Session和Cookie相关概念

  • Session和Cookie都是有服务器生成的。
  • Session和Cookie都是键值对形式保存,主要用于存储特定的一些状态值。
  • Session保存在服务器,Cookie保存在客户端。通常来说,Session的ID会以Cookie的形式返回给客户端的。
  • Session和Cookie都是有生命周期的。Cookie的生命周期受到Cookie自身的有效期和客户端的影响,一般来说,浏览器(客户端)是会自动将存活的Cookie封装在请求头里面,向服务器发送。如果Cookie有效期过期或客户端清理了Cookie,则发送的请求中就没有Cookie值;Session的生命周期受到Session自身的有效期和客户端是否关闭的影响。SessionID虽然是已Cookie的形式返回给客户端,但是它是不受客户的Cookie容器的管理,而是和客户端进程有关,即客户端进程不关闭,一般Session在客户端就不会失效。
  • Session和Cookie都是有作用域的。

实例演示:以cookie记录用户状态

login.html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>登录Session与Cookie</title>

    <link rel="stylesheet"

          href="https://cdn.bootcss.com/bootstrap/3.3.7/css/bootstrap.min.css">

</head>

<body>

<div class="container">

    {% if username %}

        <h2>欢迎您 :{{ username }}</h2>

        <a href="/logout/">注销</a>

    {% else %}

        <form action="/login_cookie/" method="post">

            {% csrf_token %}

            <div class="form-group">

                <label class="sr-only">username</label>

                <input type="text" class="form-control" name="username"

                       placeholder="用户名"/>

            </div>

            <div class="form-group">

                <label class="sr-only">Password</label>

                <input type="password" class="form-control" name="passwd"

                       placeholder="密码"/>

            </div>

            <div class="form-group">

                <input class="btn btn-primary" type="submit" value="Submit">

            </div>

        </form>

    {% endif %}

</div>

<script type="application/javascript"

        src="https://cdn.bootcss.com/jquery/3.2.1/jquery.min.js"></script>

<script type="application/javascript"

        src="https://cdn.bootcss.com/bootstrap/3.3.7/js/bootstrap.min.js"></script>

</body>

</html>

login/views.py

from django.shortcuts import render

# Create your views here.

def login_cookie(request):

    # 从Cookie中获取用户名

    username = request.COOKIES.get("username", False)

    response = render(request, 'login.html', locals())

    # 如果POST表单,进行登录验证

    if request.method == "POST":

        username = request.POST['username']

        pwd = request.POST['passwd']

        if username == 'ptqa' and pwd == '':

            response = render(request, 'login.html', locals())

            # 设置Cookie

            response.set_cookie("username", username)

    return response

step1:首次访问http://127.0.0.1:8000/login_cookie/   可以观察到 Request headers 中没有Cookie,处于未登录状态

step2:登录后(输入账号名ptqa,密码4399)自动跳转首页,此时可以观察到,在Response Headers 中存在Set-Cookie:username=ptqa; Path=/

step3:此时,刷新页面或新开窗口访问http://127.0.0.1:8000/login_cookie/ 可观察到请求中的Request Headers 中自动带上 Cookie:username=ptqa; 页面处于已登录状态。

显然,通过cookie的方式验证用户登录容易被破解,如下使用jmeter篡改Cookie值,则同样可以进入已登录状态显示界面,如下

实例演示:以Session记录用户状态

 login.html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>登录Session与Cookie</title>

    <link rel="stylesheet"

          href="https://cdn.bootcss.com/bootstrap/3.3.7/css/bootstrap.min.css">

</head>

<body>

<div class="container">

    {% if username %}

        <h2>欢迎您 :{{ username }}</h2>

        <a href="/logout/">注销</a>

    {% else %}

        <form action="/login_session/" method="post">

            {% csrf_token %}

            <div class="form-group">

                <label class="sr-only">username</label>

                <input type="text" class="form-control" name="username"

                       placeholder="用户名"/>

            </div>

            <div class="form-group">

                <label class="sr-only">Password</label>

                <input type="password" class="form-control" name="passwd"

                       placeholder="密码"/>

            </div>

            <div class="form-group">

                <input class="btn btn-primary" type="submit" value="Submit">

            </div>

        </form>

    {% endif %}

</div>

<script type="application/javascript"

        src="https://cdn.bootcss.com/jquery/3.2.1/jquery.min.js"></script>

<script type="application/javascript"

        src="https://cdn.bootcss.com/bootstrap/3.3.7/js/bootstrap.min.js"></script>

</body>

</html>

login/views.py

from django.shortcuts import render, redirect

# Create your views here.

def login_session(request):

    # 从Session中获取用户名

    username = request.session.get('username', False)

    # 如果POST表单,进行登录验证

    if request.method == "POST":

        username = request.POST['username']

        pwd = request.POST['passwd']

        if username == 'ptqa' and pwd == '':

