【1030 | Day56】cookie和session

目录

• 1. cookie
  • 定义
  • 为什么有cookie？
  • 特性
  • django中操作cookie
  • cookie版登陆校验
• 2. session
  • 定义
  • 为什么要有session？
  • django中操作session
  • session版登录验证

1. cookie

定义

1. cookie是保存在客户端浏览器上的键值对
2. 是服务端设置在客户端浏览器上的键值对
3. 也就意味着浏览器其实可以拒绝服务端的"命令"
4. 默认情况下，浏览器都是直接让服务端设置键值对

为什么有cookie？

1. http协议是无状态的
2. 每次http请求都是对立的，相互之间没有关联
3. 用cookie保存状态

特性

1. 由服务器让浏览器进行设置的。
2. 浏览器保存在浏览器本地上。
3. 下次访问时会自动携带相应的cookie

django中操作cookie

设置：

• obj.set_cookie( ) >>> ‘key:value’

ret = HttpResponse('xxxxx')
rep ＝ render(request, ...)

ret.set_cookie(key, value, max_age=1000, path='/')     

ret.set_signed_cookie(key, value, salt='s21'   )

参数：

1. key, 键
2. value='', 值
3. max_age=None, 超时时间
4. expires=None, 超时时间(IE requires expires, so set it if hasn't been already.)
5. path='/', Cookie生效的路径，/ 表示根路径，特殊的：根路径的cookie可以被任何url的页面访问
6. domain=None, Cookie生效的域名
7. secure=False, https传输
8. httponly=False 只能http协议传输，无法被JavaScript获取（不是绝对，底层抓包可以获取到也可以被覆盖）

获取：

• request.COOKIES.get( )
• request.COOKIES[]

request.get_signed_cookie(key, salt='s21', default=RAISE_ERROR, max_age=None)

参数：

1. default: 默认值
2. salt: 加密盐
3. max_age: 后台控制过期时间

删除

• ret.delete_cookie( )

def logout(request):
    rep = redirect("/login/")
    rep.delete_cookie("user")  # 删除用户浏览器上之前设置的usercookie值
    return rep

cookie版登陆校验

def check_login(func):
    @wraps(func)
    def inner(request, *args, **kwargs):
        next_url = request.get_full_path()
        if request.get_signed_cookie("login", salt="SSS", default=None) == "yes":
            # 已经登录的用户...
            return func(request, *args, **kwargs)
        else:
            # 没有登录的用户，跳转刚到登录页面
            return redirect("/login/?next={}".format(next_url))
    return inner


def login(request):
    if request.method == "POST":
        username = request.POST.get("username")
        passwd = request.POST.get("password")
        #第一种 单纯测试一下
        if username == "xxx" and passwd == "dashabi":
        #第二种 利用models数据库
        obj = models.Userinfo.objects.filter(username=username, password=passwd)
        if obj:
            next_url = request.GET.get("next")
            #确定是否注销
            if next_url and next_url != "/logout/":
                response = redirect(next_url)
            else:
                response = redirect("/class_list/")
            response.set_signed_cookie("login", "yes", salt="SSS")
            return response
    return render(request, "login.html")

2. session

定义

• 保存在服务器上的一组组键值对,必须依赖cookie
• django session默认的过期时间是14天

为什么要有session？

1. cookie保存在浏览器本地，不安全
2. cookie的大小受到限制

django中操作session

设置：

• request.session['key'] = value
  • 仅仅只会在内存产生一个缓存

"""
1.django内部自动生成了随机的字符串
2.在django_session表中存入数据
session_key          session_data         date
随机字符串1              数据1            ...
随机字符串2              数据2            ...
随机字符串3              数据3            ...
3.将产生的随机字符串发送给浏览器 让浏览器保存到cookie中
sessionid:随机字符串

"""  

获取：

• request.session['key']
• request.session.get(key)

"""
1.浏览器发送cookie到django后端之后 django会自动获取到cookie值
2.拿着随机字符串去django_session表中比对 是否有对应的数据
3.如果比对上了 就讲随机字符串所对应的数据 取出赋值给request.session
如果对不上 那么request.session就是个空

"""

删除：

• del request.session[key]

• request.session.pop(key)

• request.session.delete()

  • 只删除服务端的session，不删除客户端的cookie

• request.session.flush()

  • 全部删除

其他：

• request.session.session_key
• request.session.set_expiry(value)
  • 设置超时时间
• request.session.clear_expiried()

配置：

1. 数据库Session
SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎（默认）

2. 缓存Session
SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
SESSION_CACHE_ALIAS = 'default'                            # 使用的缓存别名（默认内存缓存，也可以是memcache），此处别名依赖缓存的设置

3. 文件Session
SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎
SESSION_FILE_PATH = None                                    # 缓存文件路径，如果为None，则使用tempfile模块获取一个临时地址tempfile.gettempdir() 

4. 缓存+数据库
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'        # 引擎

5. 加密Cookie Session
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'   # 引擎

其他公用设置项：
SESSION_COOKIE_NAME ＝ "sessionid"                       # Session的cookie保存在浏览器上时的key，即：sessionid＝随机字符串（默认）
SESSION_COOKIE_PATH ＝ "/"                               # Session的cookie保存的路径（默认）
SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名（默认）
SESSION_COOKIE_SECURE = False                            # 是否Https传输cookie（默认）
SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http传输（默认）
SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期（2周）（默认）
SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否关闭浏览器使得Session过期（默认）
SESSION_SAVE_EVERY_REQUEST = False                       # 是否每次请求都保存Session，默认修改之后才保存（默认）

session版登录验证

from functools import wraps


def check_login(func):
    @wraps(func)
    def inner(request, *args, **kwargs):
        #request.path_info 不加括号 只拿后缀
        next_url = request.get_full_path()  #后缀加get请求携带的参数
        if request.session.get("user"):
            return func(request, *args, **kwargs)
        else:
            return redirect("/login/?next={}".format(next_url))
    return inner


def login(request):
    if request.method == "POST":
        user = request.POST.get("user")
        pwd = request.POST.get("pwd")

        if username == "alex" and pwd == "alex1234":
            # 设置session
            request.session["user"] = user
            # 获取跳到登陆页面之前的URL
            next_url = request.GET.get("next")
            # 如果有，就跳转回登陆之前的URL
            if next_url:
                return redirect(next_url)
            # 否则默认跳转到index页面
            else:
                return redirect("/index/")
    return render(request, "login.html")

昨天正好在做一个书单订阅和用户绑定关系的功能，结果发现我们的操作都是一个页面一个页面跳转，登录后的信息无法存储取值。

学完cookie和session就明白了，登录后的操作都可以通过这个办法保存，然后完善更多功能，做绑定关系。