搜搜吧

查看: 611|回复: 0

Django框架之会话技术之Cookie与Session

[复制链接]

超级钻石贵宾会员

1万

主题

2万

帖子

3万

搜搜币

Rank: 1

UID
15343
威望
-561
在线时间
393 小时
注册时间
2015-10-12
发表于 2021-7-13 14:56:31 | 显示全部楼层 |阅读模式

会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。

会话跟踪技术什么是会话跟踪技术

我们可以把会话理解为客户端与服务器之间的一次会晤,在一次会晤中可能会包含多次请求和响应。

例如,我们给10086打电话,我就是客户端,而10086服务人员就是服务端。从双方接通电话那一刻起,会话就开始了,到某一方挂断电话标识会话结束。在通话过程中,我们会向10086发出多个请求,那么多个请求都在一个会话中。

在Web中,客户使用浏览器向某一服务器发出第一个请求开始,会话就开始了,直到客户关闭了浏览器会话结束。

在一个会话的多个请求中共享数据,这就是会话跟踪技术。

例如,在一个会话中的请求如下:请求银行主页。

1)请求登录(请求参数是用户名和密码);

2)请求转账(请求参数与转账相关的数据);

3)请求信用卡还款(请求参数与还款相关的数据)。

在上面会话中,当前用户信息必须在这个会话中共享的,因为登录的是张三,那么在转账和还款时一定是张三的转账和还款,这就说明我们必须在一个会话过程中共享数据的能力。

会话路径技术使用Cookie或session完成

在Web应用中,HTTP协议是无状态的,即每次请求都是独立的,无法记录前一次请求的状态,每次请求都是一次新的请求。

无状态原因:浏览器与服务器是使用Socket套接字进行通信的,服务器将请求结果返回给浏览器之后,会关闭当前的Socket连接,而且服务器也会在处理页面完毕之后销毁页面对象。

但是,有时候我们需要知道上次请求状态,比如用户是否登录过,浏览过哪些商品等。可以使用会话跟踪,可以使用Cookie、Session、token(自定义的session)。

Cookie什么叫做Cookie

Cookie,翻译成中文小甜点,小饼干的意思。在HTTP中它表示服务器送给客户端浏览器的小甜点。

Cookie是客户端会话技术,数据都存储在客户端,以key-value进行存储。支持过期时间max_age,默认请求会携带本网站的所有cookie,cookie不能跨域名,不能跨浏览器,cookie默认不支持中文,base64。

Cookie是由服务器创建,通过服务端的响应发送给客户端浏览器的一个键值对,然后浏览器会把Cookie保存起来,并标注出Cookie的来源(哪个服务器的Cookie),当客户端下一次再访问服务器时,默认请求会携带本这个服务器的所有Cookie,这样服务器就可以识别客户端了。

设置cookie应该是服务器response,获取cookie应该在浏览器request,删除cookie应该在服务器response。

Cookie规范
  • Cookie大小上限为4KB;
  • 一个服务器最多在客户端浏览器上保存20个Cookie;
  • 一个浏览器最多保存300个Cookie;

上面的数据只是HTTP的Cookie规范,但是,在浏览器百家争鸣的当下,一些浏览器为了争夺一份份额,展现自己的优势,可能对Cookie的规范扩展,例如每个Cookie的大小为8KB,最多可保存500个Cookie等!但也不会出现把你硬盘占满的可能!

注意,不同浏览器之间是不共享Cookie的。也就是说在你使用IE访问服务器时,服务器会把Cookie发给IE,然后由IE保存起来,当你在使用FireFox访问服务器时,不可能把IE保存的Cookie发送给服务器

Cookie与HTTP头

Cookie是通过HTTP请求头和响应头在客户端和服务器端传递的:

Set-Cookie:响应头,服务器端发送给客户端;

Cookie:请求头,客户端发送给服务器端;格式:Cookie: a=A; b=B; c=C。即多个Cookie用分号隔开;

一个Cookie对象一个Set-Cookie:Set-Cookie: a=A Set-Cookie: b=B Set-Cookie: c=C;

Cookie的覆盖

如果服务器端发送重复的Cookie那么会覆盖原有的Cookie,例如客户端的第一个请求服务器端发送的Cookie是:Set-Cookie: a=A;第二请求服务器端发送的是:Set-Cookie: a=AA,那么客户端只留下一个Cookie,即:a=AA。

请求流程

第一次请求:

① 浏览器第一次请求服务器的时候,不会携带任何cookie信息,,请求头中没有任何cookie信息;

