cookie与session
为什么会有cookie和session
由于HTTP协议是无状态的,无法记住用户是谁,这样我们在每一次登陆的时候,都要重新输入密码,甚至如果不设置cookie,网页可能都请求不了
cookie
保存在客户端浏览器上的键值对
是服务端设置在客户端浏览器上的键值对,也就意味着浏览器其实可以拒绝服务端的命令。默认情况下,浏览器都是直接让服务端设置键值对的
在操作开始之前我们需要对三板斧进行变形
obj1 = HttpResponse()
return obj1
obj2 = render()
return obj2
obj3 = redirect()
return obj3
设置cookie
obj1.set_cookie()
获取cookie
request.COOKIES.get()
删除cookie
obj1.delete_cookie()
实例:cookie版登录校验
直接上代码:
def login(request):
# print(request.path_info) # 只拿url 不拿get请求携带的额外参数
# print(request.get_full_path()) # 都拿
if request.method == "POST":
username = request.POST.get('username')
password = request.POST.get('password')
if username == 'yjy' and password == '123':
old_path = request.GET.get('next')
if old_path:
# 保存用户登录状态
obj = redirect(old_path)
else:
obj = redirect('/home/')
obj.set_cookie('name', 'yjy') # 让客户端浏览器 记录一个键值对
# obj.set_cookie('name','jason',max_age=5) # 让客户端浏览器 记录一个键值对
return obj
return render(request, 'login.html')
from functools import wraps #装饰器修复技术
def login_auth(func):
@wraps(func)
def inner(request, *args, **kwargs):
if request.COOKIES.get('name'):
res = func(request, *args, **kwargs)
return res
else:
target_url = request.path_info
return redirect('/login/?next=%s' % target_url)
return inner
@login_auth
def home(request):
# 校验用户是否登录
# if request.COOKIES.get('name'):
# return HttpResponse('我是主页 只有登录了才能看')
# return redirect('/login/')
return HttpResponse('我是主页 只有登录了才能看')
@login_auth
def index(request):
return HttpResponse('我是index页面 也需要用户登录之后才能看')
@login_auth
def xxx(request):
return HttpResponse('xxx页面 也是需要登录了之后才能看')
@login_auth
def logout(request):
obj = redirect('/login/')
obj.delete_cookie('name') #注销之后删除cookie
return obj
session
保存在服务器上的键值对
django session默认的过期时间是14天
设置session
request.session['key'] = value #仅仅只会在内存产生一个缓存
三步骤:
- django内部自动生成了随机的字符串
- 在django_session表中存入数据
session_key session_data date
随机字符串1 数据1 ...
随机字符串2 数据2 ...
随机字符串3 数据3 ...
- 将产生的随机字符串发送给浏览器 让浏览器保存到cookie中(sessionid:随机字符串)
def set_session(request):
request.session['username'] = 'yjy'
request.session.set_expiry(value=0) #session在关闭浏览器后消失
return HttpResponse("设置session")
获取session
request.session..get('key')
三步骤:
- 浏览器发送cookie到django后端之后 django会自动获取到cookie值
- 拿着随机字符串去django_session表中比对 是否有对应的数据
- 如果比对上了 就讲随机字符串所对应的数据 取出赋值给
request.session
,如果对不上 那么request.session
就是空
session
表中的一条记录针对一个浏览器,同一台电脑上,不同的浏览器来,才会有不同的记录
def get_session(request):
print(request.session.get('username'))
return HttpResponse('获取session')
删除session
delete:删除服务端的
request.session.delete()
flush:浏览器和服务端全部删除
request.session.flush()
def delete_session(request):
# request.session.delete() #删除服务端的session
request.session.flush() #两个端的session都会删除
return HttpResponse("删除session")
session也可以设置超时时间
request.session.set_expiry(value)
value
为整数,session
会在数秒后消失(以秒为单位)value
为 datatime或者timedelta时,session
会在这个时间后消失value
为0,session
会在关闭浏览器后消失value
为None,session
会依赖全局session
失效策略
实例:session版登录校验
后端
from django.shortcuts import render, HttpResponse, redirect
# Create your views here.
def login(request):
if request.method == 'POST':
username = request.POST.get('username')
password = request.POST.get('password')
if username == "yjy" and password == "123456":
# 设置session值
request.session['username'] = username
# 获取跳到登陆之前的url
next_url = request.GET.get("next")
if next_url:
return redirect(next_url)
else:
return redirect('/index/')
return render(request, "login.html")
# 装饰器
from functools import wraps
def check_login(func):
@wraps(func)
def inner(request, *args, **kwargs):
next_url = request.get_full_path()
print(next_url)
if request.session.get('username'):
return func(request, *args, **kwargs)
else:
return redirect(f"/login/?next={next_url}")
#http://127.0.0.1:8000/login/?username=yjy&password=123456
return inner
@check_login
def index(request):
# request.session.get("username", None)
return HttpResponse('我是index页面 需要用户登录之后才能看')
前端:
<form action="" method="post">
{% csrf_token %}
<p>username:<input type="text" name="username"></p>
<p>password:<input type="text" name="password"></p>
<button><input type="submit"></button>
</form>
最终结果是这样子的
提交数据之后的显示
数据库中session的显示
django中间件
应用场景
用户访问频率限制
用户是否是黑名单 白名单
所有用户登录校验
只要是涉及到网址全局的功能 中间件是不二之选
自定义方法
我们先要做好相应的数据准备
1.新建一个文件夹 里面新建一个任意名称的py文件
里面写类 固定继承
from django.utils.deprecation import MiddlewareMixin
class MyMiddle(MiddlewareMixin):
...
