Django之seesion-cookie

時間 2019-11-12

原文原文鏈接

1.簡介

一、cookie不屬於http協議範圍，因爲http協議沒法保持狀態，但實際狀況，咱們卻又須要「保持狀態」，所以cookie就是在這樣一個場景下誕生。javascript

cookie的工做原理是：由服務器產生內容，瀏覽器收到請求後保存在本地；當瀏覽器再次訪問時，瀏覽器會自動帶上cookie，這樣服務器就能經過cookie的內容來判斷這個是「誰」了。css

二、cookie雖然在必定程度上解決了「保持狀態」的需求，可是因爲cookie自己最大支持4096字節，以及cookie自己保存在客戶端，可能被攔截或竊取，所以就須要有一種新的東西，它能支持更多的字節，而且他保存在服務器，有較高的安全性。這就是session。html

問題來了，基於http協議的無狀態特徵，服務器根本就不知道訪問者是「誰」。那麼上述的cookie就起到橋接的做用。java

咱們能夠給每一個客戶端的cookie分配一個惟一的id，這樣用戶在訪問時，經過cookie，服務器就知道來的人是「誰」。而後咱們再根據不一樣的cookie的id，在服務器上保存一段時間的私密資料，如「帳號密碼」等等。python

三、總結而言：cookie彌補了http無狀態的不足，讓服務器知道來的人是「誰」；可是cookie以文本的形式保存在本地，自身安全性較差；因此咱們就經過cookie識別不一樣的用戶，對應的在session裏保存私密的信息以及超過4096字節的文本。jquery

四、另外，上述所說的cookie和session實際上是共通性的東西，不限於語言和框數據庫

2.認識應用

前幾節的介紹中咱們已經有能力製做一個登錄頁面，在驗證了用戶名和密碼的正確性後跳轉到後臺的頁面。可是測試後也發現，若是繞過登錄頁面。直接輸入後臺的url地址也能夠直接訪問的。這個顯然是不合理的。其實咱們缺失的就是cookie和session配合的驗證。有了這個驗證過程，咱們就能夠實現和其餘網站同樣必須登陸才能進入後臺頁面了。django

先說一下這種認證的機制。每當咱們使用一款瀏覽器訪問一個登錄頁面的時候，一旦咱們經過了認證。服務器端就會發送一組隨機惟一的字符串（假設是123abc）到瀏覽器端，這個被存儲在瀏覽端的東西就叫cookie。而服務器端也會本身存儲一下用戶當前的狀態，好比login=true，username=hahaha之類的用戶信息。可是這種存儲是以字典形式存儲的，字典的惟一key就是剛纔發給用戶的惟一的cookie值。那麼若是在服務器端查看session信息的話，理論上就會看到以下樣子的字典

{'123abc':{'login':true,'username:hahaha'}}bootstrap

由於每一個cookie都是惟一的，因此咱們在電腦上換個瀏覽器再登錄同一個網站也須要再次驗證。那麼爲何說咱們只是理論上看到這樣子的字典呢？由於處於安全性的考慮，其實對於上面那個大字典不光key值123abc是被加密的，value值{'login':true,'username:hahaha'}在服務器端也是同樣被加密的。因此咱們服務器上就算打開session信息看到的也是相似與如下樣子的東西瀏覽器

{'123abc':dasdasdasd1231231da1231231}

知道了原理，咱們下面就來用代碼實現

cookie代碼：

def foo(request):
    print(request.COOKIES)

    obj=redirect("/path/")
    obj=HttpResponse("content")
    obj=render(request,"html")

    obj.set_cookie("key","value",max_age=60,path="/path/")

    obj.set_signed_cookie("key","value",max_age=60,path="/path/",salt="egonnb")
    request.get_signed_cookie("key",salt="egonnb");

