Session和Cookie相关概念

  • Session和Cookie都是有服务器生成的。
  • Session和Cookie都是键值对形式保存,主要用于存储特定的一些状态值。
  • Session保存在服务器,Cookie保存在客户端。通常来说,Session的ID会以Cookie的形式返回给客户端的。
  • Session和Cookie都是有生命周期的。Cookie的生命周期受到Cookie自身的有效期和客户端的影响,一般来说,浏览器(客户端)是会自动将存活的Cookie封装在请求头里面,向服务器发送。如果Cookie有效期过期或客户端清理了Cookie,则发送的请求中就没有Cookie值;Session的生命周期受到Session自身的有效期和客户端是否关闭的影响。SessionID虽然是已Cookie的形式返回给客户端,但是它是不受客户的Cookie容器的管理,而是和客户端进程有关,即客户端进程不关闭,一般Session在客户端就不会失效。
  • Session和Cookie都是有作用域的。

实例演示:以cookie记录用户状态

login.html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>登录Session与Cookie</title>

    <link rel="stylesheet"

          href="https://cdn.bootcss.com/bootstrap/3.3.7/css/bootstrap.min.css">

</head>

<body>

<div class="container">

    {% if username %}

        <h2>欢迎您 :{{ username }}</h2>

        <a href="/logout/">注销</a>

    {% else %}

        <form action="/login_cookie/" method="post">

            {% csrf_token %}

            <div class="form-group">

                <label class="sr-only">username</label>

                <input type="text" class="form-control" name="username"

                       placeholder="用户名"/>

            </div>

            <div class="form-group">

                <label class="sr-only">Password</label>

                <input type="password" class="form-control" name="passwd"

                       placeholder="密码"/>

            </div>

            <div class="form-group">

                <input class="btn btn-primary" type="submit" value="Submit">

            </div>

        </form>

    {% endif %}

</div>

<script type="application/javascript"

        src="https://cdn.bootcss.com/jquery/3.2.1/jquery.min.js"></script>

<script type="application/javascript"

        src="https://cdn.bootcss.com/bootstrap/3.3.7/js/bootstrap.min.js"></script>

</body>

</html>

login/views.py

from django.shortcuts import render

# Create your views here.

def login_cookie(request):

    # 从Cookie中获取用户名

    username = request.COOKIES.get("username", False)

    response = render(request, 'login.html', locals())

    # 如果POST表单,进行登录验证

    if request.method == "POST":

        username = request.POST['username']

        pwd = request.POST['passwd']

        if username == 'ptqa' and pwd == '':

            response = render(request, 'login.html', locals())

            # 设置Cookie

            response.set_cookie("username", username)

    return response

step1:首次访问http://127.0.0.1:8000/login_cookie/   可以观察到 Request headers 中没有Cookie,处于未登录状态

step2:登录后(输入账号名ptqa,密码4399)自动跳转首页,此时可以观察到,在Response Headers 中存在Set-Cookie:username=ptqa; Path=/

step3:此时,刷新页面或新开窗口访问http://127.0.0.1:8000/login_cookie/ 可观察到请求中的Request Headers 中自动带上 Cookie:username=ptqa; 页面处于已登录状态。

显然,通过cookie的方式验证用户登录容易被破解,如下使用jmeter篡改Cookie值,则同样可以进入已登录状态显示界面,如下

实例演示:以Session记录用户状态

 login.html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>登录Session与Cookie</title>

    <link rel="stylesheet"

          href="https://cdn.bootcss.com/bootstrap/3.3.7/css/bootstrap.min.css">

</head>

<body>

<div class="container">

    {% if username %}

        <h2>欢迎您 :{{ username }}</h2>

        <a href="/logout/">注销</a>

    {% else %}

        <form action="/login_session/" method="post">

            {% csrf_token %}

            <div class="form-group">

                <label class="sr-only">username</label>

                <input type="text" class="form-control" name="username"

                       placeholder="用户名"/>

            </div>

            <div class="form-group">

                <label class="sr-only">Password</label>

                <input type="password" class="form-control" name="passwd"

                       placeholder="密码"/>

            </div>

            <div class="form-group">

                <input class="btn btn-primary" type="submit" value="Submit">

            </div>

        </form>

    {% endif %}

</div>

<script type="application/javascript"

        src="https://cdn.bootcss.com/jquery/3.2.1/jquery.min.js"></script>

<script type="application/javascript"

        src="https://cdn.bootcss.com/bootstrap/3.3.7/js/bootstrap.min.js"></script>

</body>

</html>

login/views.py

from django.shortcuts import render, redirect

# Create your views here.

def login_session(request):

    # 从Session中获取用户名

    username = request.session.get('username', False)

    # 如果POST表单,进行登录验证

    if request.method == "POST":

        username = request.POST['username']

        pwd = request.POST['passwd']

        if username == 'ptqa' and pwd == '':

            # 设置Session

            request.session['username'] = username

            # request.session.set_expiry(300) #会让 Session 在五分钟后过期

    # 登录不成功或第一访问就停留在登录页面

    return render(request, 'login.html', locals())

def logout(request):

    if "username" in request.session:

        del request.session['username']

    return redirect("/login_session/")

step1:首次访问http://127.0.0.1:8000/login_session/ 可观察到Request Headers 中并没有sessionId 并且处于未登录状态

step2:登录,输入账号ptqa,密码4399 ,在Response Headers 中可以观察到存在 Set-Cookie:sessionid=qigvbt2ckkcc5rydr46dehzjryg0mh41;

step3:重新刷新页面或新开窗口,则观察到在Request Headers 中带有Cookie Sessionid,并且处于登录状态。

显然,这种使用sessonid的方式比较安全,如果篡改sessionid,则无法进行登录。如下:

***微信扫一扫,关注“python测试开发圈”,了解更多测试教程!***

解析session与cookie的更多相关文章

  1. Session与Cookie解析

    Session和Cookie这两个对象也接触了比較长的时间了,今天就来总结一下. 首先,他们都是会话跟踪中经常使用的技术.Cookie在client记录信息来确定用户身份,Session在服务端记录信 ...

