Django:Cookie和session

2.1Cookie

Cookie的由来

• HTTP协议是无状态的
• 无状态的意思是每次请求都是独立的，它的执行情况和结果与前面的请求和之后的请求都无直接关系，它不会受前面的请求响应情况直接影响，也不会直接影响后面的请求响应情况。
• 状态可以理解为客户端和服务器在某次会话中产生的数据，那无状态的就以为这些数据不会被保留。会话中产生的数据又是我们需要保存的，也就是说要“保持状态”。因此Cookie就是在这样一个场景下诞生。

什么是Cookie

• Cookie具体指的是一段小信息，它是服务器发送出来存储在浏览器上的一组组键值对，下次访问服务器时浏览器会自动携带这些键值对，以便服务器提取有用信息。
• cookie的工作原理是：由服务器产生内容，浏览器收到请求后保存在本地；当浏览器再次访问时，浏览器会自动带上Cookie，这样服务器就能通过Cookie的内容来判断这个是“谁”了。

查看Cookie

• 使用Chrome浏览器，打开开发者攻击查看

  

应用：

• 登录
• 保存浏览习惯
• 简单的投票

Django中操作Cookie

• 设置/获取Cookie

  #第一种方法普通获取/设置：
  #set_cookie         设置
  class Login(View):
      def get(self,request):
          pass
      def post(slef.request):
          #获取重定向对象
  		ret = redirect(url)
           ret.set_cookie("login","1")#设置cookie为｛"login":"1"｝
           ...
            
  #request.COOKIES.get(键)       获取
  def login_required(func):#login_required函数是装饰器函数
      def inner(request,*args,**kwargs):
          login = request.COOKIES.get("login")
          print(login)
          url = request.path_info
          if login != "1":
              return redirect("/login/?return_url={}".format(url))
          ret = func(request,*args,**kwargs)
          return ret
      return inner
  
  @login_required
  def foo(request):...
  
  #第二种方法加密获取：
  #设置
  rep.set_signed_cookie(key,value,salt='加密盐',...)
  参数：
  	key  键
      value  值
      max_age = None 超时时间
      expires = None 超时时间（IE浏览器使用）
      path = "/"   Cookie生效的路径
      domain = None   Cookie生效的域名
      secure = False   HTTPS传输
      httponly = False  只能http协议传输，无法被JavaScript获取（但不是绝对，底层抓包可以获取到也可以被覆盖）
  
  #获取
  request.get_signed_cookie('key', default="", salt='', max_age=None)
  参数：
  	key    键
      value  值
      max_age   后台控制过期时间
  
  
  ret.set_signed_cookie("login", "1", salt="yan")
          login = request.get_signed_cookie("login",salt="yan",default="")
  
  

  • 注意：当设置时候，不能有default=""，当获取时候，应有default=""，否则会报错

当set_signed_cookie 设置max_age=21秒，表示21秒后Cookie就失效

• 通过set_signed_cookie设置，get_signed_cookie获取 对比 set_cookie设置 ，request.COOKIES.get(键) 获取

  两者都是成对出现，缺一都不能使用

  set_signed_cookie设置会对cookies加密，但还是在Response Cookies显示出来，比如设置的1，在红色框内：

• 当设置secure = True,可以看到Response Cookies 中loginSecure中打✔，只有HTTPS才能继续登录。

• httponly = True 只能HTTP协议登录

• 删除

  • 用途：删除用户浏览器上之前设置的user的cookie值

  ret = redirect("/login/")
  ret.delete_cookie("login")
  

  • 示例：用户退出

    def logout(request):
        ret= redirect("/login/")#退出回到登录页面
        ret.delete_cookie("login")#清除Cookie
        return ret
    

2.2Session

session由来

• 需要有一种新的东西，它能支持更多的字节，并且他保存在服务器，有较高的安全性。这就是Session。

  • 是由于Cookie本身最大支持4096字节。
  • Cookie本身保存在客户端，可能被拦截或窃取。

• Cookie弥补了HTTP无状态的不足，让服务器知道来的人是“谁”；但是Cookie以文本的形式保存在本地，自身安全性较差；所以我们就通过Cookie识别不同的用户，对应的在Session里保存私密的信息以及超过4096字节的文本。

