1、相同与不同

  Cookie和Session都是为了记录用户相关信息的方式,

  最大的区别就是Cookie在客户端记录而Session在服务端记录内容。

2、Cookie和Session之间的联系的建立:

  对于Django默认情况来说,当用户登陆后就可以发现Cookie里油一个sessionid的字段,根据这个key就可以取得在服务端记录的详细内容。

  如果将这个字段删除,刷新页面就会变成未登录状态了。

对session的处理主要在源码django/contrib/sessions/middleware.py中,如下所示:

import time

from importlib import import_module

from django.conf import settings

from django.contrib.sessions.backends.base import UpdateError

from django.core.exceptions import SuspiciousOperation

from django.utils.cache import patch_vary_headers

from django.utils.deprecation import MiddlewareMixin

from django.utils.http import cookie_date

class SessionMiddleware(MiddlewareMixin):

 def __init__(self, get_response=None):

  self.get_response = get_response

  engine = import_module(settings.SESSION_ENGINE)

  self.SessionStore = engine.SessionStore

 def process_request(self, request):

  session_key = request.COOKIES.get(settings.SESSION_COOKIE_NAME)

  request.session = self.SessionStore(session_key)

 def process_response(self, request, response):

  """

  If request.session was modified, or if the configuration is to save the

  session every time, save the changes and set a session cookie or delete

  the session cookie if the session has been emptied.

  """

  try:

   accessed = request.session.accessed

   modified = request.session.modified

   empty = request.session.is_empty()

  except AttributeError:

   pass

  else:

   # First check if we need to delete this cookie.

   # The session should be deleted only if the session is entirely empty

   if settings.SESSION_COOKIE_NAME in request.COOKIES and empty:

    response.delete_cookie(

     settings.SESSION_COOKIE_NAME,

     path=settings.SESSION_COOKIE_PATH,

     domain=settings.SESSION_COOKIE_DOMAIN,

    )

   else:

    if accessed:

     patch_vary_headers(response, ('Cookie',))

    if (modified or settings.SESSION_SAVE_EVERY_REQUEST) and not empty:

     if request.session.get_expire_at_browser_close():

      max_age = None

      expires = None

     else:

      max_age = request.session.get_expiry_age()

      expires_time = time.time() + max_age

      expires = cookie_date(expires_time)

     # Save the session data and refresh the client cookie.

     # Skip session save for 500 responses, refs #3881.

     if response.status_code != 500:

      try:

       request.session.save()

      except UpdateError:

       raise SuspiciousOperation(

        "The request's session was deleted before the "

        "request completed. The user may have logged "

        "out in a concurrent request, for example."

       )

      response.set_cookie(

       settings.SESSION_COOKIE_NAME,

       request.session.session_key, max_age=max_age,

       expires=expires, domain=settings.SESSION_COOKIE_DOMAIN,

       path=settings.SESSION_COOKIE_PATH,

       secure=settings.SESSION_COOKIE_SECURE or None,

       httponly=settings.SESSION_COOKIE_HTTPONLY or None,

      )

  return response

当接收到一个请求的时候,先在Cookie中取出key,然后根据key创建Session对象,在response时候判断是否要删除或者修改sessionid。

也就是说,Django中如果客户把浏览器Cookie禁用后,用户相关的功能就全都失效了,因为服务器端根本没法知道当前用户是谁。

对于这种情况,关键点就是如何把sessionid不使用Cookie传递给客户端,常见的比如放在URL中,也就是URL重写技术。想实现这点可以自己写Middleware。不过django并不建议这么做:

The Django sessions framework is entirely, and solely, cookie-based. It does not fall back to putting session IDs in URLs as a last resort, as PHP does. This is an intentional design decision. Not only does that behavior make URLs ugly, it makes your site vulnerable to session-ID theft via the “Referer” header.

转载自:https://www.jb51.net/article/119892.htm

Django中的Session与Cookie的更多相关文章

  1. Django中的session和cookie及分页设置

    cookie Cookie的由来 大家都知道HTTP协议是无状态的. 无状态的意思是每次请求都是独立的,它的执行情况和结果与前面的请求和之后的请求都无直接关系,它不会受前面的请求响应情况直接影响,也不 ...

  2. Django中的session于cookie的用法

    1.cookies 1.django 中使用 cookies 1.设置cookies的值(将数据保存到客户端) 语法: 响应对象.set_cookie(key,value,expires) key:c ...

