1. 背景介绍
HTTP协议有一个特性就是无状态的,是指协议对于交互性场景没有记忆能力。
随着动态交互的web应用的出现,HTTP的无状态特性严重阻碍了动态交互应用程序的发展,例如一些购物网站在进行购物时候都会进行了页面跳转/刷新,按照HTTP的无状态协议岂不是登录一次又一次。于是,两种用于保持http连接状态的技术就应运而生了,这个就是Session和Cookie。
2、Cookie简介
Cookie,有时也用Cookies,是指web程序为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据(通常经过加密),一般是以键值对的形式存在,Cookie具有不可跨域名性
Cookie是http协议中定义在 header 中的字段
2.1 cookie解决无状态问题原理
Cookie 技术通过在请求和响应报文中写入Cookie 信息来控制客户端的状态。
Cookie 会根据从服务器端发送的响应报文内的一个叫做Set-Cookie的首部字段信息,通知客户端保存Cookie。当下次客户端再往该服务器发送请求时,客户端会自动在请求报文中加入Cookie 值后发送出去。
服务器端发现客户端发送过来的Cookie 后,会去检查究竟是从哪一个客户端发来的连接请求,然后对比服务器上的记录,最后得到之前的状态信息。
-
没有Cookie信息状态下的请求
-
第2次以后(存有Cookie信息状态)的请求
2.2 cookie的常见属性:
-
name:cookie的名称
-
value:cookie的值
-
domain:该cookie的所属域名,具有继承性,只允许本域名及子域名访问
譬如:test.com 这个是顶级域名, 二级域名 aaa.test.com 就是 test.com 的子域名,三级域名 bbb.aaa.test.com 是 aaa.test.com 的子域名
如果设置一个 cookie: user=terry ,domain = aaa.test.com
那么:
aaa.test.com 这个域名下的url都可以访问 该cookie
bbb.aaa.test.com 下的url也可以访问 该cookie
但是 test.com 下的url不可以访问该cookie,兄弟域名ccc.test.com 也不可以访问该cookie
-
path:该cookie的所属的路径,具有继承性,只允许本路径及子路径域名访问,设置为根路径 path=‘/’ ,则所有路径都可以访问
-
expires/Max-Age:expires设置为一个失效时间值,HTTP1.1 中,expires 被弃用并且被Max-Age替代,设置为cookie多久时间之后失效,是整型,表示秒数
def cookie_set_test(request):
# 设置cookie
response = HttpResponse('设置cookie')
# response.set_cookie('num',123,max_age=24*3600) # max_age单位是秒
response.set_cookie('num',123,expires=(datetime.now()+timedelta(days=1,hours=1)))
return response
-
size:cookie的内容大小
-
http:httponly属性,默认为False,若此属性为true,则只有在http请求头中会带有此cookie的信息,而不能通过JavaScript(document.cookie)来访问此cookie
-
secure:默认为False,设置是否只能通过https来传递此cookie
3、Django中应用cookie
3.1 cookie的设置与获取
from django.shortcuts import render
from django.http.response import HttpResponse
# Create your views here.
def cookie_set_test(request):
# 设置cookie
response = HttpResponse('设置cookie')
response.set_cookie('num',123)
return response
def cookie_get_test(request):
# 获取cookie信息
num = request.COOKIES.get('num')
return HttpResponse(f'获取cookie信息num:{num}')
3.2 签名(加密)的Cookie
from django.shortcuts import render
from django.http.response import HttpResponse
from datetime import datetime, timedelta
# Create your views here.
def cookie_set_test(request):
# 设置cookie
response = HttpResponse('设置cookie')
# response.set_cookie('num',123,max_age=24*3600) # max_age单位是秒
response.set_cookie('num',123,expires=(datetime.now()+timedelta(days=1,hours=1)))
response.set_signed_cookie('pwd','root',salt='pwdsalt')
return response
def cookie_get_test(request):
# 获取cookie信息
num = request.COOKIES.get('num')
pwd = request.get_signed_cookie('pwd',None,salt='pwdsalt')
return HttpResponse(f'获取cookie信息num:{num},pwd:{pwd}')
4.Cookie实现三天免登录
url
from django.contrib import admin
from django.urls import path,include
from . import views
app_name = 'cookie_demo_app'
urlpatterns = [
path('login_html/', views.login_html, name='login_html'),
path('dologin/', views.dologin,name="dologin")
]