• session保存在服务器上一组组键值对(必须依赖cookie),不需要进行传输

• session存的数据放在关联数据库的django-session表中

  

Session中方法

• 设置session

  request.session[key] = values
  request.session.setdefault('k1',123)
  

• 获取session

  request.session.get(key,None)
  

• 删除session

  del request.session[key]
  

• 用session实现登录验证

  class Login(View):
      def get(self,request):
          return render(request,"login.html")
      def post(self,request):
          username = request.POST.get("username")
          pwd = request.POST.get("pwd")
          obj = models.User.objects.filter(username=username,pwd=pwd)
          if obj:
              url = request.GET.get("return_url")
              if url:
                  ret = redirect(url)
              else:
                  ret = redirect("/home/")
              #设置session login
              request.session['login'] = 1
  
  
              return ret
  
          return render(request,"login.html",{"error":"用户名密码不正确"})
  
  def login_required(func):#装饰器，判断当前访问状态
      def inner(request,*args,**kwargs):
          #获取session 
          login = request.session.get("login")
          print(login)
          url = request.path_info
          if login != 1:
              return redirect("/login/?return_url={}".format(url))
          ret = func(request,*args,**kwargs)
          return ret
      return inner
  
  
  @login_required
  def home(request):
      return render(request,"home.html")
  
  
  @login_required
  def index(request):
      return render(request,"index.html")
  
  

  • 由图可以看出sessionid = 数据库存储的session_key

session流程分析：

• 流程图

• session表

• 浏览器

浏览器访问服务器，服务器会自动生成一个随机字符串，设置的值放置在一个字典当中，随机生成的字符串放在Django-session表中session-key字段，数据放在session-data中（加密后），expire_date是超时时间。并保存

把数据库session-key随机字符串放在cookie里返回给浏览器，也就是sessionid。可以理解为sessionid为cookie ,value为返回随机字符串

待到下次访问时会携带cookie(也就是sessionid),服务器会根据cookie从数据库中找到相应数据，再解密返回给浏览器。

由此可知session不能独立使用，必须依赖于cookie使用

session中其他方法

• 获取所有，键、值、键值对

  request.session.keys()
  request.session.values()
  request.session.items()
  

• 获取session_key

  request.session.session_key
  

• 失效日期数据删除

  request.session.clear_expired()
  

  • 示例：删除失效数据

    

• 检查会话session的key是否在数据库存在

  request.session.exists("session_key")
  

  • request.session.exists("session_key")

    def index(request):
        ret = request.session.session_key
        result= request.session.exists(ret)
        print(result)#True
        return render(request,"index.html")
    

• 删除当前会话所有session数据，不删除cookie

  request.session.delete()
  

  • 退出，并在库中信息删除

    def logout(request):
        ret= redirect("/login/")
        request.session.delete()
        return ret
    

• 删除当前会话session数据并删除会话cookie

  request.session.flush()
  

  • 当执行此语句

    

• 设置会话session和Cookie的超时时间(超时后，cookie删除，但是数据库还有session)

  request.session.set_expiry(value)
  	如果value是整整数，session会在相应秒数后失效
  	如果value是个datatime获取timedelta,session就会在这个时间后失效
  	如果value是0，用户关闭浏览器session就会失效
  	如果value是None，session会依赖全局session失效策略
  

  • 示例：request.session.set_expiry(10)

    

Django中的Session配置

1. 数据库Session
SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎（默认）

2. 缓存Session
SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
SESSION_CACHE_ALIAS = 'default'                            # 使用的缓存别名（默认内存缓存，也可以是memcache），此处别名依赖缓存的设置

3. 文件Session
SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎
SESSION_FILE_PATH = None                                    # 缓存文件路径，如果为None，则使用tempfile模块获取一个临时地址tempfile.gettempdir() 

4. 缓存+数据库
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'        # 引擎

5. 加密Cookie Session
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'   # 引擎

其他公用设置项：
SESSION_COOKIE_NAME ＝ "sessionid"                       # Session的cookie保存在浏览器上时的key，即：sessionid＝随机字符串（默认）
SESSION_COOKIE_PATH ＝ "/"                               # Session的cookie保存的路径（默认）
SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名（默认）
SESSION_COOKIE_SECURE = False                            # 是否Https传输cookie（默认）
SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http传输（默认）
SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期（2周）（默认）
SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否关闭浏览器使得Session过期（默认）
SESSION_SAVE_EVERY_REQUEST = False                       # 是否每次请求都保存Session，默认修改之后才保存（默认）

