Django框架（十一）--cookie和session

cookie和session組件

cookie

1.cookie的由來

你們都知道HTTP協議是無狀態的。

無狀態的意思是每次請求都是獨立的，它的執行狀況和結果與前面的請求和以後的請求都無直接關係，它不會受前面的請求響應狀況直接影響，也不會直接影響後面的請求響應狀況。

一句有意思的話來描述就是人生只如初見，對服務器來講，每次的請求都是全新的。

狀態能夠理解爲客戶端和服務器在某次會話中產生的數據，那無狀態的就覺得這些數據不會被保留。會話中產生的數據又是咱們須要保存的，也就是說要「保持狀態」。所以Cookie就是在這樣一個場景下誕生。

2.什麼是cookie

存儲在客戶端瀏覽器上的鍵值對。

隨着服務器端的響應發送給客戶端瀏覽器。而後客戶端瀏覽器會把Cookie保存起來，當下一次再訪問服務器時把Cookie再發送給服務器。 Cookie是由服務器建立，而後經過響應發送給客戶端的一個鍵值對。客戶端會保存Cookie，並會標註出Cookie的來源（哪一個服務器的Cookie）。當客戶端向服務器發出請求時會把全部這個服務器Cookie包含在請求中發送給服務器，這樣服務器就能夠識別客戶端了！

3.cookie的工做原理

cookie的工做原理是：由服務器產生內容，瀏覽器收到請求後保存在本地；當瀏覽器再次訪問時，瀏覽器會自動帶上Cookie，這樣服務器就能經過Cookie的內容來判斷這個是「誰」了。

4.cookie的覆蓋

若是服務器端發送重複的Cookie那麼會覆蓋原有的Cookie，例如客戶端的第一個請求服務器端發送的Cookie是：Set-Cookie: a=A；第二請求服務器端發送的是：Set-Cookie: a=AA，那麼客戶端只留下一個Cookie，即：a=AA。

5.在瀏覽器中查看cookie   F12打開開發者工具

 6.cookie的操做

1.基本語法

#如何操做cookie
django返回給客戶端瀏覽器的都必須是HttpResponse對象
obj = HttpResponse()

obj.set_cookie('key','value')   #設置cookie就是在HttpResponse對象上

return obj #也至關於返回HttpResponse()


#獲取cookie,從request對象中取
request.COOKIE.get('k')

#刪除cookie,HttpResponse對象上
obj.delete_cookie('k')



設置超時時間 （時間以秒爲單位）
max_age=None, 超時時間
expires=None, 超時時間(用於IE瀏覽器)

2.登陸認證

from functools import wraps
def login_auth(func):
    @wraps(func)
    def inner(request,*args,**kwargs):
        target_url = request.get_full_path()
        if request.COOKIES.get('name'):     #驗證是否已經存在cookie值
            res = func(request,*args,**kwargs)
            return res
        else:
            return redirect('/lg/?next=%s'%target_url)
    return inner

@login_auth 
def order(request):
　　return HttpResponse('我是訂單頁面,我得登陸才能看')

7.cookie加鹽

def salt_cookie(request):
    object = HttpResponse('ok')
    # 加鹽,123是個密碼,解cookie的時候須要它,
    object.set_signed_cookie('name','lqz',salt='123')# max_age，三天失效
    object.set_cookie('name','lqz',max_age=60*60*24*3)
    # path，只有訪問shopping的時候,纔會攜帶cookie過來
    object.set_cookie('name', 'lqz', path='/shopping/')
    object.set_cookie('name', 'lqz')
    return object

加鹽其餘屬性

domain    設置域名下有效domain='map.baidu.com'
expires     超時時間,傳一個datatime對象
secure=False       (默認是false,設置成True瀏覽器將經過HTTPS來回傳cookie)
httponly=True   只能https協議傳輸，沒法被JavaScript獲取（不是絕對，底層抓包能夠獲取到也能夠被覆蓋)

cookie總結：

設置cookie兩種方法：
rep = HttpResponse(...)
rep ＝ render(request, ...)
#第一種
rep.set_cookie(key,value,...)
#第二種
rep.set_signed_cookie(key,value,salt='加密鹽', max_age=None, ...)