2.去配置文件注册到中间件配置中
需要手写字符串的路径
'app01.mymiddleware.myaabb.MyMiddle1'
'app02.mymiddleware.myaabb.MyMiddle2'
process_request:
请求来的时候 会从上往下依次经过每一个中间件里面process_request
,一旦里面返回了HttpResponse
对象那么就不再往后执行了 会执行同一级别的process_response
def process_request(self,request):
print('我是第一个自定义中间件里面的process_request方法')
return HttpResponse("我是第一个自定义中间件里面的HttpResponse对象返回值") # 直接原地返回
process_response:
响应走的时候 会从下往上依次经过每一个中间件里面的process_response
def process_response(self,request,response): # response就是要返回给用户的数据
print("我是第一个自定义中间件里面的process_response方法")
return response #只要有response参数,就必须给他返回
process_view:
路由匹配成功之后,执行视图函数之前触发
process_exception:
当视图函数出现异常(bug)的时候自动触发
process_template_response:
当视图函数执行完毕之后并且返回的对象中含有render方法的情况下才会触发
django请求生命周期流程图
中间件之前端操作
form表单
写form表单之前只需要加上{% csrf_token %}
ajax
第一种: 自己再页面上先通过{% csrf_token %}获取到随机字符串 然后利用标签查找
data:{'username':'jason','csrfmiddlewaretoken':$('[name="csrfmiddlewaretoken"]').val()},
第二种:
data:{'username':'jason','csrfmiddlewaretoken':'{{ csrf_token }}'},
第三种:拷贝js文件
#这个东西在中间件的官网上拷贝就行了
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie !== '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) === (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
var csrftoken = getCookie('csrftoken');
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
beforeSend: function (xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
});
跨站请求伪造(csrf)
原理:
你写的form表单中 用户的用户名 密码都会真实的提交给银行后台
但是收款人的账户却不是用户填的 你暴露给用户的是一个没有name属性的input框
你自己提前写好了一个隐藏的带有name和value的input框
钓鱼网站实例
后端
def transfer(request):
if request.method == 'POST':
username = request.POST.get('username')
target_user = request.POST.get('target_user')
money = request.POST.get('money')
print('%s 给 %s转了%s钱' % (username, target_user, money))
return render(request, 'transfer.html')
正儿八经网站前端
<form action="" method="post">
<p>username:<input type="text" name="username"></p>
<p>target_user:<input type="text" name="target_user"></p>
<p>money:<input type="text" name="money"></p>
<input type="submit">
</form>
钓鱼网站前端
<form action="http://127.0.0.1:8000/transfer/" method="post">
<p>username:<input type="text" name="username"></p>
<p>targer_user:<input type="text"></p>
<p><input type="text" name="target_user" value="jason" style="display: none"></p>
<p>money:<input type="text" name="money"></p>
<input type="submit">
</form>
防钓鱼网站策略
只要是用户想要提交post请求的页面 我在返回给用户的时候就提前设置好一个随机字符串当用户提交post请求的时候 我会自动先取查找是否有该随机字符串
如果有 正常提交,如果没有 直接报403
以上仅仅是一个思路,还是需要我们用代码去实现,具体的实现方法就是在里面注入中间件。
CBV加装饰器
先要导入模块
from django.views.decorators.csrf import csrf_exempt, csrf_protect
from django.utils.decorators import method_decorator
csrf_exempt 两种装饰方式
第一种
@method_decorator(csrf_exempt,name='dispatch')
class MyCsrf(View):
第二种
@method_decorator(csrf_exempt)
def dispatch(self, request, *args, **kwargs):
return super().dispatch(request,*args,**kwargs)
def get(self,request):
return HttpResponse('hahaha')
其他装饰器 三种装饰方式
第一种
@method_decorator(csrf_protect,name='post')
class MyCsrf(View):
第二种
@method_decorator(csrf_protect)
def dispatch(self, request, *args, **kwargs):
return super().dispatch(request,*args,**kwargs)
def get(self,request):
return HttpResponse('hahaha')
第三种
@method_decorator(csrf_protect)
def post(self,request):
return HttpResponse('post'
每日面试题
python2和python3的区别(至少写三个)
'''
py2:
>>> print("hello", "world")
('hello', 'world')
py3:
>>> print("hello", "world")
hello world
py2:input_raw()
py3:input()
1/2的结果
py2:返回0
py3:返回0.5
py2:默认编码ascii
py3:默认编码utf-8
字符串
py2:unicode类型表示字符串序列,str类型表示字节序列
py3::str类型表示字符串序列,byte类型表示字节序列
py2:函数用关键字global声明某个变量为全局变量,但是在嵌套函数中,想要给一个变量声明为非局部变量是没法实
现的。
py3:新增了关键字nonlocal,使得非局部变量成为可能
py2:
int() # 整型
long() # 长整型
py3:没有long类型,只有int类型
py2:xrange 用法与 range 完全相同,所不同的是生成的不是一个list对象,而是一个生成器。
py3:将以前的range取消了,而将xrange重新命名成了range!所以我们现在看到的range其实本质还是xrange~。
py2: iteritems() 用于返回本身字典列表操作后的迭代器【Returns an iterator on allitems(key/value pairs) 】,不占用额外的内存。
py3: iteritems()方法已经废除了。在3.x里用 items()替换iteritems() ,可以用于 for 来循环遍历
'''
什么是可变,什么是不可变
'''
可变不可变指的是内存中的值是否可以被改变,
可变:值得改变不会引起内存地址的改变
不可变:值得改变会引起内存地址的改变
不可变类型有数值、字符串、元组;
可变类型则是可以改变,主要有列表、字典。
'''
m=10,n=5,互换值(至少两种方式)
'''
t = m #t=10
m = n #m=5
n = t #n=10
m,n = n,m #交叉赋值
'''