Django 操作Cookie与Session

目录

• Cookie
• Session
• Django中操作Cookie
  • 基本操作
  • 基于cookie的登录装饰器
• Django中操作Session
  • 基本操作
  • Session流程解析
  • 基于session的登录装饰器（FBV）
  • 基于session的登录装饰器（CBV）

大家都知道HTTP协议是无状态的。

无状态的意思是每次请求都是独立的，它的执行情况和结果与前面的请求和之后的请求都无直接关系，它不会受前面的请求响应情况直接影响，也不会直接影响后面的请求响应情况。

一句有意思的话来描述就是人生只如初见，对服务器来说，每次的请求都是全新的。

状态可以理解为客户端和服务器在某次会话中产生的数据，那无状态的就以为这些数据不会被保留。会话中产生的数据又是我们需要保存的，也就是说要“保持状态”。因此Cookie就是在这样一个场景下诞生。

Cookie

Cookie具体指的是一段小信息，它是服务器发送出来存储在浏览器上的一组组键值对，下次访问服务器时浏览器会自动携带这些键值对，以便服务器提取有用信息。

cookie的工作原理是：由服务器产生内容，浏览器收到请求后保存在本地；

当浏览器再次访问时，浏览器会自动带上Cookie，这样服务器就能通过Cookie的内容来判断这个是“谁”了。

Session

Cookie虽然在一定程度上解决了“保持状态”的需求，但是由于Cookie本身最大支持4096字节，以及Cookie本身保存在客户端，可能被拦截或窃取，因此就需要有一种新的东西，它能支持更多的字节，并且他保存在服务器，有较高的安全性。这就是Session。

问题来了，基于HTTP协议的无状态特征，服务器根本就不知道访问者是“谁”。那么上述的Cookie就起到桥接的作用。

我们可以给每个客户端的Cookie分配一个唯一的id，这样用户在访问时，通过Cookie，服务器就知道来的人是“谁”。然后我们再根据不同的Cookie的id，在服务器上保存一段时间的私密资料，如“账号密码”等等。

总结而言：Cookie弥补了HTTP无状态的不足，让服务器知道来的人是“谁”；但是Cookie以文本的形式保存在本地，自身安全性较差；所以我们就通过Cookie识别不同的用户，对应的在Session里保存私密的信息以及超过4096字节的文本。

另外，上述所说的Cookie和Session其实是共通性的东西，不限于语言和框架。

Django中操作Cookie

Cookie 是由服务端设置并保存在客户端浏览器上的键值对，浏览器可以有权设置是否禁止cookie的写入

---

基本操作

使用cookie的功能前需要先找一个对象来接收django视图层三板斧的结果：

obj = HttpResponse()
# 利用obj对象你才可以操作cookie
return obj

obj = render()
return obj

obj = redirect()
return obj

• 设置cookie

obj = redirect('/index/')
# 设置一个客户端cookies
obj.set_cookie('whoami','qinyj')

• 服务端获取cookie

request.COOKIES.get('whoami')

• 设置cookie的超时时间

obj.set_cookie('whoami','qinyj',max_age=3)	# 秒为单位，3秒
obj.set_cookie('whoami','qinyj',expires=3)	# 秒为单位，3秒

• max_age：两者都是设置cookies超时时间，兼容所有浏览器。

• expires：两者都是设置cookies超时时间，只针对IE浏览器设置。

• 删除cookie（注销，退出登录）

obj = redirect('/login/')
obj.delete_cookie('whoami')

基于cookie的登录装饰器

• request.path_info：只获取url部分 /index/
• request.get_full_path()：获取 url + get参数 /index/?username=qinyj

from django.shortcuts import render,HttpResponse,redirect
from functools import wraps
# Create your views here.

def login_auth(func):
    @wraps(func)
    def innder(request,*args,**kwargs):
        if not request.COOKIES.get('whoami'):
            # 获取用户敲的url路径
            next_path = request.path_info
            print(request.path_info)
            print(request.get_full_path())
            return redirect('/login/?next=%s' %next_path)
        else:
            return func(request,*args,**kwargs)
    return innder

def login(request):
    if request.method == "POST":
        username = request.POST.get('username')
        password = request.POST.get('password')
        # 通常是从数据库中查用户信息来进行判断
        if username == 'qinyj' and password == '123':
            path = request.GET.get('next')
            # 判断用户有没有直接访问login页面。
            if path:
                obj = redirect(path)
            else:
                obj = redirect('/index/')
            # 设置一个客户端cookies    set_cookie
            obj.set_cookie('whoami',username,max_age=1209600)
            return obj
    return render(request,'login.html')

@login_auth
def index(request):
    # 最简单的其他功能实现通过cookie的才能登录的方法，
    # 如果多个功能那就要每个功能都要写
    # 可以使用装饰器
    # if not request.COOKIES.get('whoami'):
    #     return redirect('/login/')
    return HttpResponse('登陆成功之后的index页面')

