cookie与session简介 django操作cookie django操作session

目录

• cookie与session简介
  • 早期cookies
  • 随机字符串解决cookies安全问题
  • 禁止浏览器保存cookies
• django操作cookie
  • set_cookie
  • set_signed_cookie
  • request.COOKIES
  • delete_cookie
  • 用户登录功能
  • 给视图函数添加装饰器
  • 登录成功后重定向回原页面
    • 获取路由的三个方法
• django操作session
  • session保存的位置
  • 设置session
    • 流程推导（重要）
  • 获取session
    • 流程推导（重要）
  • 设置session过期时间 set_expiry
  • session补充方法

cookie与session简介

"""
回忆:HTTP协议四大特性
	1.基于请求响应
	2.基于TCP、IP作用于应用层之上的协议
	3.无状态
		不保存客户端的状态
	4.无连接
"""
最开始的网站都不需要用户注册 所有人来访问获取到的数据都是一样的
随着互联网的发展很多网站需要指定当前用户的状态

cookie
	保存在客户端与用户状态相关的信息
session
	保存在服务端与用户状态相关的信息
ps:session的工作需要依赖于cookie

ps:浏览器有资格拒绝保存服务端发送过来的cookie数据
ps:以后我们还会接触到token、jwt等各种技术 目的都只有一个>>>:记录某种状态

早期cookies

最开始的浏览器，每次向服务器的请求都自报家门，即每发一次请求，都把用户名和密码都发过去：

当用户第一次把用户名和密码输对了之后。浏览器自动保存用户名和密码。发请求时，浏览器自动帮你输入用户名密码。

浏览器有能力记住不同网站的用户名和密码。此时浏览器也就是客户端。

产生了cookie的定义：

保存在客户端与用户状态相关的信息（通常情况下类似于字典的kv键值对）

早期的cookies很不安全：

真实的用户名密码保存在浏览器不安全。万一有人打开你的电脑，窃取你浏览器的密码。

随机字符串解决cookies安全问题

所以采取了以下办法：

当第一次输对了用户名和密码，服务端会给你发一个随机字符串。服务端有一张表记着字符串和用户的对应关系。下次访问服务端的时候，你把这个随机字符串带上，服务端可以通过表来确定这个随机字符串对应哪个用户。

这样做的好处：

外人查看随机字符串，也无法查看用户的密码。而用户可以拿着随机字符串进行登录。

session的定义：

用户真正的数据保存在服务端，所以我们把保存在服务端中，跟用户状态相关的信息叫做session。

随机字符串叫什么？

随机字符串既存在于浏览器，也存在于服务端。

在客户端上叫cookies 。

在服务端上叫session。

注意：

session是不可能单独工作的，要依赖于cookies。

所有跟用户状态相关的操作 都要依赖于cookies

禁止浏览器保存cookies

在开发者工具的application查看cookies:

浏览器有资格拒绝保存cookies:

禁用cookies后无法进行登录：

django操作cookie

from django.shortcuts import render,HttpResponse,redirect
return render()
return HttpResponse()
return redirect()

要想操作cookie就不能直接返回HttpResponse对象 必须先用变量接收
obj1 = render()
return obj1
obj2 = HttpResponse()
return obj2
obj3 = redirect()
return obj3

set_cookie

要想操作cookie就不能直接返回HttpResponse对象 必须先用变量接收。

如下图，先产生HttpResponse对象，再用对象调用set_cookie方法，此方法让浏览器保存键值对：

查看浏览器报错的cookies键值对:

set_signed_cookie

HttpResponse对象.set_signed_cookie(key,
                        value,
                        salt='加密盐',
                        max_age=None,
                        expires=None
                         ...
                                )

