django——會話追蹤技術

1.引言

1.1什麼是會話追蹤技術

會話是指一個終端用戶（服務器）與交互系統（客戶端）進行通信的過程。

1.2 什麼是會話跟蹤

對同一個用戶對服務器的連續的請求和接受響應的監視。（將用戶與同一用戶發出的不一樣請求之間關聯，爲了數據共享）

1.3 爲何須要會話跟蹤

瀏覽器與服務器之間的通訊是經過HTTP協議進行通訊的，而HTTP協議是」無狀態」的協議，它不能保存客戶的信息，即一次響應完成以後鏈接就斷開了，下一次的請求須要從新鏈接，這樣一些用戶的狀態信息就沒法留存下來（如用戶已登陸，下次沒必要再次彈出登陸界面），==會話跟蹤技術==正是來實現這種要求的。

1.4 四種會話跟蹤技術

• Cookie：

  Cookie是Web服務器發送給客戶端的一小段信息，客戶端請求時能夠讀取該信息發送到服務器端，進而進行用戶的識別。對於客戶端的每次請求，服務器都會將Cookie發送到客戶端,在客戶端能夠進行保存,以便下次使用。 服務器建立保存於瀏覽器端，不可跨域名性，大小及數量有限。客戶端能夠採用兩種方式來保存這個Cookie對象，一種方式是 保存在 客戶端內存中，稱爲臨時Cookie，瀏覽器關閉後 這個Cookie對象將消失。另一種方式是保存在 客戶機的磁盤上，稱爲永久Cookie。之後客戶端只要訪問該網站，就會將這個Cookie再次發送到服務器上，前提是 這個Cookie在有效期內。 這樣就實現了對客戶的跟蹤。

  Cookie是能夠被禁止的。

• session：

  每個用戶都有一個不一樣的session，各個用戶之間是不能共享的，是每一個用戶所獨享的，在session中能夠存放信息。 保存在服務器端。須要解決多臺服務器間共享問題。若是Session內容過於複雜，當大量客戶訪問服務器時可能會致使內存溢出。所以，Session裏的信息應該儘可能精簡。  在服務器端會建立一個session對象，產生一個sessionID來標識這個session對象，而後將這個sessionID放入到Cookie中發送到客戶端，下一次訪問時，sessionID會發送到服務器，在服務器端進行識別不一樣的用戶。

  Session是依賴Cookie的，若是Cookie被禁用，那麼session也將失效。

• URL重寫：

  URL(統一資源定位符)是Web上特定頁面的地址，URL地址重寫的原理是將該用戶Session的id信息重寫 到URL地址中，以便在服務器端進行識別不一樣的用戶。URL重寫可以在客戶端停用cookies或者不支持cookies的時候仍然可以發揮做用。

• 隱藏表單域：

  將會話ID添加到HTML表單元素中提交到服務器，此表單元素並不在客戶端顯示，瀏覽時看不到，源代碼中有。

1.5 Session和Cookie區別:

1. cookie數據存放在客戶的瀏覽器上，session數據放在服務器上。
2. cookie不是很安全，別人能夠分析存放在本地的cookie並進行cookie欺騙，考慮到安全應當使用session。
3. session會在必定時間內保存在服務器上。當訪問增多，會比較佔用你服務器的性能，考慮到減輕服務器性能方面，應當使用cookie。
4. 單個cookie保存的數據不能超過4K，不少瀏覽器都限制一個站點最多保存20個cookie。

應用場景：
記住帳號密碼通常在cookie中，購物車的實現通常也是cookie。
私人信息及登錄驗證信息在session中。

---

2.Cookie概述

2.1 Django與Cookie

Cookie翻譯成中文是小甜點，小餅乾的意思。在HTTP中它表示服務器送給客戶端瀏覽器的小甜點。

Cookie是key-value結構，相似於一個python中的字典。

隨着服務器端的響應發送給客戶端瀏覽器。而後客戶端瀏覽器會把Cookie保存起來，當下一次再訪問服務器時把Cookie再發送給服務器。 Cookie是由服務器建立，而後經過響應發送給客戶端的一個鍵值對。客戶端會保存Cookie，並會標註出Cookie的來源（哪一個服務器的Cookie）。當客戶端向服務器發出請求時會把全部這個服務器Cookie包含在請求中發送給服務器，這樣服務器就能夠識別客戶端了！

2.1.1Cookie規範

• Cookie大小上限爲4KB；
• 一個服務器最多在客戶端瀏覽器上保存20個Cookie；
• 一個瀏覽器最多保存300個Cookie；

上面的數據只是HTTP的Cookie規範，但在瀏覽器大戰的今天，一些瀏覽器爲了戰勝對手，爲了展示本身的能力起見，可能對Cookie規範「擴展」了一些，例如每一個Cookie的大小爲8KB，最多可保存500個Cookie等！但也不會出現把你硬盤佔滿的可能！

注意，不一樣瀏覽器之間是不共享Cookie的。也就是說在你使用IE訪問服務器時，服務器會把Cookie發給IE，而後由IE保存起來，當你在使用FireFox訪問服務器時，不可能把IE保存的Cookie發送給服務器。

2.1.2Cookie與HTTP頭

Cookie是經過HTTP請求和響應頭在客戶端和服務器端傳遞的：

• Cookie：請求頭，客戶端發送給服務器端；
• 格式：Cookie: a=A; b=B; c=C。即多個Cookie用分號離開；  Set-Cookie：響應頭，服務器端發送給客戶端；
• 一個Cookie對象一個Set-Cookie： Set-Cookie: a=A Set-Cookie: b=B Set-Cookie: c=C

2.1.3 Cookie的覆蓋

若是服務器端發送重複的Cookie那麼會覆蓋原有的Cookie，例如客戶端的第一個請求服務器端發送的Cookie是：Set-Cookie: a=A；第二請求服務器端發送的是：Set-Cookie: a=AA，那麼客戶端只留下一個Cookie，即：a=AA。

2.2 django中的cookie語法

設置cookie：

rep = HttpResponse(...) 或 rep ＝ render(request, ...) 或 rep ＝ redirect()  
rep.set_cookie(key,value,...)
rep.set_signed_cookie(key,value,salt='加密鹽',...)