@login_auth
def home(request):
    return HttpResponse('登陆成功之后的home页面')

@login_auth
def logout(request):
    obj = redirect('/login/')
    obj.delete_cookie('whoami')
    return obj

Django中操作Session

Session是保存在服务端上面的键值对，工作机制是需要依赖于cookie。

---

基本操作

session设置的时候依赖一个数据库中的表：

django_session

django中默认的session失效时间是14天，2周

• 设置session

request.session['k1'] = 'v1'
request.session.set_expiry(100)
'''
设置session的时候发生了三件事：
	1. django内部自动帮你调用算法生成一个随机字符串
	2. 在django_session表中添加数据
		session_key 	session_data	expire_date
		随机字符串		 加密之后的数据	失效时间（UTC时间）
	3. 将产生的随机字符串返回给客户端浏览器，告诉浏览器保存成K:V键值对形式的cooie：
		sessionid:随机字符串
'''

• 获取session

request.session.get('k1')
'''
获取session的时候发生了三件事：
	1. 拿着sessionid所对应的随机字符串去django_session表中一一对比
	2. 如果对比上了，将随机字符串对应的数据获取出来放到request.session中
	3. 如果没有就是空字典，就表示没有session。
'''

• 删除session

request.session.delete()
# 客户端和服务端全部会删除，根据浏览器的不同删除对应的数据

• 设置失效时间

# 设置会话Session和Cookie的超时时间
request.session.set_expiry(value)
* 如果value是个整数，session会在些秒数后失效。
* 如果value是个datatime或timedelta，session就会在这个时间后失效。
* 如果value是0,用户关闭浏览器session就会失效。
* 如果value是None,session会依赖全局session失效策略。

Session流程解析

基于session的登录装饰器（FBV）

def login_auth(func):
    @wraps(func)
    def innder(request,*args,**kwargs):
        print(request.path_info)
        print(request.get_full_path())
        if not request.session.get('whoami'):
            next_path = request.path_info
            return redirect('/login/?next=%s' %next_path)
        else:
            print(request.session.get('whoami'))
            return func(request,*args,**kwargs)
    return innder

def login(request):
    if request.method == "POST":
        username = request.POST.get('username')
        password = request.POST.get('password')
        # 通常是从数据库中查用户信息来进行判断
        if (username == 'qinyj' and password == '123') or (username == 'jack' and password == '123'):
            # 设置session值
            request.session['whoami'] = username
            # request.session['whoami1'] = 'jack'
            # request.session['whoami2'] = 'jack123'
            request.session.set_expiry(100)
            path = request.GET.get('next')
            # 判断用户有没有直接访问login页面。
            if path:
                return redirect(path)
                # obj = redirect(path)
            else:
                return redirect('/index/')
    return render(request,'login.html')

@login_auth
def index(request):
    return HttpResponse('登陆成功之后的index页面')

@login_auth
def home(request):
    return HttpResponse('登陆成功之后的home页面')

@login_auth
def logout(request):
    request.session.delete()
    return redirect('/login/')

基于session的登录装饰器（CBV）

views.py:
# 导入View，继承View类
from django.views import View
from django.utils.decorators import method_decorator

def login_auth(func):
    @wraps(func)
    def innder(request,*args,**kwargs):
        print(request.path_info)
        print(request.get_full_path())
        if not request.session.get('whoami'):
            next_path = request.path_info
            return redirect('/login/?next=%s' %next_path)
        else:
            # print(request.session.get('whoami'))
            return func(request,*args,**kwargs)
    return innder

class Login(View):
    def get(self,request):
        return render(request,'login.html')

    def post(self,request):
        username = request.POST.get('username')
        password = request.POST.get('password')
        # 通常是从数据库中查用户信息来进行判断
        if (username == 'qinyj' and password == '123') or (username == 'jack' and password == '123'):
            # 设置session值
            request.session['whoami'] = username
            request.session.set_expiry(100)
            path = request.GET.get('next')
            # 判断用户有没有直接访问login页面。
            if path:
                return redirect(path)
            else:
                return redirect('/index/')

@method_decorator(login_auth,name='get')
class Index(View):
    def get(self,request):
        return HttpResponse('登陆成功之后的index页面')

@method_decorator(login_auth,name='get')
class Home(View):
    def get(self, request):
        return HttpResponse('登陆成功之后的home页面')

@method_decorator(login_auth,name='get')
class Logout(View):
    def get(self, request):
        request.session.delete()
        return redirect('/login/')

urls.py:
url(r'^login/', views.Login.as_view()),
url(r'^index/', views.Index.as_view()),
url(r'^home/', views.Home.as_view()),
url(r'^logout/', views.Logout.as_view()),