    return obj

3.實例

先在templates目錄下建立兩個html，login.html負責登陸頁面。backend頁面表明後臺頁面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>login</title>
    <link rel="stylesheet" href="http://830909.blog.51cto.com/static/plugins/bootstrap-3.3.5-dist/css/bootstrap.min.css">
</head>
<body>
    <div class="container">
        <form action="login.html" method="post">
            <div class="form-group">
                <label class="sr-only">username</label>
                <input type="text" class="form-control" name="username" placeholder="用戶名"/>
            </div>
            <div class="form-group">
                <label class="sr-only">Password</label>
                <input type="password" class="form-control" name="passwd" placeholder="密碼"/>
            </div>
            <div class="form-group">
                <input class="btn btn-primary" type="submit" value="http://830909.blog.51cto.com/8311014/Submit">
            </div>
        </form>
</div>
<script type="application/Javascript" src="http://830909.blog.51cto.com/static/js/jquery-2.2.1.min.js"></script>
<script type="application/javascript" src="http://830909.blog.51cto.com/static/plugins/bootstrap-3.3.5-dist/js/bootstrap.min.js"></script>
</body>
</html>

bankand.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>backend</title>
    <link rel="stylesheet" href="http://830909.blog.51cto.com/static/plugins/bootstrap-3.3.5-dist/css/bootstrap.min.css">
    <link rel="stylesheet" href="http://830909.blog.51cto.com/static/css/commons.css">
</head>
<body>
<div class="container">
    <h2>cookie 內容是 {{ cookie_content }}</h2>
    <h2>session 內容是 {{ session_content }}</h2>
    <h2>登陸用戶名 ：{{ username }}</h2>
    <a href="http://830909.blog.51cto.com/logout/">註銷</a>
</div>
<script type="application/javascript" src="http://830909.blog.51cto.com/static/js/jquery-2.2.1.min.js"></script>
<script type="application/javascript" src="http://830909.blog.51cto.com/static/plugins/bootstrap-3.3.5-dist/js/bootstrap.min.js"></script>
</body>
</html>

views.py

# /usr/bin/env python
# coding:utf-8
from django.shortcuts import render
from django.shortcuts import redirect
def login(request):
    if request.method=="POST":
        username=request.POST['username']
        pwd=request.POST['passwd']
        if username=='abc' and pwd=='123':
            #設置session內部的字典內容
            request.session['is_login']='true'
            request.session['username']='abc'
            #登陸成功就將url重定向到後臺的url
            return redirect('/backend/')
    #登陸不成功或第一訪問就停留在登陸頁面
    return render(request,'login.html')
def backend(request):
    """
    這裏必須用讀取字典的get()方法把is_login的value缺省設置爲False，
    當用戶訪問backend這個url先嚐試獲取這個瀏覽器對應的session中的
    is_login的值。若是對方登陸成功的話，在login裏就已經把is_login
    的值修改成了True,反之這個值就是False的
    """
    is_login=request.session.get('is_login',False)
    #若是爲真，就說明用戶是正常登錄的
    if is_login:
        #獲取字典的內容並傳入頁面文件
        cookie_content=request.COOKIES
        session_content=request.session
        username=request.session['username']
        return render(request,'backend.html',
                      {
            'cookie_content':cookie_content,
            'session_content':session_content,
            'username':username
                      })
    else:
        """
        若是訪問的時候沒有攜帶正確的session，
        就直接被重定向url回login頁面
        """
        return redirect('/login/')
def logout(request):
    """
    直接經過request.session['is_login']回去返回的時候，
    若是is_login對應的value值不存在會致使程序異常。因此
    須要作異常處理
    """
    try:
        #刪除is_login對應的value值
        del request.session['is_login']
    except KeyError:
        pass
    #點擊註銷以後，直接重定向回登陸頁面
    return redirect('/login/')

urls.py

from django.conf.urls import url
from django.contrib import admin
from app01 import views
urlpatterns = [
    url(r'^admin/', admin.site.urls),
    url(r'^login/', views.login),
    url(r'^backend/', views.backend),
    url(r'^logout/', views.logout),
]

最後打開瀏覽器直接訪問/backend/頁面的時候直接就被重定向到了/login/