源碼：

class HttpResponseBase:
        def set_cookie(self, 
        key,                 鍵
        value='',            值
        
        max_age=None,        超長時間
                             cookie須要延續的時間（以秒爲單位）
                             若是參數是\ None`` ，這個cookie會延續到瀏覽器關閉爲止。
                             
        expires=None,        超長時間
                             expires默認None ,cookie失效的實際日期/時間。
    　　　　　　　　　　　　　　　　　　　　　　　　　　　　
        path='/',           Cookie生效的路徑，
                            瀏覽器只會把cookie回傳給帶有該路徑的頁面，這樣能夠避免將
                            cookie傳給站點中的其餘的應用。
                            / 表示根路徑，特殊的：根路徑的cookie能夠被任何url的頁面訪問
        　　　　　　　　　　　　
        domain=None,         Cookie生效的域名

                             你可用這個參數來構造一個跨站cookie。
                             如， domain=".example.com"
                             所構造的cookie對下面這些站點都是可讀的：
                             www.example.com 、 www2.example.com
        　　　　　　　　　　　　 和an.other.sub.domain.example.com 。
                             若是該參數設置爲 None ，cookie只能由設置它的站點讀取。
                             
        secure=False,        若是設置爲 True ，瀏覽器將經過HTTPS來回傳cookie。
        httponly=False       只能http協議傳輸，沒法被JavaScript獲取
                            （不是絕對，底層抓包能夠獲取到也能夠被覆蓋）
        　　　　　　　　　　): pass

獲取cookie：

request.COOKIES

刪除cookie：

response.delete_cookie("cookie_key",path="/",domain=name)

練習

案例1:顯示上次訪問時間。　

案例2:顯示上次瀏覽過的商品。

3 session

3.1 Django與Cookie

Session是服務器端技術，利用這個技術，服務器在運行時能夠 爲每個用戶的瀏覽器建立一個其獨享的session對象，因爲 session爲用戶瀏覽器獨享，因此用戶在訪問服務器的web資源時 ，能夠把各自的數據放在各自的session中，當用戶再去訪問該服務器中的其它web資源時，其它web資源再從用戶各自的session中 取出數據爲用戶服務。

3.2 django中session語法

一、設置Sessions值
          request.session['session_name'] ="admin"
二、獲取Sessions值
          session_name = request.session["session_name"]
三、刪除Sessions值
          del request.session["session_name"]
四、flush()
     刪除當前的會話數據並刪除會話的Cookie。
     這用於確保前面的會話數據不能夠再次被用戶的瀏覽器訪問
五、get(key, default=None)
  fav_color = request.session.get('fav_color', 'red')  
六、pop(key)
  fav_color = request.session.pop('fav_color')  
七、keys()
八、items()  
九、setdefault()  
10 用戶session的隨機字符串
        request.session.session_key

        # 將全部Session失效日期小於當前日期的數據刪除
        request.session.clear_expired()

        # 檢查 用戶session的隨機字符串 在數據庫中是否
        request.session.exists("session_key")

        # 刪除當前用戶的全部Session數據
        request.session.delete("session_key")

        request.session.set_expiry(value)
            * 若是value是個整數，session會在些秒數後失效。
            * 若是value是個datatime或timedelta，session就會在這個時間後失效。
            * 若是value是0,用戶關閉瀏覽器session就會失效。
            * 若是value是None,session會依賴全局session失效策略。

session配置

Django默認支持Session，而且默認是將Session數據存儲在數據庫中，即：django_session 表中。

a. 配置 settings.py

    SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎（默認）

    SESSION_COOKIE_NAME ＝ "sessionid"                       # Session的cookie保存在瀏覽器上時的key，即：sessionid＝隨機字符串（默認）
    SESSION_COOKIE_PATH ＝ "/"                               # Session的cookie保存的路徑（默認）
    SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名（默認）
    SESSION_COOKIE_SECURE = False                            # 是否Https傳輸cookie（默認）
    SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http傳輸（默認）
    SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期（2周）（默認）
    SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否關閉瀏覽器使得Session過時（默認）
    SESSION_SAVE_EVERY_REQUEST = False                       # 是否每次請求都保存Session，默認修改以後才保存（默認）

練習
1 登陸案例

須要的頁面：
#login.html：登陸頁面，提供登陸表單；
#index1.html：主頁，顯示當前用戶名稱，若是沒有登陸，顯示您還沒登陸；
#index2.html：主頁，顯示當前用戶名稱，若是沒有登陸，顯示您還沒登陸；

思考，若是第二我的再次再同一個瀏覽器上登陸，django-session表會怎樣？ 2 驗證碼案例 驗證碼能夠去識別發出請求的是人仍是程序！固然，若是聰明的程序能夠去分析驗證碼圖片！但分析圖片也不是一件容易的事，由於通常驗證碼圖片都會帶有干擾線，人都看不清，那麼程序必定分析不出來。