② 当服务器接受到这个请求之后,会做一些验证,例如进行用户名和密码的验证,验证没有问题则可以设置cookie信息。

③ 服务器会为响应设置cookie信息,响应头中有set_cookie信息。

③ 我们的浏览器接收到这个响应之后,发现响应中有cookie信息,浏览器会将cookie信息保存起来。

后续请求:① 第二次或之后的请求都会携带cookie信息,请求头中有cookie信息;

② 服务器接受到请求之后,会发现请求中携带cookie信息,这样就认识是谁的请求了。

代码实现

login.html文件:

  • <!DOCTYPE html>
  • <html lang="en">
  • <head>
  •     <meta charset="UTF-8">
  •     <title>登录界面</title>
  •     <style>
  •         #loginbox{
  •             width: 350px;
  •             height: 200px;
  •             border: 1px solid red;
  •             margin: 90px auto;
  •             text-align: center;
  •         }
  •     </style>
  • </head>
  • <body>
  •     <div id="loginbox">
  •         <h2>登录界面</h2>
  •         <form action="" method="post">
  •             {% csrf_token %}
  •             帐 号:<input type="text" name="username">
  •             <br/>
  •             密 码:<input type="password" name="password">
  •             <br/>
  •             <br/>
  •             <input type="submit" value="登录">   
  •             <input type="button" value="注册">
  •         </form>
  •     </div>
  • </body>

home.html文件:

  • <!DOCTYPE html>
  • <html lang="en">
  • <head>
  •     <meta charset="UTF-8">
  •     <title>首页</title>
  • </head>
  • <body>
  •     欢迎
  •     {% if username %}
  •         {{ username }}
  •     {% else %}
  •         游客
  •     {% endif %}
  •     访问~~
  •     <br>
  •     <a href="{% url 'user:logout' %}">退出</a>
  • </body>
  • </html>

views.py:

  • def login(request):
  •     if request.method == 'GET':
  •         return render(request, 'login.html')
  •     elif request.method == 'POST':
  •         username = request.POST.get('username')
  •         password = request.POST.get('password')
  •         if username and password:   # 此处为了方便测试,没有去数据库进行校验,实际的需要去数据库校验用户名和密码之类的
  •             '''
  •                 响应体:
  •                 return HttpResponse()
  •                 return render()
  •                 return redirect()     
  •                都可以            
  •             
  •             '''
  •             response = redirect(reverse('user:home'))
  •             # 设置cookie信息
  •             response.set_cookie('username', username)
  •             is_login = True
  •             response.set_cookie('is_login', is_login)
  •             return response
  •         return render(request, 'login.html')
  • def home(request):
  •     # 获取cookie信息
  •     is_login = request.COOKIES.get('is_login')
  •     username = request.COOKIES.get('username')
  •     if is_login:
  •         return render(request, 'home.html', {'username': username})
  •     return redirect(reverse('user:login'))
  • def logout(request):
  •     response = redirect(reverse('user:login'))
  •     # 删除cookie信息
  •     response.delete_cookie('is_login')
  •     response.delete_cookie('username')  # 注销,最好都删除,避免注册之后下次还会携带未删除的信息
  •     return response

我们可以看到第一次打开登录页面的时候,不携带Cookie信息(csrf暂忽略):

我们再登录,即提交表单之后,服务器设置了Cookie(可参考上面设置Cookie信息代码):

退出,即删除Cookie信息,这里只删除is_login的信息

上面是以明文的方式显示,我们可以进行加盐设置,以加密形式显示:

  • def login(request):
  •     if request.method == 'GET':
  •         return render(request, 'login.html')
  •     elif request.method == 'POST':
  •         username = request.POST.get('username')
  •         response = redirect(reverse('user:home'))
  •         #response.set_cookie('username', username)
  •         #set_signed_cookie(key,value,salt='加密盐',...)  
  •         response.set_signed_cookie('username', username, 'qmpython')
  •         return response
  • def home(request):
  •     username = request.COOKIES.get('username')
  •     # 解密
  •     #username = request.get_signed_cookie('username', 'qmpython')     
  •     response = HttpResponse(f'{username}登录成功')
  •     return response

Cookie:具体一个浏览器针对一个服务器存储key-value。

注意,不同浏览器之间是不共享Cookie的。也就是说在你使用IE访问服务器时,服务器会把Cookie发给IE,然后由IE保存起来,当你在使用Chrome访问服务器时,不可能把IE保存的Cookie发送给服务器。

同一个浏览器访问A网站,又去访问B网站,不可能将A的cookie信息携带发送给B服务器。

默认情况下,Cookie只在浏览器的内存中存活,也就是说,当你关闭浏览器后,Cookie就会消失!