  3. Django中的Session和cookie

    Session和cookie 参考文献:https://www.cnblogs.com/wupeiqi/articles/5246483.html 1.问题引入 1.1 cookie是什么? 保存在客 ...

  4. {Django基础八之cookie和session}一 会话跟踪 二 cookie 三 django中操作cookie 四 session 五 django中操作session

    Django基础八之cookie和session 本节目录 一 会话跟踪 二 cookie 三 django中操作cookie 四 session 五 django中操作session 六 xxx 七 ...

  5. 137.在Django中操作session

    在Django中操作session 在django中session默认情况下是存储在服务器的数据库中的,在表中会根据sessionid来提取指定的session数据,然后再把这个sessionid放到 ...

  6. Django中的session的使用

    一.Session 的概念 cookie 是在浏览器端保存键值对数据,而 session 是在服务器端保存键值对数据 session 的使用依赖 cookie:在使用 Session 后,会在 Coo ...

  7. JAVA中的Session和Cookie【转】

    一.cookie机制和session机制的区别 具体来说cookie机制采用的是在客户端保持状态的方案,而session机制采用的是在服务器端保持状态的方案. 同时我们也看到,由于才服务器端保持状态的 ...

  8. MVC、控件、一般处理程序中的session and cookie

    Mvc中: session: if (!string .IsNullOrEmpty(find)) //设置 Session["oip"] = "无锡"; Vie ...

  9. javaWeb中的session和cookie

    Cookie Cookie 是浏览器提供的一种技术,通过服务器的程序能将一些只须保存在客户端,或者 在客户端进行处理的数据,放在本地的计算机上,不需要通过网络传输,因而提高网页处理的效率,并且能够减少 ...

随机推荐

  1. Linux基础-02-目录文件管理

    1. Linux文件系统的层次结构 1) Linux文件系统的树状结构: 在Linux或UNIX操作系统中,所有的文件和目录都被组织成一个以根节点开始的倒置的树状结构. 2) 目录的定义: 目录相当于 ...

  2. python — 线程

    目录 1.线程基础知识 2 Thread 类 3 锁 4 队列 1.线程基础知识 1.1 进程与线程的区别 进程: 创建进程 时间开销大 销毁进程 时间开销大 进程之间切换 时间开销大 线程: 线程是 ...

  3. 是否应该学习qt源码(碰到问题的时候,或者文档对函数描述不清楚的时候,可以看一下)

    是否应该学习qt源码 如果你想调用某个函数,但是文档并没有清晰描述这个函数的功能的时候,你就需要去阅读源码,看看Qt究竟是怎么实现的.比如用QNetworkAccessManager发送一个QHttp ...

  4. Vue Prop属性(父to子)

    通过Prop向子组件传递数据 第一步父组件中 <template> <div id="app"> <Users :users="users& ...

  5. vue混入 (mixin)的使用

    混入 (mixin) 提供了一种非常灵活的方式,来分发 Vue 组件中的可复用功能.一个混入对象可以包含任意组件选项.当组件使用混入对象时,所有混入对象的选项将被“混合”进入该组件本身的选项. 使用示 ...

  6. 炫酷的可视化工具包——cufflinks

    前言 学过Python数据分析的朋友都知道,在可视化的工具中,有很多优秀的三方库,比如matplotlib,seaborn,plotly,Boken,pyecharts等等.这些可视化库都有自己的特点 ...

  7. vue复制textarea文本域内容到粘贴板

    vue实现复制内容到粘贴板   方案:找到textarea对象(input同样适用),获取焦点,选中textarea的所有内容,并调用document.execCommand("copy&q ...

  8. JDBCUtils工具类配置文件的读取方式

    //第一种方式 Properties prop= new Properties();        //读取文件   通过类加载读取        InputStream is = JDBCUtils ...

  9. 2.synchronized同步锁

    原文链接:http://blog.csdn.net/zteny/article/details/54863391 简介 synchronized是Java语言的一个关键字,用来修饰一个方法或者代码块, ...

  10. JAVA多线程之UncaughtExceptionHandler——处理非正常的线程中止

    JAVA多线程之UncaughtExceptionHandler——处理非正常的线程中止 背景 当单线程的程序发生一个未捕获的异常时我们可以采用try....catch进行异常的捕获,但是在多线程环境 ...