一、Cookie
Cookie的由来
大家都知道HTTP协议是无状态的。
无状态的意思是每次请求都是独立的,它的执行情况和结果与前面的请求和之后的请求都无直接关系,它不会受前面的请求响应情况直接影响,也不会直接影响后面的请求响应情况。
一句有意思的话来描述就是人生只如初见,对服务器来说,每次的请求都是全新的。
状态可以理解为客户端和服务器在某次会话中产生的数据,那无状态的就以为这些数据不会被保留。会话中产生的数据又是我们需要保存的,也就是说要“保持状态”。因此Cookie就是在这样一个场景下诞生。
什么是Cookie
Cookie具体指的是一段小信息,它是服务器发送出来存储在浏览器上的一组组键值对,下次访问服务器时浏览器会自动携带这些键值对,以便服务器提取有用信息。
Cookie的原理
cookie的工作原理是:由服务器产生内容,浏览器收到请求后保存在本地;当浏览器再次访问时,浏览器会自动带上Cookie,这样服务器就能通过Cookie的内容来判断这个是“谁”了。
设置cookie
obj = HttpResponse()
return obj
obj = render()
return obj
obj = redirect()
return obj
obj.set_cookie()
# 给浏览器设置cookie
即:必须是上述三类型的类实例化出来的对象,才能创建cookie
获取cookie
request.COOKIE.get('name')
request.COOKIE['name']
常用参数:
obj.set_signed_cookie(key,value,salt='加密盐', max_age=None, ...)
- key, 键
- value='', 值
- max_age=None, 超时时间
- expires=None, 超时时间(IE requires expires, so set it if hasn't been already.)
- path='/', Cookie生效的路径,/ 表示根路径,特殊的:根路径的cookie可以被任何url的页面访问
- domain=None, Cookie生效的域名
- secure=False, https传输
- httponly=False 只能http协议传输,无法被JavaScript获取(不是绝对,底层抓包可以获取到也可以被覆盖)
简易版本的登陆认证:
def login(request):
if request.method == 'POST':
username = request.POST.get('username')
password = request.POST.get('password')
if username == 'michael'and password == '123':
obj = redirect('/index/')
obj.set_cookie('name','michale')
return obj
return render(request,'login.html',locals())
def index(request):
print(request.COOKIES.get('name'))
if request.COOKIES.get('name'):
return HttpResponse("我是index,只有登录了才可以看")
return redirect('/login/')
加装饰器实现登陆后跳转至上一个进入的页面,给用户更好的体验
get_full_path 与get_path 的区别
get_path 拿到url,但是不含参数
get_full_path 拿到url,同时还有参数,即问号后对应的值
#登陆函数
def login(request):
if request.method == 'POST':
username = request.POST.get('username')
password = request.POST.get('password')
if username == 'michael'and password == '123':
old_path = request.GET.get('next')
#通过GET请求拿到url后面的参数
obj = redirect(old_path)
#此时跳转到上一个页面,给用户更好的体验
obj.set_cookie('name','michale',expires=10)
#给浏览器设置一个cookie的超时时间,过了后,自动清除
return obj
return render(request,'login.html',locals())
#装饰器
from functools import wraps
def auth(func):
@wraps(func) #让装饰器看起来像函数
def inner(request,*args,**kwargs):
old_path = request.get_full_path()
#拿到页面的url及参数
if request.COOKIES.get('name'):
return func(request, *args, **kwargs)
return redirect('/login/?next=%s'%old_path)
#拼接url后的参数,给登陆页面获取GET请求参数铺垫
return inner
#要校验登陆状态的其他函数
@auth
def index(request):
return HttpResponse("我是index,只有登录才可以看")
#要校验登陆状态的其他函数
@auth
def home(request):
return HttpResponse('我是home页面,只有登录了才能看')
当用户退出时,可以将之前设定的cookie字段删除
def logout(request):
obj = redirect("/login/")
obj.delete_cookie("user") # 删除用户浏览器上之前设置的usercookie值
return obj
二、Session
Session的由来
Cookie虽然在一定程度上解决了“保持状态”的需求,但是由于Cookie本身最大支持4096字节,以及Cookie本身保存在客户端,可能被拦截或窃取,因此就需要有一种新的东西,它能支持更多的字节,并且他保存在服务器,有较高的安全性。这就是Session。
问题来了,基于HTTP协议的无状态特征,服务器根本就不知道访问者是“谁”。那么上述的Cookie就起到桥接的作用。
我们可以给每个客户端的Cookie分配一个唯一的id,这样用户在访问时,通过Cookie,服务器就知道来的人是“谁”。然后我们再根据不同的Cookie的id,在服务器上保存一段时间的私密资料,如“账号密码”等等。
总结而言:Cookie弥补了HTTP无状态的不足,让服务器知道来的人是“谁”;但是Cookie以文本的形式保存在本地,自身安全性较差;所以我们就通过Cookie识别不同的用户,对应的在Session里保存私密的信息以及超过4096字节的文本。
另外,上述所说的Cookie和Session其实是共通性的东西,不限于语言和框架。
设置session
request.session['name'] = 'jason'
需要注意,如果没有执行数据库迁移命令,即django里不存在django_session表,会报错
# 1.先生成一个随机的字符串 字符串是加密的
# 2.在django session表中存储该随机字符串与数据的记录 记录也是加密的
# 3.将随机的字符串发送给客户端浏览器 浏览器会在cookie里设置一个键为sessionid来存放session值
补充:与同一浏览器连接,在服务端里若存在许多session值,其字符串还是只有一个
获取session
request.session.get('name')
# 1.django自动获取浏览器随机字符串去django session表里面比对
# 2.如果比对成功 会将当前随机字符串对应的数据赋值给request.session
# 3.通过request.session操作该数据(数据不存在也不会影响我们的业务逻辑)
# 删除当前会话的所有Session数据
request.session.delete()
# 删除当前的会话数据并删除会话的Cookie。
request.session.flush()
这用于确保前面的会话数据不可以再次被用户的浏览器访问
例如,django.contrib.auth.logout() 函数中就会调用它。
django默认的session存活时间是两周(14天)******
# 获取、设置、删除Session中数据
request.session['k1']
