Django-cookie和session
一:引言
1:cookie引言
說到cookie和session,就不得不提http協議,http協議有一個特色就是無狀態保留(由於http協議要求響應速度要快,因此有這個特色),也就是說服務端是沒法保存客戶端的請求信息的。那麼這會形成什麼樣的後果呢?好比咱們登錄服務器,若是服務器依然不保存客戶端的請求信息,那麼服務端是沒法判斷客戶端是否訪問成功的,由於服務端不保存整個會話狀態,就沒法判斷請求的客戶端是否登錄過。所以咱們須要一種可以記錄瀏覽器和服務端整個會話狀態的機制。這就是會話跟蹤技術。也就是說會話跟蹤技術就是爲了解決http協議的無狀態的技術html
2:會話跟蹤技術
2.1什麼是會話?
咱們須要先了解一下什麼是會話!能夠把會話理解爲客戶端與服務器之間的一次會晤,在一次會晤中可能會包含屢次請求和響應。例如你給10086打個電話,你就是客戶端,而10086服務人員就是服務器了。從雙方接通電話那一刻起,會話就開始了,到某一方掛斷電話表示會話結束。在通話過程當中,你會向10086發出多個請求,那麼這多個請求都在一個會話中。
在JavaWeb中,客戶向某一服務器發出第一個請求開始,會話就開始了,直到客戶關閉了瀏覽器會話結束。python
會話開始的標誌是:瀏覽器打開頁面;結束的標誌是:瀏覽器關閉jquery
2.2會話跟蹤技術
在一個會話的多個請求中共享數據,這就是會話跟蹤技術(會話跟蹤是解決瀏覽器和服務器屢次請求與響應保持數據共享的技術。)。例如在一個會話中的請求以下:web
請求銀行主頁; 數據庫
- 請求登陸(請求參數是用戶名和密碼);
- 請求轉帳(請求參數與轉帳相關的數據);
- 請求信譽卡還款(請求參數與還款相關的數據)。
在這上會話中當前用戶信息必須在這個會話中共享的,由於登陸的是張三,那麼在轉帳和還款時必定是相對張三的轉帳和還款!這就說明咱們必須在一個會話過程當中有共享數據的能力。django
會話(Session)跟蹤是Web程序中經常使用的技術,用來跟蹤用戶的整個會話。經常使用的會話跟蹤技術是Cookie與Session。Cookie經過在客戶端記錄信息肯定用戶身份,Session經過在服務器端記錄信息肯定用戶身份。跨域
session底層依賴Cookie技術。本章將系統地講述Cookie與Session機制瀏覽器
二:Cookie
1:什麼是cookie
Cookie意爲「甜餅」,是由W3C組織提出,最先由Netscape社區發展的一種機制。目前Cookie已經成爲標準,全部的主流瀏覽器如IE、Netscape、Firefox、Opera等都支持Cookie。安全
因爲HTTP是一種無狀態的協議,服務器單從網絡鏈接上無從知道客戶身份。怎麼辦呢?就給客戶端們頒發一個通行證吧,每人一個,不管誰訪問都必須攜帶本身通行證。這樣服務器就能從通行證上確認客戶身份了。這就是Cookie的工做原理。服務器
Cookie其實是一小段的文本信息。客戶端請求服務器,若是服務器須要記錄該用戶狀態,就使用response向客戶端瀏覽器頒發一個Cookie。客戶端瀏覽器會把Cookie保存起來。當瀏覽器再請求該網站時,瀏覽器把請求的網址連同該Cookie一同提交給服務器。服務器檢查該Cookie,以此來辨認用戶狀態。服務器還能夠根據須要修改Cookie的內容。
2:cookie機制的原理介紹
(1)客戶端第一次訪問服務器是須要登錄的會發送一個空的cookie,相似於字典的格式;
(2)服務器根據本身的須要給空的cookie寫鍵值,當迴應消息時cookie就在消息裏面迴應給客戶端;
(3)客戶端之後再向服務器發送請求消息時都會攜帶cookie,而此時的cookie是服務器添加數據後的cookie再也不是空的cookie;
(4)服務端只須要驗證cookie就能夠判斷是否客戶端是否以前登錄成功過
3:cookie規範
- Cookie大小上限爲4KB;
- 一個服務器最多在客戶端瀏覽器上保存20個Cookie; (20個鍵值對)
- 一個瀏覽器最多保存300個Cookie;
上面的數據只是HTTP的Cookie規範,但在瀏覽器大戰的今天,一些瀏覽器爲了戰勝對手,爲了展示本身的能力起見,可能對Cookie規範「擴展」了一些,例如每一個Cookie的大小爲8KB,最多可保存500個Cookie等!但也不會出現把你硬盤佔滿的可能!
注意,不一樣瀏覽器之間是不共享Cookie的。也就是說在你使用IE訪問服務器時,服務器會把Cookie發給IE,而後由IE保存起來,當你在使用FireFox訪問服務器時,不可能把IE保存的Cookie發送給服務器。
4:cookie的簡單使用
(1)、獲取Cookie
request.COOKIES.get("islogin",None) #若是有就獲取,沒有就默認爲none
(2)、設置Cookie
obj = redirect("/index/")或
obj.set_cookie("islogin",True) #設置cookie值,注意這裏的參數,一個是鍵,一個是值
obj.set_cookie("lilz","344",20) #20表明過時時間
obj.set_cookie("username", username)
HttpResponse(...) 或 render(request, ...)
obj.set_cookie(key,value,...)
obj.set_signed_cookie(key,value,salt='加密鹽',...)
