Cookie : 指望着为了辨别用户身份、进行会话跟踪而存储在用户本地的数据(通常经过加密),是由服务端生成,发送给客户端浏览器,浏览器会将Cookie以key/value保存,下一请求同一网站是就发送该Cookie给服务器

Django中写cookie:  response.set_cookie(键,值,max_age=秒), 默认浏览器关闭过期

Django读cookie:  request.COOKIE.get(键) 

Session:客户端在服务器上的身份标识,是一种无状态的持久机制,需要存储空间的,session是依赖于Cookie存在的,以鉴值对的格式保存在服务器上,内容会被加密

保存方式: 

 1.关系型数据库

 2.缓存———》本地内存,常用的有redis

在Django中操作session,保存在redis中的简单步骤
1.配置setting.py
2.写:request.session[键]=值
3.读:request.session.get(键)

sesion的保存和获取流程图

第一步: 浏览器访问A网站====>1.服务器端首次写入session,如session["name"] = "AAA"
                                                   2.服务器端生成唯一标识符(随机字符串)
                                                   3.服务器端向redis中保存=====>格式:键值对
                                                                   键:唯一标识符
                                                                   值:加密的字典:{"name":"AAA"} # 在redis中保存的键值对并不是name:AAA
        
                                                   4.服务器端将唯一标识符保存到cookie中===>格式:键值对
                                                                                                键:session_id
                                                                                                值:唯一标识符(如图所示)
                                                                            
                                                   5.到此就能保存每个用户的浏览器保存的session信息都不一样
                                
第二步:  浏览器保存服务器返回的cookie信息
        
第三步:  当用户再次访问该网站时,浏览器自动携带所有相关的cookie信息(包括session_id)
            ====>1.服务器读取cookie,从中获取到session_id
                       2.根据session_id获取对应的唯一标识符
                       3.通过唯一标识符,作为键 ,去redis中获取对应的值(加密的字典{"name":"ywk"})
                       4.解密字典,获取session真正的信息

JWT : 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制

为什么使用JWT:

由于Http协议是一种无状态的协议,若用户向我们的应用提供了用户名和密码进行用户认证,那下一次请求时,用户需要再一次进行用户认证,因为http协议,并不能知道是哪个用户发出的请求,为了让应用能识别是哪个用户发出的请求,只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时用户访问应用时能识别请求来自哪个用户,这就是为什么使用session认证

但是由于不同客户端的增加,独立的服务器会无法承载更多的用户,使用session会暴露更多的问题,例如

扩展性:用户认证之后,服务端做认证记录,记录会保存在内存中,用户下次请求时就必须在这台服务器上才能拿到授权的资源,这样在分布式的应用上,限制了负载均衡器的能力,也限制了应用的扩展能力

CSRF:跨域请求伪造,截获浏览器上的cookie,发送恶意请求

这时候就需要使用token的鉴权机制了

Token:服务端生成的一串字符串,有唯一标识。是用户第一次登陆后,服务器生成一个token并将此token返回给客户端,以后客户端再次请求数据时只需要带上这个token,不需要再次带上用户名和密码

流程:

  1.用户使用用户名和密码请求服务器

  2.服务器进行验证用户的信息

  3.服务器通过验证发送给用户一个token  

  4.客户端存储token,并在每次请求是附送这个token值  

  5.服务端验证token,并返回数据

JWT的构成:头部(headler)载荷(payload)签证(signature),头部是使用 HMAC SHA256的算法加密,剩下2个是使用base64的算法加密

JWT的使用:在Django中使用Django REST framework JWT扩展来完成。

      文档网站:http://getblimp.github.io/django-rest-framework-jwt/

使用步骤:

1. 安装:

pip install djangorestframework-jwt

2. 配置:

# 身份认证的方式:JWT session
'DEFAULT_AUTHENTICATION_CLASSES': (
# 前后端分离使用jwt验证
'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
# 访问admin后台使用session
'rest_framework.authentication.SessionAuthentication',
),
}
  
# 过期时间为10小时
JWT_AUTH = {
  # timedelta 时间差
   'JWT_EXPIRATION_DELTA': datetime.timedelta(hours=10),
  }
  • JWT_EXPIRATION_DELTA 指明token的有效期

3. 使用

在创建user对象的时候手动生成token

from rest_framework_jwt.settings import api_settings

jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER payload = jwt_payload_handler(user)
token = jwt_encode_handler(payload)

4. 在序列化中定义增加字段token

from rest_framework_jwt.settings import api_settings

# 创建用户序列化器
class CreateUserSerializer(serializers.Serializer): ... # token字段
token = serializers.CharField(label='登录状态token', read_only=True) ...
def create(self, validated_data):
"""
创建用户
"""
user=User()
...
user.save() # 生成记录登录状态的token
jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER
payload = jwt_payload_handler(user)
token = jwt_encode_handler(payload)
user.token = token return user

Django中的Cookie、Session、Token的更多相关文章

  1. {Django基础八之cookie和session}一 会话跟踪 二 cookie 三 django中操作cookie 四 session 五 django中操作session

    Django基础八之cookie和session 本节目录 一 会话跟踪 二 cookie 三 django中操作cookie 四 session 五 django中操作session 六 xxx 七 ...

