简介

由于http协议的请求是无状态的。故为了让用户在浏览器中再次访问该服务端时,他的登录状态能够保留(也可翻译为该用户访问这个服务端其他网页时不需再重复进行用户认证)。我们可以采用Cookie或Session这两种方式来让浏览器记住用户。

Cookie与Session说明与实现

Cookie

说明

Cookie是一段小信息(数据格式一般是类似key-value的键值对),由服务器生成,并发送给浏览器让浏览器保存(保存时间由服务端定夺)。当浏览器下次访问该服务端时,会将它保存的Cookie再发给服务器,从而让服务器根据Cookie知道是哪个浏览器或用户在访问它。(由于浏览器遵从的协议,它不会把该服务器的Cookie发送给另一个不同host的服务器)。

Django中实现Cookie

from django.shortcuts import render, redirect

# 设置cookie

"""

key: cookie的名字

value: cookie对应的值

max_age: cookie过期的时间

"""

response.set_cookie(key, value, max_age)

# 为了安全,有时候我们会调用下面的函数来给cookie加盐

response.set_signed_cookie(key,value,salt='加密盐',...)

# 获取cookie

request.COOKIES.get(key)

request.get_signed_cookie(key, salt="加密盐", default=None)

# 删除cookie

reponse.delete_cookie(key)

下面就是具体的代码实现了

views.py

# 编写装饰器检查用户是否登录

def check_login(func):

    def inner(request, *args, **kwargs):

        next_url = request.get_full_path()

        # 假设设置的cookie的key为login,value为yes

        if request.get_signed_cookie("login", salt="SSS", default=None) == 'yes':

            # 已经登录的用户,则放行

            return func(request, *args, **kwargs)

        else:

            # 没有登录的用户,跳转到登录页面

            return redirect(f"/login?next={next_url}")

    return inner

# 编写用户登录页面的控制函数

@csrf_exempt

def login(request):

    if request.method == "POST":

        username = request.POST.get("username")

        passwd = request.POST.get("password")

        next_url = request.POST.get("next_url")

        # 对用户进行验证,假设用户名为:aaa, 密码为123

        if username === 'aaa' and passwd == '123':

            # 执行其他逻辑操作,例如保存用户信息到数据库等

            # print(f'next_url={next_url}')

            # 登录成功后跳转,否则直接回到主页面

            if next_url and next_url != "/logout/":

                response = redirect(next_url)

            else:

                response = redirect("/index/")

            # 若登录成功,则设置cookie,加盐值可自己定义取,这里定义12小时后cookie过期

            response.set_signed_cookie("login", 'yes', salt="SSS", max_age=60*60*12)

            return response

        else:

            # 登录失败,则返回失败提示到登录页面

            error_msg = '登录验证失败,请重新尝试'

            return render(request, "app/login.html", {

                'login_error_msg': error_msg,

                'next_url': next_url,

            })

    # 用户刚进入登录页面时,获取到跳转链接,并保存

    next_url = request.GET.get("next", '')

    return render(request, "app/login.html", {

        'next_url': next_url

    })

# 登出页面

def logout(request):

    rep = redirect("/login/")

    # 删除用户浏览器上之前设置的cookie

    rep.delete_cookie('login')

    return rep

# 给主页添加登录权限认证

@check_login

def index(request):

    return render(request, "app/index.html")

由上面看出,其实就是在第一次用户登录成功时,设置cookie,用户访问其他页面时进行cookie验证,用户登出时删除cookie。另外附上前端的login.html部分代码

            <form action="{% url 'login' %}" method="post">

              <h1>请使xx账户登录</h1>

              <div>

                <input id="user" type="text" class="form-control" name="username" placeholder="账户" required="" />

              </div>

              <div>

                <input id="pwd" type="password" class="form-control" name="password" placeholder="密码" required="" />

              </div>

                <div style="display: none;">

                    <input id="next" type="text" name="next_url" value="{{ next_url }}" />

                </div>

                {% if login_error_msg %}

                    <div id="error-msg">

                        <span style="color: rgba(255,53,49,0.8); font-family: cursive;">{{ login_error_msg }}</span>

                    </div>

                {% endif %}

              <div>

                  <button type="submit" class="btn btn-default" style="float: initial; margin-left: 0px">登录</button>

              </div>

            </form>

Session

Session说明

Session则是为了保证用户信息的安全,将这些信息保存到服务端进行验证的一种方式。但它却依赖于cookie。具体的过程是:服务端给每个客户端(即浏览器)设置一个cookie(从上面的cookie我们知道,cookie是一种”key, value“形式的数据,这个cookie的value是服务端随机生成的一段但唯一的值)。

当客户端下次访问该服务端时,它将cookie传递给服务端,服务端得到cookie,根据该cookie的value去服务端的Session数据库中找到该value对应的用户信息。(Django中在应用的setting.py中配置Session数据库)。