小技巧：

• 如何看session配置

  from django.conf import global_settings
  #ctrl + 鼠标左键点击global_settings进入文件global_settings.py然后搜索session,可以看到配置
  

• 缓存配置

  from django.contrib.sessions.backends import db
  #ctrl + 鼠标左键点击db进入文件，通过以下操作可以看到session存在位置
  

  

3.JQuery的cookie操作

• 首先需要下载Jquery.cookie.js和jquery文件,jquery.cookie.js下载地址

  http://plugins.jquery.com/cookie/

  //连接jquery
  <script type="text/javascript" src="js/jquery.min.js"></script>
  <script type="text/javascript" src="js/jquery.cookie.js"></script>
  

• 添加一个cookie

      <script>
          var res = $.cookie("the_cookie","the_value");
          console.log(res);
      </script>
  

• 创建一个cookie并设置有效时间为7天

  $.cookie('the_cookie', 'the_value', { expires: 7, path: '/' });
  

• 读取cookie

  $.cookie('the_cookie');
  

• 删除cookie

  $.cookie('the_cookie', null);   //通过传递null作为cookie的值即可
  

• 可选参数

  $.cookie('the_cookie','the_value',{
      expires:7, 
      path:'/',
      domain:'jquery.com',
      secure:true
  })　
  

• 参数

  expires：（Number|Date）有效期；设置一个整数时，单位是天；也可以设置一个日期对象作为Cookie的过期日期；
  path：（String）创建该Cookie的页面路径；
  domain：（String）创建该Cookie的页面域名；
  secure：（Booblean）如果设为true，那么此Cookie的传输会要求一个安全协议，例如：HTTPS；
  

4.常用HTTP请求头

协议头	说明	示例	状态
Accept	可接受的相应内容类型（Content-Types）	Accept: text/plain	固定
Accept-Charset	可接受的字符集	Accept-Charset: utf-8	固定
Accept-Encoding	可接受的响应内容的编码方式。	Accept-Encoding: gzip, deflate	固定
Cache-Control	用来指定当前的请求/回复中的，是否使用缓存机制。	Cache-Control: no-cache	固定
Cookie	由之前服务器通过Set-Cookie（见下文）设置的一个HTTP协议Cookie	Cookie: $Version=1; Skin=new;	固定：标准
Host	表示服务器的域名以及服务器所监听的端口号。如果所请求的端口是对应的服务的标准端口（80），则端口号可以省略。	Host: www.itbilu.com:80``Host: www.itbilu.com	固定
Referer	表示浏览器所访问的前一个页面，可以认为是之前访问页面的链接将浏览器带到了当前页面。Referer其实是Referrer这个单词，但RFC制作标准时给拼错了，后来也就将错就错使用Referer了。	Referer: http://itbilu.com/nodejs	固定
User-Agent	浏览器的身份标识字符串	User-Agent: Mozilla/……	固定
Content-Type	请求体的MIME类型 （用于POST和PUT请求中）	Content-Type: application/x-www-form-urlencoded	固定

5.常见HTTP响应头

响应头	说明	示例	状态
Cache-Control	通知从服务器到客户端内的所有缓存机制，表示它们是否可以缓存这个对象及缓存有效时间。其单位为秒	Cache-Control: max-age=3600	固定
Status	通用网关接口的响应头字段，用来说明当前HTTP连接的响应状态。	Status: 200 OK
Location	用于在进行重定向，或在创建了某个新资源时使用。	Location: http://www.itbilu.com/nodejs
Server	服务器的名称	Server: nginx/1.6.3	固定
Date	此条消息被发送时的日期和时间(以RFC 7231中定义的"HTTP日期"格式来表示)	Date: Tue, 15 Nov 1994 08:12:31 GMT	固定
Connection	客户端（浏览器）想要优先使用的连接类型	Connection: keep-alive``Connection: Upgrade	固定
Content-Length	以8进制表示的请求体的长度	Content-Length: 348	固定