request.session.get('k1',None)
request.session['k1'] = 123
request.session.setdefault('k1',123) # 存在则不设置
del request.session['k1']
# 所有 键、值、键值对 request.session.keys() request.session.values() request.session.items() request.session.iterkeys() request.session.itervalues() request.session.iteritems()
# 会话session的key
request.session.session_key
# 将所有Session失效日期小于当前日期的数据删除
request.session.clear_expired()
# 检查会话session的key在数据库中是否存在
request.session.exists("session_key")
# 删除当前会话的所有Session数据
request.session.delete()
# 删除当前的会话数据并删除会话的Cookie。
request.session.flush()
这用于确保前面的会话数据不可以再次被用户的浏览器访问
例如,django.contrib.auth.logout() 函数中就会调用它。
# 设置会话Session和Cookie的超时时间
request.session.set_expiry(value)
* 如果value是个整数,session会在些秒数后失效。
* 如果value是个datatime或timedelta,session就会在这个时间后失效。
* 如果value是0,用户关闭浏览器session就会失效。
* 如果value是None,session会依赖全局session失效策略。
session实现登陆认证:
后端校验
class MyForm(forms.Form):
username = forms.CharField(max_length=8, min_length=4, error_messages={
'max_length': '最长不超过8位',
'min_length': '最短不低于4位',
'required': '不能为空'
})
password = forms.CharField(max_length=8, min_length=4, widget=forms.widgets.PasswordInput(), error_messages={
'max_length': '最长不超过8位',
'min_length': '最短不低于4位',
'required': '不能为空'
})
re_password = forms.CharField(max_length=8, min_length=4, widget=forms.widgets.PasswordInput(), error_messages={
'max_length': '最长不超过8位',
'min_length': '最短不低于4位',
'required': '不能为空'
})
def clean_username(self):
username = self.cleaned_data.get('username')
if 'sb' in username:
self.add_error('username', '你才是个dsb')
return username
def clean(self):
password = self.cleaned_data.get('password')
re_password = self.cleaned_data.get('re_password')
if password != re_password:
self.add_error('re_password', '两次密码不一致')
return self.cleaned_data
注册页面
def reg(request):
obj = MyForm()
if request.method == "POST":
obj = MyForm(request.POST)
username = request.POST.get('username')
password = request.POST.get('password')
if obj.is_valid():
models.User.objects.create(username=username, password=password)
return HttpResponse('注册成功')
return render(request, 'reg.html', locals())
装饰器:
from functools import wraps
def login_auth(func):
@wraps(func)
def inner(request, *args, **kwargs):
if request.session.get('username'):
return func(request, *args, **kwargs)
next_path = request.get_full_path()
return redirect('/login/?next=%s' % next_path)
return inner
登陆页面 def login(request): if request.method == 'POST': username = request.POST.get('username') password = request.POST.get('password') user_obj = models.User.objects.filter(username=username, password=password).first() if user_obj: last_path = request.GET.get('next') obj = redirect(last_path) request.session['username'] = 'michael' return obj return render(request, 'login.html', locals()) @login_auth def text1(request): return HttpResponse('登陆了才给看') @login_auth def text2(request): return HttpResponse('登陆了才给看') models下的: class User(models.Model): username = models.CharField(max_length=16) password = models.CharField(max_length=16)
CBV加装饰器
路由层:
url(r'^home/',views.MyHome.as_view()),
视图层:
装饰器:
from functools import wraps
def login_auth(func):
@wraps(func)
def inner(request, *args, **kwargs):
if request.session.get('username'):
return func(request, *args, **kwargs)
next_path = request.get_full_path()
return redirect('/login/?next=%s' % next_path)
return inner
from django.utils.decorators import method_decorator
from django.views import View
# @method_decorator(login_auth,name='get') 第二种,关键字参数必须加上
class MyHome(View):
@method_decorator(login_auth) #第三种,get和post请求都会被装饰上
def dispatch(self, request, *args, **kwargs):
super().dispatch(request,*args,**kwargs)
# @method_decorator(login_auth) #第一种加装饰器的方式
def get (self, request):
return HttpResponse('get')
def post(self, request):
return HttpResponse('post')