views
from django.shortcuts import render,HttpResponse, redirect
# Create your views here.
def login_html(request):
uname = request.COOKIES.get('uname')
password = request.get_signed_cookie('password',None,salt='passwordsalt')
if uname and password:
return render(request,'cookie_demo_app/login_html.html', {'uname':uname,'password':password})
else:
return render(request,'cookie_demo_app/login_html.html')
def dologin(request):
# 获取表单中数据
data = request.POST
uname = data.get('uname')
password = data.get('password')
rember = data.get('rember')
# 判断是否可以登录
if uname=='root' and password=='123':
response = HttpResponse('登录成功')
if rember == 'rember':
# 如果条件成立,则说明勾选了三天免登录
# 将unmae,password 添加到cookie中
response.set_cookie('uname', uname, max_age=3*24*3600)
response.set_signed_cookie('password', password, max_age=3*24*3600, salt='passwordsalt')
else:
response.delete_cookie('uname')
response.delete_cookie('password')
return response
else:
return redirect('cookie_demo_app:login_html')
templates
<body>
<form action="{%url 'cookie_demo_app:dologin' %}" method="POST">
{% csrf_token %}
<p>用户名:<input type="text" name="uname" value="{{uname}}"></p>
<p>密码: <input type="password" name="password" value="{{password}}"></p>
<p><input type="checkbox" name="rember" value="rember" {% if uname %}checkbox{% endif %}>三天免登录</p>
<p><input type="submit" value="登录"></p>
</form>
</body>
5.Session简介
Session,在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话 。
会话状态仅在支持 cookie 的浏览器中保留!及session是依赖于cookie的。
django框架中的session管理允许存储和检索任意数据,它在服务器端存储数据并抽象cookie的发送和接收。Cookie包含session的ID,而不是数据本身(除非使用基于cookie的session管理类型)
5.1 通过Cookie来管理Session
6. django中应用session
6.1 启用session
要应用session,必须开启session中间层,在settings中:
MIDDLEWARE = [
# 启用 Session 中间层
'django.contrib.sessions.middleware.SessionMiddleware',
]
6.2 五种类型的session
Django中默认支持Session,其内部提供了5种类型供开发者使用:
- 数据库(默认)
- 缓存
- 文件
- 缓存+数据库
- 加密cookie
5种方式的启动配置各异,但是启动完成后,在程序中的使用方式都相同:
6.2.1. 数据库方式
默认的方式,最简单
# 数据库方式(默认):
SESSION_ENGINE = 'django.contrib.sessions.backends.db'
# 数据库类型的session引擎需要开启此应用,启用 sessions 应用
INSTALLED_APPS = [
'django.contrib.sessions',
]
6.2.2 缓存
速度最快,但是由于数据是保存在内存中,所以不是持久性的,服务器重启或者内存满了就会丢失数据
PS:有其他的方式实现持久性的缓存方式,官网查阅:Memcached缓存后端
SESSION_ENGINE = 'django.contrib.sessions.backends.cache'
6.2…3 缓存+数据库
速度次于单纯缓存方式,但是实现了持久性,每次写入高速缓存也将写入数据库,并且如果数据尚未存在于缓存中,则使用数据库
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'
6.2.4 文件
SESSION_ENGINE = 'django.contrib.sessions.backends.file'
# 设置文件位置, 默认是 tempfile.gettempdir(),
# linux下是:/tmp
# windows下是: C:\Users\51508\AppData\Local\Temp
SESSION_FILE_PATH = 'd:\session_dir'
6.2.5 加密cookie
基于cookie的session,所有数据都保存在cookie中,一般情况下不建议使用这种方式
- cookie有长度限制,4096个字节
- cookie不会因为服务端的注销而无效,那么可能造成攻击者使用已经登出的cookie模仿用户继续访问网站
- SECRET_KEY这个配置项绝对不能泄露,否则会让攻击者可以远程执行任意代码
- cookie过大,会影响用户访问速度
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'
6.3 session的参数配置
配置在settings和views中
# Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认)
SESSION_COOKIE_NAME = "sessionid"
# Session的cookie保存的路径(默认)
SESSION_COOKIE_PATH = "/"
# Session的cookie保存的域名(默认)
SESSION_COOKIE_DOMAIN = None
# 是否Https传输cookie(默认)
SESSION_COOKIE_SECURE = False
# 是否Session的cookie只支持http传输(默认)
SESSION_COOKIE_HTTPONLY = True
# Session的cookie失效日期(2周)(默认)
SESSION_COOKIE_AGE = 1209600
# 是否关闭浏览器使得Session过期(默认)
SESSION_EXPIRE_AT_BROWSER_CLOSE = False