  2. Session与Cookie概念

    摘:一.Session机制session是一种服务器端的状态管理技术,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息.当程序需要为某个客户端的请求创建一个session的时候,服务 ...

  3. [转]ASP.Net篇之Session与Cookie

    本文转自:http://www.cnblogs.com/japanbbq/archive/2011/08/31/2160494.html Session: Session是“会话”的意思,然而,因为h ...

  4. 转!!深入理解 Session 与 Cookie

    摘要 Session 与 Cookie 不管是对 Java Web 的初学者还是熟练使用者来说都是一个令人头疼的问题.在初入职场时恐怕很多程序员在面试的时候都被问到过这个问题.其实这个问题回答起来既简 ...

  5. Session和Cookie深度剖析

    Session和Cookie的区别 具体来说cookie机制采用的是在客户端保持状态的方案,而session机制采用的是在服务器端保持状态的方案.同时我们也看到,由于采用服务器端保持状态的方案在客户端 ...

  6. Session,Cookie,jsessionid,Url重写

    在一些投票之类的场合,我们往往因为公平的原则要求每人只能投一票,在一些WEB开发中也有类似的情况,这时候我们通常会使用COOKIE来实现,例如如下的代码: < % cookie[]cookies ...

  7. session和cookie详解2

    http 之session和cookie http://www.cnblogs.com/ForEverKissing/archive/2008/05/23/1205503.html Session简介 ...

  8. Session和Cookie的关系

    Session和Cookie关系 两者构建了web的回话数据 Cookie作为客户端的回话,Session为服务器端的 共同点: 都是1对1的,(一个客户一个独立的回话) 都以键值对的方式存储数据 都 ...

  9. 【转】session和cookie详解

    会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话.常用的会话跟踪技术是Cookie与Session.Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端 ...

随机推荐

  1. 深入理解Java内存模型之系列篇

    深入理解Java内存模型(一)——基础 并发编程模型的分类 在并发编程中,我们需要处理两个关键问题:线程之间如何通信及线程之间如何同步(这里的线程是指并发执行的活动实体).通信是指线程之间以何种机制来 ...

  2. 模块 - time/datetime

    time 模块 time模块方法: >>> import time >>> time.time() #时间戳 秒级别 1519212085.6211221 #从19 ...

  3. windows7下搭建django开发环境

    Django 是 Python 编程语言驱动的一个开源模型-视图-控制器(MVC)风格的 Web 应用程序框架. 使用 Django,我们在几分钟之内就可以创建高品质.易维护.数据库驱动的应用程序. ...

  4. MySQL 如何利用一条语句实现类似于if-else条件语句的判断

    一. 编写一条update语句实现商品涨价,具体规则如下 1.99元以内,提价20% 2.100-999元之间,提价10% 3.1000-1999之间,提价5% 4.其他提价2% update goo ...

  5. 【转】HTTP缓存机制

    前言 Http 缓存机制作为 web 性能优化的重要手段,对于从事 Web 开发的同学们来说,应该是知识体系库中的一个基础环节,同时对于有志成为前端架构师的同学来说是必备的知识技能.但是对于很多前端同 ...

  6. STL中使用reverse_iterator时,如何正确使用erase函数

    假设有一个list容器,顺序存储了0-9一个10个整数.现在要使用reverse_iterator迭代器来查找值为8和5的元素,并且将这两个数删除.先来看以下的解决方法: #include <i ...

  7. hibernate set的3个属性

    inverse 属性 在hibernate中通过对 inverse 属性的来决定是由双向关联的哪一方来维护表和表之间的关系. inverse = false 的为主动方.inverse = true ...

  8. linux svn 命令

    windows下的TortoiseSVN是资源管理器的一个插件,以覆盖图标表示文件状态,几乎所以命令都有图形界面支持,比较好用,这里就不多说.主要说说linux下svn的使用,因为linux下大部分的 ...

  9. HDU - 6370 Werewolf 2018 Multi-University Training Contest 6 (DFS找环)

    求确定身份的人的个数. 只能确定狼的身份,因为只能找到谁说了谎.但一个人是否是民,无法确定. 将人视作点,指认关系视作边,有狼边和民边两种边. 确定狼的方法只有两种: 1. 在一个仅由一条狼边组成的环 ...

  10. 理解盒模型——外边距、内边距和边框之间的关系,IE 8以下版本的浏览器中的盒模型有什么不同。

    一个元素盒模型的层次从内到外分别为:内边距.边框和外边距IE8以下浏览器的盒模型中定义的元素的宽高不包括内边距和边框