  2. django中操作cookie与session

    cookie 什么是Cookie Cookie具体指的是一段小信息,它是服务器发送出来存储在浏览器上的一组组键值对,下次访问服务器时浏览器会自动携带这些键值对,以便服务器提取有用信息. Cookie的 ...

  3. Django中的Cookie和Session操作以及CBV

    1.Cookie 平常我们在浏览网页的时候,在需要输入密码的地方,如果已经登陆了一次,并且时间间隔比较近的话,是不需要登陆的,为什么了?这就是Cookie的作用. Cookie(或Cookies)指某 ...

  4. Django 中的 cookie 和 session

    一.cookie 由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的.Cookie诞生的最初目的是为了存储web中的状态信息,以方便服务器端使用.比如判断用户是否是第一次访问网站.目前最新的 ...

  5. 如何使用django中的cookie和session?

    1.Cookie 介绍 Cookie是由服务器端生成,发送给User-Agent(一般是浏览器),浏览器会将Cookie的key/value保存到某个目录下的文本文件内,下次请求同一网站时就发送该Co ...

  6. python Django中的cookie和session

    目录 Cookie 1.1获取Cookie 1.2设置Cookie Session 1.数据库Session 2.缓存Session 3.文件Session 4.缓存+数据库Session Cooki ...

  7. django基础之day10,cookie session token

    https://www.cnblogs.com/Dominic-Ji/p/10886902.html cookie session token

  8. Django学习手册 - cookie / session

    cookie """ cookie属性: obj.set_cookie(key,value,....) obj.set_signed_cookie(key,value,s ...

  9. Python Web学习笔记之Cookie,Session,Token区别

    一.Cookie,Session,Token简介 # 这三者都解决了HTTP协议无状态的问题 session ID or session token is a piece of data that i ...

随机推荐

  1. bzoj 1049: [HAOI2006]数字序列【dp+二分+瞎搞】

    第一问明显就是用b[i]=a[i]-i来做最长不下降子序列 然后第二问,对于一对f[i]=f[j]+1的(i,j),中间的数一定要改的,并且是等于b[i]或者b[j],我不会证,然后因为是随机数据,所 ...

  2. the little schemer 笔记(1)

    第 1 章 玩具 这是原子atom吗?atom是的,因为atom是一个字母a开头的字符串. 这是原子atom吗?turkey是的,因为atom是字母开头的字符串. 这是原子atom吗?1492是的,因 ...

  3. 移动端UI自动化Appium测试——Android系统下使用uiautomator viewer查找元素

        在利用Appium做自动化测试时,最重要的一步就是获取对应的元素值,根据元素来对对象进行对应的操作,如何获得对象元素呢?Appium Server Console其实提供了一个界面对话框&qu ...

  4. Java基础50题test3—水仙花数

    水仙花数 题目:打印出所有的"水仙花数",所谓"水仙花数"是指一个三位数,其各位数字立方和等于该数本身.例 如:153 是一个"水仙花数", ...

  5. Ant题解

    Description: 一根长度为L厘米的木棒上有N只蚂蚁,每只蚂蚁要么向左走,要么向右走,速度为1厘米/秒.当两只蚂蚁相撞时,他们会同时掉头(掉头时间不计)给出每只蚂蚁距离木棒左端的距离,问多少秒 ...

  6. 个人作业(alpha)

    这个作业属于哪个课程  https://edu.cnblogs.com/campus/xnsy/SoftwareEngineeringClass1/ 这个作业要求在哪里  https://edu.cn ...

  7. Android基础夯实--重温动画(二)之Frame Animation

    心灵鸡汤:天下事有难易乎,为之,则难者亦易矣:不为,则易者亦难矣. 摘要 当你已经掌握了Tween Animation之后,再来看Frame Animation,你就会顿悟,喔,原来Frame Ani ...

  8. DDR SDRAM

    DDR SDRAM(Double Data Rate SDRAM)是一种高速CMOS.动态随机访问存储器, 它采用双倍数据速率结构来完成高速操作.应用在高速信号处理系统中, 需要缓存高速.大量的数据的 ...

  9. 详解nginx.conf文件配置项(包括负载均衡)

    http://www.cnblogs.com/hsapphire/archive/2010/04/08/1707109.html #运行用户 user  nobody nobody; #启动进程 wo ...

  10. 2015Java参赛邀请函

    [导读]甲骨文公司值Java语言发布20周年之际,携手全国高等级学校计算机教育研究会.教育部高等学校计算机类专业教学指导委员会,共同举办了2015年“甲骨文杯”全国Java程序设计大赛,为二百万名中国 ...