问题一:如果只是关闭网站(关闭标签页),没有退出浏览器呢?

A:并不会,如果在不关闭浏览器,只关闭页面时,清除cookie。可以使用js事件处理:

  • <script>
  • window.onunload = function(){
  •     //窗口关闭
  •     //在这发一个ajax请求,后台清除cookie
  • }
  • </script>

set_cookie参数:

  • class HttpResponseBase:
  •     def set_cookie(self,  
  •                    key,  # 键
  •                    value='', # 值
  •                    max_age=None, # cookie有效时长,单位为秒,默认为None表示关闭浏览器失效,指定          为有效数值100表示100秒后自动失效
  •                     
  •                    expires=None, # 支持一个datetime或timedelta,可以指定一个具体的日期,           expires=timedelta(days=10)表示十天后过期。
  •                    # max-age和exepires两个指定一个。
  •                     
  •                    path='/',  # Cookie生效的路径,浏览器只会把cookie回传给带有该路径的页面,这样可以避免将;cookie传给站点中的其他的应用。;/ 表示根路径,特殊的:根路径的cookie可以被任何url的页面访问
  •                     
  •                    domain=None,  ''' Cookie生效的域名;你可用这个参数来构造一个跨站cookie。
  •                      如, domain=".example.com"
  •                      所构造的cookie对下面这些站点都是可读的:
  •                      www.example.com 、 www2.example.com  
  •                 和an.other.sub.domain.example.com 。
  •                      如果该参数设置为 None ,cookie只能由设置它的站点读取。
  •                    '''
  •                     
  •                    secure=False,  # 如果设置为True,浏览器将通过HTTPS来回传cookie
  •                    httponly=False, # 只能http协议传输,无法被js获取(不是绝对的,底层抓包可以获取到也可以被覆盖)
  •                    samesite=None
  •                   ):pass

练习:使用cookie实现上次登录时间

  • def home(request):
  •     # 获取cookie信息
  •     username = request.COOKIES.get('username')
  •     last_login_time = request.COOKIES.get('last_login_time', '')
  •     response = render(request, 'home.html', {'username': username, 'last_login_time': last_login_time})
  •     from datetime import datetime
  •     now = datetime.now().strftime('%Y-%m-%d %H:%M:%S')
  •     response.set_cookie('last_login_time', now)
  •     return response
Session

前面介绍了Cookie,为什么还需要Session呢?其实很多情况下,只使用Cookie便能完成大部分需求。但是,只使用Cookie往往是不够的,考虑用户登录信息或一些重要的敏感信息,用Cookie存储的话会带来一些问题,最明显的是由于Cookie会把信息保存到本地,因此信息的安全性可能受到威胁。Session的出现很好地解决的这个问题,Session与Cookie类似。

Session是服务器端技术,利用这个技术,服务器在运行时可以为每一个用户的浏览器创建一个其独享的session对象,由于session为用户浏览器独享,所以用户在访问服务器的web资源时,可以把各自的数据放在各自的session中,当用户再去访问该服务器中的其他web资源时,其他WEB资源再从用户各自session中取出数据为用户服务。

Session是服务端会话技术,依赖于Cookie,如果在浏览器中**禁用cookie**的话,那么session就失效了,因为它需要浏览器的cookie值去session里做对比。

1. 启用Session

Django默认启用Session,可以在设置文件settings.py:

  • MIDDLEWARE = [
  •      
  •     'django.contrib.sessions.middleware.SessionMiddleware',
  • ]

如果禁用session,则注释即可。

2. 存储方式

在settings.py文件中,可以设置session数据的存储方式,可以保存在数据库、本地缓存等。

2.1 数据库

默认是存储在数据库中的。

  • SESSION_ENGINE='django.contrib.sessions.backends.db'

如果存储在数据库中,则需要安装Session应用,默认已设置:

  • INSTALLED_APPS = [
  •     'django.contrib.sessions',
  • ]

在进行数据库迁移的时候,Django自动帮我们生成了django_session表,有3个字段,分别为session_key,session_data,expris_date,Django中session的默认过期时间是14天。

迁移数据库后,就会生成django_session表:

3. 请求流程

第一次请求:

① 我们第一次请求的时候可能会携带一些信息(例如用户名/密码),cookie中没有任何信息。

② 当服务器接受到这个请求之后,会做一些验证,例如进行用户名和密码的验证,验证没有问题则可以设置session信息。

③ 在设置session信息的同时(session信息保存在服务器端),服务器会在响应头中设置一个sessionid的cookie信息。

④ 客户端(浏览器)在接收到响应之后,会将cookie信息保存起来(保存sessionid的信息)。

后续请求:

