zoukankan      html  css  js  c++  java
  • cookie和session的介绍

    1.cookie和session

    cookie不属于http协议范围,由于http协议无法保持状态,但实际情况,我们却又需要“保持状态”,因此产生cookie。

    cookie的工作原理是:由服务器产生内容,浏览器收到请求后保存在本地;当浏览器再次访问时,浏览器会自动带上cookie,这样服务器就能通过cookie的内容来判断这个是“谁”了。

    cookie虽然在一定程度上解决了“保持状态”的需求,但是由于cookie本身最大支持4096字节,以及cookie本身保存在客户端,可能被拦截或窃取,因此就需要有一种新的东西,它能支持更多的字节,并且他保存在服务器,有较高的安全性。这就是session。

    基于http协议的无状态特征,服务器根本就不知道访问者是“谁”。那么上述的cookie就起到桥接的作用。

    我们可以给每个客户端的cookie分配一个唯一的id,这样用户在访问时,通过cookie,服务器就知道来的人是“谁”。然后我们再根据不同的cookie的id,在服务器上保存一段时间的私密资料,如“账号密码”等等。

    总结而言:cookie弥补了http无状态的不足,让服务器知道来的人是“谁”;但是cookie以文本的形式保存在本地,自身安全性较差;所以我们就通过cookie识别不同的用户,对应的在session里保存私密的信息以及超过4096字节的文本。

    2.登陆应用原理

    之前所写的登录认证,可以绕过登陆页面直接输入后台的url地址也可以直接访问,这显然是不合理的。此时我们就需要一种验证机制来执行他的访问顺序,这就引出了我们需要掌握的cookie和session知识。

    每当使用浏览器访问登陆页面的时候,一旦通过了认证,服务器端就会发送一组随机唯一的字符串(假设是123abc)到浏览器端,这个被存储在浏览端的东西就叫cookie。而服务器端也会自己存储一下用户当前的状态,比如login=true,username=hahaha之类的用户信息。但是这种存储是以字典形式存储的,字典的唯一key就是刚才发给用户的唯一的cookie值。那么如果在服务器端查看session信息的话,理论上就会看到如下样子的字典

    {'123abc':{'login':true,'username:hahaha'}}

    因为每个cookie都是唯一的,所以我们在电脑上换个浏览器再登陆同一个网站也需要再次验证。那么为什么说我们只是理论上看到这样子的字典呢?因为处于安全性的考虑,其实对于上面那个大字典不光key值123abc是被加密的,value值{'login':true,'username:hahaha'}在服务器端也是一样被加密的。所以我们服务器上就算打开session信息看到的也是类似与以下样子的东西

    {'123abc':dasdasdasd1231231da1231231}

    3.cookie的使用

    3.1.获取cookie

    request.COOKIES.get("islogin",None)  #如果有就获取,没有就默认为none

    3.2.设置cookie

    obj = redirect("/index/")
      obj.set_cookie("islogin",True)  #设置cookie值,注意这里的参数,一个是键,一个是值
      obj.set_cookie("han","344",20)  #20代表过期时间
      obj.set_cookie("username", username)

    3.3.删除cookie

    obj.delete_cookie("cookie_key",path="/",domain=name)

    3.4代码演示

    login.html

    <!DOCTYPE html>
    <html lang="en">
    <head>
        <meta charset="UTF-8">
        <title>Title</title>
    </head>
    <body>
    
    <form action="" method="post">
        {% csrf_token %}
       用户名 <input type="text" name="user">
       密码 <input type="password" name="pwd">
        <input type="submit">
    </form>
    
    </body>
    </html>

    index.html

    <!DOCTYPE html>
    <html lang="en">
    <head>
        <meta charset="UTF-8">
        <title>Title</title>
    </head>
    <body>
    <h3>个人首页 上次登陆时间:{{ login_time }}</h3>
    <p>Hi,{{ username }}<a href="/logout/">注销</a></p>
    </body>
    </html>

    url.py

    from app01 import views
    urlpatterns = [
        path('admin/', admin.site.urls),
        path('login/', views.login),
        path('index/', views.index),
      path('logout/', views.logout),
    ]

    views.py

    import datetime
    def login(request):
        if request.method=="POST":
            print("请求数据", request.POST)
            # 请求数据 <QueryDict: {'user': ['luffy'],
            # 'csrfmiddlewaretoken': ['HNPVaawl2uIskjF5ecDu4sCQ0ogHlJolmoJ3QwNUMJq6bjb2mvTYoTEQfkaU1nlZ'],
            # 'pwd': ['1234']}>
            user=request.POST.get("user")
            pwd=request.POST.get("pwd")
            if user=="luffy" and pwd=="1234":
                obj=redirect("/index/")
                # 设置cookie值,注意这里的参数,一个是键,一个是值
                obj.set_cookie("is_login",True)
                obj.set_cookie("username",user)
                obj.set_cookie("login_time",datetime.datetime.now())
                return obj
        return render(request, "login.html")
    
    
    def index(request):
        print("cookies>>>",request.COOKIES)
        # cookies>>> {'username': 'luffy',
        # 'csrftoken': 'VhnK7pMOMZaXkxnxAVR2mdOFNssjqQCgAShSNL3nweSBbxTuIe7wGEQF2omw6uzU',
        # 'login_time': '2018-07-05 22:43:37.046751',
        # 'Hm_lvt_382f81c966395258f239157654081890': '1530776325',
        # 'is_login': 'True'}
        is_login=request.COOKIES.get("is_login")
        if not is_login:
            return redirect("/login/")
        username=request.COOKIES.get("username")
        login_time=request.COOKIES.get("login_time")
        return render(request,"index.html",locals())
    
    def logout(request):
      # 注意,我使用的是session来操作的
        request.session.flush()
        return redirect("/login/")