獲取cookie兩種方法：
#第一種
request.COOKIES.get('key')
#第二種
request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None)


刪除cookie方法：
rep.delete_cookie('key')

session

1.什麼是session

Cookie雖然在必定程度上解決了「保持狀態」的需求，可是因爲Cookie自己最大支持4096字節，以及Cookie自己保存在客戶端，可能被攔截或竊取，所以就須要有一種新的東西，它能支持更多的字節，而且他保存在服務器，有較高的安全性。這就是Session。

問題來了，基於HTTP協議的無狀態特徵，服務器根本就不知道訪問者是「誰」。那麼上述的Cookie就起到橋接的做用。

咱們能夠給每一個客戶端的Cookie分配一個惟一的id，這樣用戶在訪問時，經過Cookie，服務器就知道來的人是「誰」。而後咱們再根據不一樣的Cookie的id，在服務器上保存一段時間的私密資料，如「帳號密碼」等等。

總結而言：Cookie彌補了HTTP無狀態的不足，讓服務器知道來的人是「誰」；可是Cookie以文本的形式保存在本地，自身安全性較差；因此咱們就經過Cookie識別不一樣的用戶，對應的在Session裏保存私密的信息以及超過4096字節的文本。

另外，上述所說的Cookie和Session實際上是共通性的東西，不限於語言和框架。

session就是保存在服務器上的鍵值對，session雖然是保存在服務器上的鍵值對，可是它是依賴於cookie工做的
服務端返回給瀏覽器一個隨機的字符串，瀏覽器以鍵值對的形式保存cookieid:隨機字符串
瀏覽器在訪問服務端的時候，就會將隨機字符串攜帶上：
後端獲取隨機字符串與後端的記錄作對比
隨機字符串1：數據1
隨機字符串2：數據2

2.session的使用

#設置session
request.session['name'] = 'jason'
#設置的session鍵值對以字典的形式存儲到django_session表中的session_data中

#設置session時：
    1.django內部自動生成一個隨機字符串
    2.將隨機字符串和你要保存的數據寫入django_session表中（先在內存中生成一個緩存記錄，等到通過中間件的時候纔會執行）
    3.將產生的隨機字符串發送到瀏覽器寫入cookie
        sessionid:隨機字符串 #取值
request.session.get('name')
#取值時：
    1.django內部會自動從請求信息中獲取到隨機字符串
    2.拿着隨機字符串去django_session表中對比
    3.一旦對比上了就將對應的數據拿出來放在request.session中

#刪除瀏覽器的sessionid信息，爲了減輕數據庫的查詢負擔，過一段時間會自動把服務器的session刪除
request.session.delete()

#將瀏覽器和服務端所有刪除（推薦使用這個）
request.session.flush()
這用於確保前面的會話數據不能夠再次被用戶的瀏覽器訪問

設置，獲取，刪除

#設置session
def set_session(request):
    request.session['xxx'] = 'xxx'
    request.session.set_expiry(30)  #設置30秒過時
    return HttpResponse('set_session')

#獲取session
def get_session(request):
    request.session.get('xxx')
    return HttpResponse('get_session')

#刪除session
def delete_session(request):
    request.session.flush()
    return HttpResponse('delete_session')

3.session配置

1. 數據庫Session
SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎（默認）

2. 緩存Session
SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
SESSION_CACHE_ALIAS = 'default'                            # 使用的緩存別名（默認內存緩存，也能夠是memcache），此處別名依賴緩存的設置

3. 文件Session
SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎
SESSION_FILE_PATH = None                                    # 緩存文件路徑，若是爲None，則使用tempfile模塊獲取一個臨時地址tempfile.gettempdir() 

4. 緩存+數據庫
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'        # 引擎

5. 加密Cookie Session
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'   # 引擎

其餘公用設置項：
SESSION_COOKIE_NAME ＝ "sessionid"                       # Session的cookie保存在瀏覽器上時的key，即：sessionid＝隨機字符串（默認）
SESSION_COOKIE_PATH ＝ "/"                               # Session的cookie保存的路徑（默認）
SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名（默認）
SESSION_COOKIE_SECURE = False                            # 是否Https傳輸cookie（默認）
SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http傳輸（默認）
SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期（2周）（默認）
SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否關閉瀏覽器使得Session過時（默認）
SESSION_SAVE_EVERY_REQUEST = False                       # 是否每次請求都保存Session，默認修改以後才保存（默認）

設置超時時間

request.session.set_expiry(value)
    * 若是value是個整數，session會在些秒數後失效。
    * 若是value是個datatime或timedelta，session就會在這個時間後失效。
    * 若是value是0,用戶關閉瀏覽器session就會失效。
    * 若是value是None,session會依賴全局session失效策略。