根据以上描述,我们知道Session把用户的敏感信息都保存到了服务端数据库中,这样具有较高的安全性。

Django中Session的实现

# 设置session数据, key是字符串,value可以是任何值

request.session[key] = value

# 获取 session

request.session.get[key]

# 删除 session中的某个数据

del request.session[key]

# 清空session中的所有数据

request.session.delete()

下面就是具体的代码实现了:

首先就是设置保存session的数据库了。这个在setting.py中配置:(注意我这里数据库用的mongodb,并使用了django_mongoengine库;关于这个配置请根据自己使用的数据库进行选择,具体配置可参考官方教程)

SESSION_ENGINE = 'django_mongoengine.sessions'

SESSION_SERIALIZER = 'django_mongoengine.sessions.BSONSerializer'

views.py

# 编写装饰器检查用户是否登录

def check_login(func):

    def inner(request, *args, **kwargs):

        next_url = request.get_full_path()

        # 获取session判断用户是否已登录

        if request.session.get('is_login'):

            # 已经登录的用户...

            return func(request, *args, **kwargs)

        else:

            # 没有登录的用户,跳转刚到登录页面

            return redirect(f"/login?next={next_url}")

    return inner

@csrf_exempt

def login(request):

    if request.method == "POST":

        username = request.POST.get("username")

        passwd = request.POST.get("password")

        next_url = request.POST.get("next_url")

        # 若是有记住密码功能

        # remember_sign = request.POST.get("check_remember")

        # print(remember_sign)

        # 对用户进行验证

        if username == 'aaa' and passwd == '123':

            # 进行逻辑处理,比如保存用户与密码到数据库

            # 若要使用记住密码功能,可保存用户名、密码到session

            # request.session['user_info'] = {

                # 'username': username,

                # 'password': passwd

            # }

            request.session['is_login'] = True

            # 判断是否勾选了记住密码的复选框

            # if remember_sign == 'on':

            #   request.session['is_remember'] = True

            # else:

                # request.session['is_remember'] = False

            # print(f'next_url={next_url}')

            if next_url and next_url != "/logout/":

                response = redirect(next_url)

            else:

                response = redirect("/index/")

            return response

        else:

            error_msg = '登录验证失败,请重新尝试'

            return render(request, "app/login.html", {

                'login_error_msg': error_msg,

                'next_url': next_url,

            })

    next_url = request.GET.get("next", '')

    # 检查是否勾选了记住密码功能

    # password, check_value = '', ''

    # user_session = request.session.get('user_info', {})

    # username = user_session.get('username', '')

    # print(user_session)

    #if request.session.get('is_remember'):

    #    password = user_session.get('password', '')

    #    check_value = 'checked'

    # print(username, password)

    return render(request, "app/login.html", {

        'next_url': next_url,

        # 'user': username,

        # 'password': password,

        # 'check_value': check_value

    })

def logout(request):

    rep = redirect("/login/")

    # request.session.delete()

    # 登出,则删除掉session中的某条数据

    if 'is_login' in request.session:

        del request.session['is_login']

    return rep

@check_login

def index(request):

    return render(request, "autotest/index.html")

另附login.html部分代码:

            <form action="{% url 'login' %}" method="post">

              <h1>请使xxx账户登录</h1>

              <div>

                <input id="user" type="text" class="form-control" name="username" placeholder="用户" required="" value="{{ user }}" />

              </div>

              <div>

                <input id="pwd" type="password" class="form-control" name="password" placeholder="密码" required="" value="{{ password }}" />

              </div>

                <div style="display: none;">

                    <input id="next" type="text" name="next_url" value="{{ next_url }}" />

                </div>

                {% if login_error_msg %}

                    <div id="error-msg">

                        <span style="color: rgba(255,53,49,0.8); font-family: cursive;">{{ login_error_msg }}</span>

                    </div>

                {% endif %}

                // 若设置了记住密码功能

               // <div style="float: left">

               //     <input id="rmb-me" type="checkbox" name="check_remember" {{ check_value }}/>记住密码

               // </div>

              <div>

                  <button type="submit" class="btn btn-default" style="float: initial; margin-right: 60px">登录</button>

              </div>

            </form>

总的来看,session也是利用了cookie,通过cookie生成的value的唯一性,从而在后端数据库session表中找到这value对应的数据。session的用法可以保存更多的用户信息,并使这些信息不易被暴露。

总结

session和cookie都能实现记住用户登录状态的功能,如果为了安全起见,还是使用session更合适

参考文章:https://blog.csdn.net/qq_34755081/article/details/82808537

Django 用Session和Cookie分别实现记住用户登录状态的更多相关文章

  1. iOS - 记住用户登录状态保存用户名密码

    我们在使用APP时常用的一个功能:用户第一次进入APP时自动进入登录注册页,提示用户注册登录,用户登录成功后才进入主页,再次进入APP时,不用再次登录就直接进到主页了,就算杀掉该APP进程再次进入,依 ...