    效果:

    点击提交后:

    点击注销后,返回到登陆主页面,此时你无法通过url直接访问index页面,服务器已经把当前的cookie给清空了

    3.5 cookie存储到客户端

    优点:数据存储在客户端。减轻服务端的压力,提高网站的性能

    缺点:安全性不高,在客户端很容易被查看或破解用户会话信息

     4.session的使用

    4.1相关操作

    1、设置Sessions值
              request.session['session_name'] ="admin"
    2、获取Sessions值
              session_name = request.session["session_name"]
    3、删除Sessions值
              del request.session["session_name"]
    4、flush()
         删除当前的会话数据并删除会话的Cookie。
         这用于确保前面的会话数据不可以再次被用户的浏览器访问
    

     4.2session配置

    Django默认支持Session,并且默认是将Session数据存储在数据库中,即:django_session 表中。
       
    a. 配置 settings.py
       
        SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎(默认)
           
        SESSION_COOKIE_NAME = "sessionid"                       # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认)
        SESSION_COOKIE_PATH = "/"                               # Session的cookie保存的路径(默认)
        SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名(默认)
        SESSION_COOKIE_SECURE = False                            # 是否Https传输cookie(默认)
        SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http传输(默认)
        SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期(2周)(默认)
        SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否关闭浏览器使得Session过期(默认)
        SESSION_SAVE_EVERY_REQUEST = False                       # 是否每次请求都保存Session,默认修改之后才保存(默认)

    4.3代码演示

      这里代码和上个案例最终效果一模一样,不过在session里面增添了数据库的操作,而且session相关的数据都存放在数据库中

     login.html

    <!DOCTYPE html>
    <html lang="en">
    <head>
        <meta charset="UTF-8">
        <title>Title</title>
    </head>
    <body>
    
    <form action="" method="post">
        {% csrf_token %}
       用户名 <input type="text" name="user">
       密码 <input type="password" name="pwd">
        <input type="submit">
    </form>
    
    </body>
    </html>
    View Code

    index.html

    <!DOCTYPE html>
    <html lang="en">
    <head>
        <meta charset="UTF-8">
        <title>Title</title>
    </head>
    <body>
    <h3>个人首页 上次登陆时间:{{ login_time }}</h3>
    <p>Hi,{{ username }}<a href="/logout/">注销</a></p>
    </body>
    </html>
    View Code

    models.py

    class User(models.Model):
        user=models.CharField(max_length=32)
        pwd=models.CharField(max_length=32)

    url.py

    from app01 import views
    urlpatterns = [
        path('login_session/', views.login_session),
        path('index_session/', views.index_session),
        path('logout/', views.logout),
    ]

    views.py

    from django.shortcuts import render,redirect
    
    # Create your views here.
    import datetime
    
    from app01.models import User
    def login_session(request):
        if request.method=="POST":
            user=request.POST.get("user")
            pwd=request.POST.get("pwd")
            if User.objects.filter(user=user,pwd=pwd):
                # 写session
                request.session["is_login"]=True
                request.session["username"]=user
                request.session["login_time"]=datetime.datetime.now().strftime("%Y-%m-%d %X")
                return redirect("/index_session/")
        return render(request, "login.html")
    
    
    def index_session(request):
        is_login=request.session.get("is_login")
        if not is_login:
            return redirect("/login_session/")
    
        username = request.session.get("username")
        login_time = request.session.get("login_time")
        return render(request,"index.html",locals())
    
    
    def logout(request):
        request.session.flush()
        '''
         1 获取随机字符串sessionid   2t2g0q1njiq6ndct31vumwkplkilcj7o
         2 在服务器的django-session表中存在三个字段
           session-key                 session-data                              expire_date
           123sasd3j980adnj3289asb     {"is_login":True,"username":"alex"}        设置的失效时间
                 
           obj=django-session.objects.filter(session-key=2t2g0q1njiq6ndct31vumwkplkilcj7o).first()
           obj.delete()
        
         3 response.delete_cookie("sessionid")
         
        '''
    
        return redirect("/login_session/")

    session在django中自己创建的数据路django_session

    5.cookie和session的区别

    1、cookie数据存放在客户的浏览器上,session数据放在服务器上。
    
    2、cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗
       考虑到安全应当使用session。
    
    3、session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能
       考虑到减轻服务器性能方面,应当使用COOKIE。
    
    4、单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。
    
    5、建议:
       将登陆信息等重要信息存放为SESSION
       其他信息如果需要保留,可以放在COOKIE中
    

    6.清理过期session 

      如果用户主动退出,session会自动清除,如果没有退出就一直保留,记录数越来越大,要定时清理没用的session。

    在django中运行如下命令:

    python manage.py clearsessions

      当然在pycharm中还有另外一条路径,这里就不做说明了

  • 相关阅读:
    【区间DP】低价回文
    【二分图】文理分班
    【线型DP】洛谷P2066 机器分配
    电路原理 —— 电路基本概念和电路定律(1)
    数据结构(1) —— 绪论
    静电场 —— 电通量 高斯定理
    电路原理 —— 三相电路(1)
    静电场 —— 电场 电场强度
    静电场 —— 电荷 库伦定律
    Python——jieba库初使用
  • 原文地址:https://www.cnblogs.com/LearningOnline/p/9264878.html
Copyright © 2011-2022 走看看