参数：

• key, 键
• value='', 值
• max_age=None, 超时时间
• expires=None, 超时时间(IE requires expires, so set it if hasn't been already.)
• path='/', Cookie生效的路径，/ 表示根路径，特殊的：根路径的cookie可以被任何url的页面访问
• domain=None, Cookie生效的域名
• secure=False, https传输
• httponly=False 只能http协议传输，无法被JavaScript获取（不是绝对，底层抓包可以获取到也可以被覆盖）

cookies也是可以有过期时间的。

request.COOKIES

通过request.COOKIES查看cookies键值对：

因为浏览器现在已经有cookies，所以每次访问路由都会携带cookies。

delete_cookie

def logout(request):
    rep = redirect("/login/")
    rep.delete_cookie("user")  # 删除用户浏览器上之前设置的usercookie值
    return rep
'''所谓退出登录本质其实就是将客户端的标识用户身份的cookie删除'''

用户登录功能

def login_func(request):
    if request.method == 'POST':
        username = request.POST.get('username')
        password = request.POST.get('password')
        if username == 'jason' and password == '123':
            obj = redirect('/home/')
            obj.set_cookie('name', username)
            return obj
    return render(request, 'loginPage.html')

前端编写表单：

后端视图函数：

让客户端保存凭证，并重定向回home页面

（Home页面只有登录的用户才可以查看）：

Homepage获取cookies:

服务器询问你的cookies有没有name这个键。当浏览器携带cookies时，才能访问home页面，没有cookies就重定向回登录页面。

给视图函数添加装饰器

def login_auth(func_name):
    def inner(request, *args, **kwargs):
        if request.COOKIES.get('name'):
            res = func_name(request, *args, **kwargs)
            return res
        return redirect('/login/')

    return inner

@login_auth
def home_func(request):
    return HttpResponse('home页面 只有登录的用户才可以查看')

新需求：

需要登录才能访问的页面有好几个.

极端情况：

我们有三百个视图函数，视图函数返回的页面，登录之后的用户才能查看。

在不影响函数原有的功能的基础下，给其添加新功能，可以使用：

装饰器

在请求访问该页面的时候携带cookies时，继续执行视图函数。

请求未携带cookies时，重定向回登录页面。

给多个视图函数添加装饰器：

登录成功后重定向回原页面

进阶操作:

用户没有登录之前访问某个页面，此时让用户跳转到登录页面，用户输入用户名密码登录之后，跳回用户原来想访问的页面。

def login_func(request):
    if request.method == 'POST':
        username = request.POST.get('username')
        password = request.POST.get('password')
        if username == 'jason' and password == '123':
            target_path = request.GET.get('next')
            if target_path:
                obj = redirect(target_path)
            else:
                obj = redirect('/home/')
            obj.set_cookie('name', username)
            return obj
    return render(request, 'loginPage.html')

def login_auth(func_name):
    def inner(request, *args, **kwargs):
        # print(request.path)  # 只获取用户输入的路由信息
        # print(request.path_info)  # 只获取用户输入的路由信息
        target_path = request.path_info
        # print(request.get_full_path())  # 获取用户输入的路由信息+问号后面携带的数据
        if request.COOKIES.get('name'):
            res = func_name(request, *args, **kwargs)
            return res
        return redirect('/login/?next=%s' % target_path)

    return inner

获取路由的三个方法

查看三个方法返回的结果：

三个方法的区别：访问home路由时，使用问号携带一些信息。

第三个方法，可以获取整个路由，并且也可以获取问号携带的信息：

总结：

为了实现上述需求，我们使用path_info方法：

先获取用户想访问页面的路由信息，存储在变量名target_path中：

跳转到登录页面时，通过问号携带信息：

如下例子中，用户登录之前想访问的页面路由是/home1/

之前登录成功之后，我们重定向的页面时写死的：

现在我们添加判断：

target_path不存在的情况，意味着用户是直接访问的登录页面。

此时的request.GET.get('next')是获取不到值的，因为这个获取的是路由后面通过问号携带的信息。此时走else分支：跳转回home首页

当target_path存在的情况，意味着用户是从别的页面跳转过来的。此时通过request.GET.get('next')获取用户是从哪里来的。然后给他重定向回到原页面。