# 是否每次请求都保存Session,默认修改之后才保存(默认)
SESSION_SAVE_EVERY_REQUEST = False
def session_get_test(request):
session = request.session
# 测试flush(刷新掉所有的session)
# session.flush()
# 获取session到期的时间
time = session.get_expiry_age()
date = session.get_expiry_date()
# 获取session存储的值
uname = request.session.get('uname')
age = request.session.get('age')
return HttpResponse(f'uname:{uname}, age:{age}, 到期时间{time}----{date}')
6.4 程序中的应用
连接数据库
在Navicat中创建数据库
配置
DATABASES = {
'default': {
'ENGINE': 'django.db.backends.mysql',
'NAME': 'session_cookie_study',
'HOST':'127.0.0.1',
"USER":'root',
"PASSWORD":'root',
"PORT":3306
}
}
预备迁移数据库+迁移数据库(方法可以参考上篇文章)
url配置
from django.contrib import admin
from django.urls import path,include
from . import views
urlpatterns = [
path('session_set_test/', views.session_set_test),
path('session_get_test/', views.session_get_test),
]
views
from django.shortcuts import render, HttpResponse, redirect
# Create your views here.
def session_set_test(request):
# 使用session保存 uname age
request.session['uname'] = 'root'
request.session['age'] = 'age'
return HttpResponse('设置session')
def session_get_test(request):
# 获取session存储的值
uname = request.session.get('uname')
age = request.session.get('age')
return HttpResponse(f'uname:{uname}, age:{age}')
6.5 Session使用示例
先创建好后台管理的用户名和密码,可以查看上一篇文章
python manage.py createsuperuser
url路由
from django.contrib import admin
from django.urls import path,include
from . import views
app_name = 'session_demo_app'
urlpatterns = [
path('login/',views.login,name="login"),
path('index/',views.index,name="index"),
path('loginout/',views.loginout, name="loginout"),
]
views
from django.shortcuts import render,HttpResponse, redirect
from django.contrib import auth
from django.contrib.auth.decorators import login_required
# Create your views here.
def login(request):
if request.method == 'POST':
# 获取表单数据
username = request.POST.get('username')
password = request.POST.get('password')
user = auth.authenticate(username=username, password=password) # 通过auth查看此用户是否存在
if user:
auth.login(request,user)
# 跳转到主页
return redirect('session_demo_app:index')
else:
error_msg = '用户名或密码错误'
request.session['error_msg'] = error_msg # 作为一个session保存错误信息
return redirect('session_demo_app:login')
elif request.method == 'GET':
# 获取session中保存的错误信息
error_msg = request.session.get('error_msg')
if error_msg:
del request.session['error_msg']
return render(request, 'session_demo_app/login.html',{'error_msg':error_msg})
# 登录装饰器的使用
@login_required(login_url='session_demo_app:login')
def index(request):
return render(request, 'session_demo_app/index.html')
def loginout(request):
# 登出操作
auth.logout(request)
return redirect('session_demo_app:login')
template:index.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
</head>
<body>
<p>欢迎用户{{request.user.username}}登录</p>
<p><a href="{% url 'session_demo_app:loginout' %}">登出</a></p>
</body>
</html>
template:login.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
</head>
<body>
<form action="{%url 'session_demo_app:login' %}" method="POST">
{% csrf_token %}
<p>用户名:<input type="text" name="username"></p>
<p>密码: <input type="password" name="password"></p>
<p><input type="checkbox" name="rember" value="rember" {% if uname %}checkbox{% endif %}>三天免登录</p>
{%if error_msg %}<p><strong>{{error_msg}}</strong></p> {%endif%}
<p><input type="submit" value="登录"></p>
</form>
</body>
</html>
