Django之cookie&session

cookie

Cookie 是在 HTTP 协议下，服务器或脚本可以维护客户工作站上信息的一种方式。Cookie 是由 Web 服务器保存在用户浏览器（客户端）上的小文本文件，它可以包含有关用户的信息。无论何时用户链接到服务器，Web 站点都可以访问 Cookie 信息

我理解的cookie就是服务器端在用户浏览器中写下的信息，用来存储用户当前的状态或该用户相关的信息，如是否已经登录。
使用cookie的原因：HTTP协议是无状态的协议。一旦数据交换完毕，客户端与服务器端的连接就会关闭，再次交换数据需要建立新的连接。

在Django中使用cookie

一个用户登录的例子：
用户登录后，在其浏览器中写入username键值对，并在其他页面判断是否有username

class login(views.View):
    def get(self,req,*args,**kwargs):
        return render(req, "app1/login.html", {'massage': ''})

    def post(self,req,*args,**kwargs):
        user = req.POST.get('user')
        pwd = req.POST.get('pwd')
        c = models.Administrator.objects.filter(username=user, password=pwd).count()
        if c > 0:
            rep = redirect('/index/')
            newuser = user.encode('utf-8').decode('latin-1')
            rep.set_cookie('username', newuser, max_age=10)
            return rep
        else:
            massage = '用户名或密码错误'
        return render(req, "app1/login.html", {'massage': massage})

def index(req):
    username=req.COOKIES.get('username')
    if username:
        newuser=username.encode('latin-1').decode('utf-8')
        return render(req, "app1/index.html", {"name": newuser})
    return redirect("/login")

查看set_cookie参数

def set_cookie(self, key, value='', max_age=None, expires=None, path='/',
               domain=None, secure=False, httponly=False, samesite=None):

• key ：键
• value ：值
• max_age ：cookie的生效时间
• expires ：cookie的具体过期时间
  它和max_age功能类似，如果不设置expires，函数会根据max_age自动设置expires，原因是ie浏览器需要expires
• path ：指定那个url可以访问到cookie，默认为’/‘，表示所有url
• domain ：指定那个域名以及它下面的子域名可以访问这个cookie，默认为当前域名
• secure ：https安全相关，当secure属性设置为true时，cookie只有在https协议下才能上传到服务器，而在http协议下是没法上传的
• httponly ：限制只能通过http传输，JS无法在传输中获取和修改
• samesite ：好像是2.1中的新功能，此标志可防止cookie在跨站点请求中发送，从而防止CSRF攻击并使某些方法无法窃取会话cookie。None表示不适用此标志，还有Strict与Lax参数，具体查看https://docs.djangoproject.com/en/2.1/ref/settings/#std:setting-SESSION_COOKIE_SAMESITE

删除cookie

response.delete_cookie('key')

session

session本意为开会，会议，在这里我们可以叫它会话，既然是会话，那么就是一段时间的交流，交流的状态就需要保持着。
对于cookie来说，数据或者用户相关信息是存放在客户的浏览器上，这样导致你的相关信息容易被暴露，让别人更容易进行cookie欺骗，如果可以将相关信息存放到服务器端，那么这种风险就会相对较低一些。使用的方式就是session
客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上叫做session，当客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。客户端识别是哪一个用户的方式为为其分配一个SessionId。
session内部也是通过cookie实现的。

在Django中使用session

依然是登录认证的例子
首先登录视图函数

class login(views.View):
    def get(self,req,*args,**kwargs):
        return render(req, "app1/login.html", {'massage': ''})

    def post(self,req,*args,**kwargs):
        user = req.POST.get('user')
        pwd = req.POST.get('pwd')
        c = models.Administrator.objects.filter(username=user, password=pwd).count()
        print(c)
        if c > 0:
            req.session['is_login'] = True
            req.session['username'] = user
            return redirect('/index/')
        else:
            massage = '用户名或密码错误'
        return render(req, "app1/login.html", {'massage': massage})

用于判断用户是否登录的装饰器

def auth(func):
    def inner(request, *args, **kwargs):
        is_login = request.session.get('is_login')
        if is_login:
            return func(request, *args, **kwargs)
        else:
            return redirect('/login')
    return inner

至于其他登陆后进行处理的函数，只需要为其添加auth装饰器即可
这里发现，对于设置session和拿取session，和cookie的操作方式类似，那么它将设置的信息存储到了哪呢？答案是存到了数据库中
在数据库中发现了一张diango_session的表，存储的信息为

这里的信息应该是用某种加密算法加密了,expire_data为session存在截止时间

session的其他方法

• request.session.setdefault(‘k1’,123) 存在则不设置
• del request.session[‘k1’] 删除某条
• request.session.clear() 删除所有
• request.session.keys() 获得所有的key，输出为dict_keys([‘is_login’, ‘username’])，可for循环，不可以通过索引取值
• request.session.values() 获得所有的值，输出dict_values([True, ‘sfencs’])，同上
• request.session.items() 获得所有键值，输出dict_items([(‘is_login’, True), (‘username’, ‘sfencs’)])，同上
• request.session.session_key 获得用户session的随机字符串
• request.session.clear_expired() 将所有Session失效日期小于当前日期的数据删除
• request.session.exists(“session_key”) 检查用户session的随机字符串在数据库中是否存在
• request.session.set_expiry(value) 自己设置了过期时间，默认为两周。
  如果value是个整数，session会在些秒数后失效。
  如果value是个datatime或timedelta，session就会在这个时间后失效。
  如果value是0,用户关闭浏览器session就会失效。
  如果value是None,session会依赖全局session失效策略。

session的配置

SESSION_COOKIE_NAME ＝ "sessionid"   # 存在浏览器的cookie键名
SESSION_COOKIE_PATH ＝ "/"                  #session的cookie的使用路径
SESSION_COOKIE_DOMAIN = None         # Session的cookie保存的域名（默认）
SESSION_COOKIE_SECURE = False         # 是否Https传输cookie（默认）
SESSION_COOKIE_HTTPONLY = True      # 是否Session的cookie只支持http传输（默认）
SESSION_COOKIE_AGE = 1209600          # Session的cookie失效日期（2周）（默认）
SESSION_EXPIRE_AT_BROWSER_CLOSE = False       # 是否关闭浏览器使得Session过期（默认）
SESSION_SAVE_EVERY_REQUEST = False          # 是否每次请求都保存Session，默认修改之后才保存（默认）

​