django操作session

由于session是保存在服务端上面的数据 就应该有个地方能够存储
我们只需要执行数据库迁移命令即可 django会自动创建很多需要的表

django默认的session失效时间是14天

设置session
	request.session['key'] = value
        1.生成一个随机字符串
        2.对value数据做加密处理 并在django_session表中存储
            随机字符串>>>加密数据
        3.将随机字符串也发送一份给客户端保存(cookie)
            sessionid:随机字符串
获取session
	request.session.get('key')
        1.自动获取随机字符串
        2.去django_session表中根据随机字符串获取加密的数据
        3.自动解密数据并处理到request.sesion.get()中

补充说明
	1.可以设置过期时间
 	2.存储session数据的位置也可以修改 各种数据库 甚至一个文件

session保存的位置

由于session是保存在服务端上面的数据 就应该有个地方能够存储
我们只需要执行数据库迁移命令即可 django会自动创建很多需要的表

django默认的session失效时间是14天

如下图所示，django自动创建的表中，有一张session表：

自动创建的session表有如下字段：

设置session

设置session
	request.session['key'] = value
        1.生成一个随机字符串
        2.对value数据做加密处理 并在django_session表中存储
            随机字符串>>>加密数据
        3.将随机字符串也发送一份给客户端保存(cookie)
            sessionid:随机字符串

示例：

在没有进行数据库迁移的情况下，执行这条命令会报错：

正常执行这条命令，会将session表里添加一条数据：

session_data:

存储真正跟用户相关的数据，

我们设置session时使用的是：request.session['key'] = 'value'

举个例子：request.session['username']= 'cloud'

那么session中存储的就是加密过的'cloud'

session_key:

存储的是针对key生成一个加密之后的字符串。

expire_date:

存储session的过期时间。django中默认的session失效时间是14天。

流程推导（重要）

1. 浏览器朝服务端发请求。
2. 服务端创建session。
   
   服务端在django_session表中，
   
   生成加密字符串(session_key）、加密之后的用户数据(session_data)
3. 服务端将加密字符串（session_key）发送给浏览器保存，此时这个加密字符串就称之为cookies.

查看浏览器保存的session_key:

浏览器是以键值对的形式保存的，键是浏览器自己取的，不必在意。这个值就是服务端发送过来的session_key。

下次浏览器访问服务端，就会自动携带session_key（cookies），服务端会拿着浏览器带来的session_key去保存session的表中进行校验，查看是否有相同的字符串。

获取session

获取session
	request.session.get('key')
        1.自动获取随机字符串
        2.去django_session表中根据随机字符串获取加密的数据
        3.自动解密数据并处理到request.sesion.get()中

示例：

流程推导（重要）

1. 服务端接受浏览器传过来的加密字符串(session_key)
2. 拿着加密字符串去session表中查找
3. 当查找到相同的字符串，取出其对应的session_data
4. 对session_data自动解密，并处理到request.sesion.get()中

设置session过期时间 set_expiry

示例：

set_expiry:设置session的过期时间，括号里填写的单位是秒，这里的意思是session创建后3秒就过期。

session补充方法

# 将所有Session失效日期小于当前日期的数据删除
request.session.clear_expired()

# 检查会话session的key在数据库中是否存在
request.session.exists("session_key")

# 删除当前会话的所有Session数据
request.session.delete()  # 只删除客户端的cookies

# 删除当前的会话数据并删除会话的Cookie。
request.session.flush()   # 客户端cookies、服务端session都删除

# 设置会话Session和Cookie的超时时间
request.session.set_expiry(value)
        * 如果value是个整数，session会在些秒数后失效。
        * 如果value是个datatime或timedelta，session就会在这个时间后失效。
        * 如果value是0,用户关闭浏览器session就会失效。
        * 如果value是None,session会依赖全局session失效策略（在django框架下默认14天）。