參數見下面的源碼(4)
-----------------------------
max_age:過時時間
path='index'=======>表示訪問index時帶着cookie,其餘未設置的不帶cookie
domain:跨域時用
(3)、刪除Cookie
obj.delete_cookie("cookie_key",path="/",domain=name)
(4)源碼
class HttpResponseBase: def set_cookie(self, key, 鍵 value='', 值 max_age=None, 超長時間 cookie須要延續的時間(以秒爲單位) 若是參數是\ None`` ,這個cookie會延續到瀏覽器關閉爲止。 expires=None, 超長時間 expires默認None ,cookie失效的實際日期/時間。 path='/', Cookie生效的路徑, 瀏覽器只會把cookie回傳給帶有該路徑的頁面,這樣能夠避免將 cookie傳給站點中的其餘的應用。 / 表示根路徑,特殊的:根路徑的cookie能夠被任何url的頁面訪問 domain=None, Cookie生效的域名 你可用這個參數來構造一個跨站cookie。 如, domain=".example.com" 所構造的cookie對下面這些站點都是可讀的: www.example.com 、 www2.example.com 和an.other.sub.domain.example.com 。 若是該參數設置爲 None ,cookie只能由設置它的站點讀取。 secure=False, 若是設置爲 True ,瀏覽器將經過HTTPS來回傳cookie。 httponly=False 只能http協議傳輸,沒法被JavaScript獲取 (不是絕對,底層抓包能夠獲取到也能夠被覆蓋) ): pass '''
5:cookie的優缺點
cookie存儲到客戶端
優勢:數據存儲在客戶端。減輕服務端的壓力,提升網站的性能
缺點:安全性不高,在客戶端很容易被查看或破解用戶會話信息
6:案例
參考博文: 項目-圖書管理系統--第五階段--加入cookie和session功能
三:Session
基於cookie的缺點(安全),以及存儲、網絡帶寬的考慮出現session技術。session要比cookie應用更加普遍。
1:session
Session是服務器端技術,利用這個技術,服務器在運行時能夠 爲每個用戶的瀏覽器建立一個其獨享的session對象,因爲 session爲用戶瀏覽器獨享,因此用戶在訪問服務器的web資源時 ,能夠把各自的數據放在各自的session中,當用戶再去訪問該服務器中的其它web資源時,其它web資源再從用戶各自的session中 取出數據爲用戶服務。
2:session原理--基於cookie
(1)瀏覽器第一次攜帶一個空的cookie訪問服務器;
(2)服務器往session裏寫入鍵值(如request.session["suser"]=user)時,第一找到django-session表,生成隨機字符串看成鍵放在session-key中,把寫的鍵值放入session-data中;
(3)第二,服務器給客戶端響應,把隨機生成的字符串給(set_cookie:sessionid=隨機字符串)cookie;
(4)客戶端之後再訪問服務器就會攜帶cookie。而服務器就會根據cookie裏面的sessionid值與django-data表裏匹配。若匹配則表示客戶端登錄成功過
3:session的基本操做
1、設置session值 request.session["session_name"]="admin" 2、獲取session值 session_name = request.session("session_name") 3、刪除session值 del request.session["session_name"] 刪除一組鍵值對 request.session.flush() 刪除一條記錄 4、檢測是否操做session值 if "session_name" is request.session:
# 1:request.COOKIE.get("sessionid) #取cookie中的值
# 2:在Django - session表過濾session - key的記錄並與刪除這條記錄
# 3:刪除cookie,response.delete_cookie("sessionid")
request.session.flush() #至關於上面3個步驟
其餘操做
五、get(key, default=None) fav_color = request.session.get('fav_color', 'red') 6、pop(key) fav_color = request.session.pop('fav_color') 7、keys() 8、items() 9、setdefault() 10、flush() 刪除當前的會話數據並刪除會話的Cookie。 這用於確保前面的會話數據不能夠再次被用戶的瀏覽器訪問 例如,django.contrib.auth.logout() 函數中就會調用它。 11 用戶session的隨機字符串 request.session.session_key # 將全部Session失效日期小於當前日期的數據刪除 request.session.clear_expired() # 檢查 用戶session的隨機字符串 在數據庫中是否 request.session.exists("session_key") # 刪除當前用戶的全部Session數據 request.session.delete("session_key") request.session.set_expiry(value) * 若是value是個整數,session會在些秒數後失效。 * 若是value是個datatime或timedelta,session就會在這個時間後失效。 * 若是value是0,用戶關閉瀏覽器session就會失效。 * 若是value是None,session會依賴全局session失效策略。
4:案例
請參考:博客(登錄與註銷)
- 1. session replication 和session sticky
- 2. express session 和 socketio session關聯
- 3. Session 和 Cookie 區別 Session 和 Cookie 區別
- 4. Cookie和Session
- 5. cookie和session
- 6. cooke和session
- 7. Cookie 和 Session
- 8. Session和Cookie
- 9. java--Cookie和Session
- 10. Servlet——Cookie 和 Session
- 更多相關文章...
- • PHP Session - PHP教程
- • ASP Session 對象 - ASP 教程
- • IntelliJ IDEA 代碼格式化配置和快捷鍵
- • 適用於PHP初學者的學習線路和建議
-
每一个你不满意的现在,都有一个你没有努力的曾经。