  2. 浅析Django之session与cookie

    浅析Django之session与cookie 1 session与cookie概述 原理: 由于HTTP协议是无状态,无连接的,当用户发起网路请求时,需要服务端能标识用户ID,用以存储用户相关信息, ...

  3. Asp.Net使用加密cookie代替session验证用户登录状态 源码分享

    首先 session 和 cache 拥有各自的优势而存在.  他们的优劣就不在这里讨论了. 本实例仅存储用户id于用户名,对于多级权限的架构,可以自行修改增加权限字段   本实例采用vs2010编写 ...

  4. Java 之 cookie 记住用户登录时间案例

    需求: 1. 访问一个Servlet,如果是第一次访问,则提示:您好,欢迎您首次访问. 2. 如果不是第一次访问,则提示:欢迎回来,您上次访问时间为:显示时间字符串 分析: 1. 可以采用Cookie ...

  5. Asp.Net MVC记住用户登录信息 下次登录无需输入密码

    有的时候做网站,就需要记住用户登录信息,下次再登录网站时,不用重复输入用户名和密码,原理是浏览器的cookie把状态给记住了! 那么具体是怎么实现的呢?下面博主将一部分代码贴出来,想要完整版的Demo ...

  6. 基于cookie的用户登录状态管理

    cookie是什么 先来花5分钟看完这篇文章:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Cookies 看完上文,相信大家对cookie已经有 ...

  7. django学习,session与cookie

    Cookies,某些网站为了辨别用户身份.进行session跟踪而储存在用户本地终端上的数据(通常经过加密).Cookie最早是网景公司的前雇员Lou Montulli在1993年3月的发明.Cook ...

  8. django之Session、Cookie

    Session ·Session存在于服务器端 ·Session的设置: request.session['name'] = value ·Session的获取: dic = request.sess ...

  9. django使用session来保存用户登录状态

    先建好登录用的model,其次理解使用cookie和session的原理,一个在本机保存,一个在服务器保存 使用session好处,可以设置登录过期的时间, 编写views中login的函数 def ...

随机推荐

  1. electron-vue搭建项目

    原文链接 使用pdf.js插件与LODOP控件实现前端浏览器静默打印PDF文件 lodop官网地址:http://www.lodop.net/download.html 点击下载,文件里有使用手册 e ...

  2. Po类设计

    0.承接MySQL 表设计,同样地,这篇博客中一部分内容是Deolin的个人观点和习惯. 1.一般Po类的域是和DB表字段一一对应的, 而由于每个信息表和关联表都有id.insert_time.upd ...

  3. Ubuntu 14.04 64bit中永久添加DNS的方法

    第一种方法修改如下文件,默认是空的sudo vim /etc/resolvconf/resolv.conf.d/base在里面加入你想添加的DNS服务器,一行一个nameserver 114.114. ...

  4. RabbitMQ 和 Kafka 的消息可靠性对比

    RabbitMQ和Kafka都提供持久的消息保证.两者都提供至少一次和至多一次的保证,另外,Kafka在某些限定情况下可以提供精确的一次(exactly-once)保证. 让我们首先理解一下上述术语的 ...

  5. 2015-2016 ACM ICPC Baltic Selection Contest

    这是上礼拜三的训练赛,以前做过一次,这次仅剩B题没补.题目链接:https://vjudge.net/contest/153192#overview. A题,水题. C题,树形DP,其实是一个贪心问题 ...

  6. 一步一步学习FastJson1.2.47远程命令执行漏洞

    本文首发于先知:https://xz.aliyun.com/t/6914 漏洞分析 FastJson1.2.24 RCE 在分析1.2.47的RCE之前先对FastJson1.2.24版本中的RCE进 ...

  7. web开发的三层架构

    Web层 接收客户端发送过来的数据,然后需要将数据传递给service层 Service层 业务逻辑层:业务:比如检验用户名的是否存在,如果不存在则需要把用户的数据存储在数据库中,如果存在,给web返 ...

  8. 在IIS7、IIS7.5中应用程序池最优配置方案

    先介绍几个简单的设置 应用程序池 > 高级设置 1.基本设置 队列长度: 65535 启动32位应用程序 否则安装一些32的组建或32位的php都会出错 托管管道模式 Classsic 2.高级 ...

  9. osg help

    #ifdef _WIN32#include <Windows.h>#endif // _WIN32 #include <osgViewer/Viewer>#include &l ...

  10. 目标检测-Cascade-RCNN

    转载:https://zhuanlan.zhihu.com/p/36095768 Cascade R-CNN: Delving into High Quality Object Detection 论 ...