① 第二次或之后的请求都会携带sessionid的cookie信息

② 当服务器接收到这个请求之后,获取到sessionid信息,然后进行验证,验证成功,则可以获取session信息(session信息保存在服务器端)

4. 代码实现
  • def login(request):
  •     if request.method == 'GET':
  •         return render(request, 'login.html')
  •     elif request.method == 'POST':
  •         '''
  •         响应体:
  •             return HttpResponse()
  •             return render()
  •             return redirect()     
  •            都可以
  •         '''
  •         username = request.POST.get('username')
  •         password = request.POST.get('password')
  •         if username and password:  # 此处为了方便测试,没有去数据库进行校验,实际的需要去数据库校验用户名和密码之类的
  •             # 设置session信息
  •             request.session['is_login'] = True
  •             request.session['username'] = username
  •             '''
  •             以上设置,实际执行以下操作:
  •             1、生成随机字符串,例如:123abc!@#
  •             2、response.set_cookie("sessionid", 123abc!@#)
  •             3、在django_session表中创建一条记录:
  •                 session_key         session_data
  •                 123abc!@#           {"is_login":True, "username": "admin"}         
  •             
  •             '''
  •         return redirect(reverse('user:home'))
  •      
  • def home(request):
  •     is_login = request.session['is_login']
  •     username = request.session['username']
  •     '''
  •     以上执行以下操作:
  •     1)  request.COOKIES.get('sessionid'),获得session_key
  •     2) 通过上面得到的session_key,在django_session表中获取对应的session_data
  •     3) 从session_data获取is_login值。     
  •     '''
  •     if is_login:
  •         return render(request, 'home.html', {'username': username})
  •     return redirect(reverse('user:login'))
  • def logout(request):
  •     response = redirect(reverse('user:login'))
  •      
  •     # 删除session数据,即删除了session_data字段值中对应键和值,但是cookie信息还存在,请求还会携带cookie信息,也就成了脏数据,通过cookie再找session,已经找不到了。
  •     #del request.session['is_login']  
  •      
  •     # 清除所有session,禁用!!!
  •     request.session.clear()      
  •     # 清除当前的会话数据并删除会话的cookie,session,cookie一起干掉,删除session表中session的整条数据。
  •     request.session.flush()
  •     '''
  •     执行以下操作:
  •     1) request.COOKIE.get('sessionid'),获得session_key
  •     2) django_session表中删除session_key对应的记录
  •     3) response.delete_cookie('sessionid')
  •     '''
  •     return response

打开登录页面,没有携带任何cookie信息(csrf那个先不管)

发起登录请求,设置session信息,其中会生成随机字符串比如mjx9gsq47ofwmcg2ubxtg28uk6idbq2a,然后以这个sessionid为key,这个字符串为value,设置cookie信息。

并且在django_session插入记录,其中session_key字段的值就是sessionid的值,session_data字段的值就是上面设置的session键值对。

然后跳转到home页,就会携带cookie信息,获取sessionid的值,在数据库django_session表中查找是否有相关记录。

如果退出,则删除session信息

从DJANGO角度来看:

第一次请求:

① 第一次请求,在请求头中没有携带任何cookie信息。

② 我们在设置session的时候,session会做2件事。

第一件:将数据保存在数据库中。

第二件:设置一个cookie信息,这个cookie信息是以sessionid为key,value为xxxx,cookie肯定会以响应的形式在响应头中出现。

第二次以及之后的请求:

③ 都会携带cookie信息,特别是sessionid。

如果换了浏览器,还能获取到session信息吗?

解:不可以,因为session依赖于cookie,换了浏览器,都没有cookie信息了。


过年了,祝各位新年快乐
Powered by www.sosoba.org Copyright © 2013-2021 搜搜吧社区 小黑屋|手机版|Archiver|地图|联系站长|腾讯云代金券|公共DNS|seo优化服务|搜搜吧
广告服务/项目合作/会员购买:QQ 侵权举报邮箱: fuwu-sosoba@qq.com 举报流程必看 搜搜吧建站时间:创建于2013年07月23日
免责声明:本站所有的内容均来自互联网以及第三方作者自由发布,版权归原作者版权所有,搜搜吧不承担任何的法律责任,若有侵权请来信告知,我们立即删除!
版权声明:搜搜吧影视资源均收集自互联网,没有提供影片资源存储和下载,也未参与录制上传,若本站收录的资源涉及您的版权或知识产权或其他利益,我们会立即删除

GMT+8, 2021-9-29 10:25 , Processed in 0.035418 second(s), 6 queries , Redis On.

快速回复 返回顶部 返回列表