置 Cookie 数据')
# delete_cookie 删除 Cookie 数据
response.delete_cookie('age')
return response
验证登录
def index(request):
return render(request , 'index.html')
def login(request):
if request.method == 'GET':
return render(request , 'login.html')
name =request.POST.get('username')
password =request.POST.get('password')
if not all([name , password]):
return render(request , 'login.html',{'error':'用户名或者密码错误'})
# 获取请求中的重定向 url 的参数
url = request.GET.get('redirect_url')
# 判断是否有携带这个重定向的 url 参数
# 有,登录成功之后重定向到参数指定的 url 中
# 没有 , 默认响应首页
if url:
response = redirect(url)
else:
response = redirect('/index/')
response.set_cookie('cookie_data' , name)
return response
def cart(request):
# 获取浏览器请求中的 Cookie 数据
res = request.COOKIES.get('cookie_data')
# 判断是否有携带制定的键值对数据
if res:
return HttpResponse('购物车页面')
else:
# 浏览器没有这份数据,需要进行登录
url = request.path
return redirect(f'/login/?redirect_url={url}')
def wap(func):
def inner(request , *args , **kwargs):
# 获取浏览器请求中的 Cookie 数据
res = request.COOKIES.get('cookie_data')
# 判断是否有携带制定的键值对数据
if res:
# 返回对应的视图函数
return func(request)
else:
# 浏览器没有这份数据,需要进行登录
url = request.path
return redirect(f'/login/?redirect_url={url}')
return inner
@wap
def cart(request):
return HttpResponse('购物车页面')
@wap
def info(request):
return HttpResponse('个人信息页面')
Cookie 保存数据大小是有限制的,最大保存 4KB;
一个服务器最多在浏览器上保存 20 个 Cookie 数据;
一个浏览器最多保存 300 个 Cookie。
二、Session
Session 跟 Cookie不同的是 Session 数据是保存在服务器中。
当浏览器第一次请求去服务器的时候,服务器会生成一份 Session 的 id 编号给浏览器,是以 Cookie 的形式发给浏览器, 后续浏览器的请求,都会携带这个份 id 进行访问。
Session也是键值对的方式保存用户数据,Session 在服务器给每一个用户创建一个 Session 对象,对象的 id 值是保存在数据库中。
在操作 Session 的数据必须先迁移数据库。
def session_set(request):
# 设置 Session 数据,通过 request 进行设置
# 保存 Session 数据之后,会自动生成 sessionid 的数据保存到数据库:django_session 表中
request.session['name'] = '阿宸'
request.session['age'] = '27'
# 设置过期时间 , 单位:秒
request.session.set_expiry(60)
return HttpResponse('设置 Session 数据')
def session_get(request):
res = request.session.get('name')
return HttpResponse(f'获取 Session 的数据为:{res}')
def session_del(request):
# 清楚过期的 Session 数据
# request.session.clear_expired()
# del request.session['name']
# 清空所有的数据
# request.session.delete()
request.session.flush()
return HttpResponse('ok')
三、跨站点防御
CSRF:跨站点请求伪造
CSRF指攻击者盗用你的身份,以你的名义发送恶意请求(盗取你的账号 , 购买商品 , 窃取你的个人信息)
防止 CSRF 的攻击,Django 在中间件中做了 CSRF 的预防机制。
浏览器第一次访问 服务端的时候,Django 会自动随机生成 token 数据以 Cookie 形式发送给浏览器。当浏览器发送了 post 请求的时候,服务端都会进行自动检查 token是否和保存的一致。以这种方式进行避免 csrf 的攻击。
Django 配置的 中间件的 CSRF 只对 post 请求有效,get 请求无效