            # 设置Session

            request.session['username'] = username

            # request.session.set_expiry(300) #会让 Session 在五分钟后过期

    # 登录不成功或第一访问就停留在登录页面

    return render(request, 'login.html', locals())

def logout(request):

    if "username" in request.session:

        del request.session['username']

    return redirect("/login_session/")

step1:首次访问http://127.0.0.1:8000/login_session/ 可观察到Request Headers 中并没有sessionId 并且处于未登录状态

step2:登录,输入账号ptqa,密码4399 ,在Response Headers 中可以观察到存在 Set-Cookie:sessionid=qigvbt2ckkcc5rydr46dehzjryg0mh41;

step3:重新刷新页面或新开窗口,则观察到在Request Headers 中带有Cookie Sessionid,并且处于登录状态。

显然,这种使用sessonid的方式比较安全,如果篡改sessionid,则无法进行登录。如下:

***微信扫一扫,关注“python测试开发圈”,了解更多测试教程!***

解析session与cookie的更多相关文章

  1. Session与Cookie解析

    Session和Cookie这两个对象也接触了比較长的时间了,今天就来总结一下. 首先,他们都是会话跟踪中经常使用的技术.Cookie在client记录信息来确定用户身份,Session在服务端记录信 ...

  2. Session与Cookie概念

    摘:一.Session机制session是一种服务器端的状态管理技术,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息.当程序需要为某个客户端的请求创建一个session的时候,服务 ...

  3. [转]ASP.Net篇之Session与Cookie

    本文转自:http://www.cnblogs.com/japanbbq/archive/2011/08/31/2160494.html Session: Session是“会话”的意思,然而,因为h ...

  4. 转!!深入理解 Session 与 Cookie

    摘要 Session 与 Cookie 不管是对 Java Web 的初学者还是熟练使用者来说都是一个令人头疼的问题.在初入职场时恐怕很多程序员在面试的时候都被问到过这个问题.其实这个问题回答起来既简 ...

  5. Session和Cookie深度剖析

    Session和Cookie的区别 具体来说cookie机制采用的是在客户端保持状态的方案,而session机制采用的是在服务器端保持状态的方案.同时我们也看到,由于采用服务器端保持状态的方案在客户端 ...

  6. Session,Cookie,jsessionid,Url重写

    在一些投票之类的场合,我们往往因为公平的原则要求每人只能投一票,在一些WEB开发中也有类似的情况,这时候我们通常会使用COOKIE来实现,例如如下的代码: < % cookie[]cookies ...

  7. session和cookie详解2

    http 之session和cookie http://www.cnblogs.com/ForEverKissing/archive/2008/05/23/1205503.html Session简介 ...

  8. Session和Cookie的关系

    Session和Cookie关系 两者构建了web的回话数据 Cookie作为客户端的回话,Session为服务器端的 共同点: 都是1对1的,(一个客户一个独立的回话) 都以键值对的方式存储数据 都 ...

  9. 【转】session和cookie详解

    会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话.常用的会话跟踪技术是Cookie与Session.Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端 ...

随机推荐

  1. YARN - Yet Another Resource Negotiator

    http://www.socc2013.org/home/program http://www.ibm.com/developerworks/cn/opensource/os-cn-hadoop-ya ...

  2. 【转】spring和springMVC的面试问题总结

    1.Spring中AOP的应用场景.Aop原理.好处? 答:AOP--Aspect Oriented Programming面向切面编程:用来封装横切关注点,具体可以在下面的场景中使用: Authen ...

  3. 文件操作 - 三元运算/chardet/文件操作r w/文件的操作方法

    Alex:读书可以改变一个人的气质读书:豆瓣: 1年读20本 你的问题:想法太多,读书太少 书:追风筝的人,白鹿原  电影:阿甘正传 辛德勒名单---------------------------- ...

  4. java 日期的格式化 输入/输出

    想要得到形如2018.07.09的格式化好的当天日期 创建Date对象,调用SimpleDateFormat对象的format方法: indexstr="logstash-"+ne ...

  5. Tomcat WEB站点部署

    上线的代码有两种方式, 第一种方式是直接将程序目录放在webapps目录下面 第二种方式是使用开发工具将程序打包成war包,然后上传到webapps目录下面.下面让我们见识一下这种方式 这个网站里面已 ...

  6. [intellij]create gradle project

    https://intellij-support.jetbrains.com/hc/en-us/community/posts/206806425/comments/206797339

  7. 微信小程序学习笔记(7)--------布局基础

    ui布局基础 一.flex布局 1.flex的容器和元素 2.flex容器属性详解     1>flex-direction不仅设置元素的排列方向,还设置主轴和交叉轴如下图主轴是由上到下 2&g ...

  8. Educational Codeforces Round 11B. Seating On Bus 模拟

    地址:http://codeforces.com/contest/660/problem/B 题目: B. Seating On Bus time limit per test 1 second me ...

  9. python网络编程——IO多路复用之select

    1 IO多路复用的概念 原生socket客户端在与服务端建立连接时,即服务端调用accept方法时是阻塞的,同时服务端和客户端在收发数据(调用recv.send.sendall)时也是阻塞的.原生so ...

  10. LeetCode: Next Greater Element I

    stack和map用好就行 public class Solution { public int[] nextGreaterElement(int[] findNums, int[] nums) { ...