Django 用Session和Cookie分別實現記住用戶登陸狀態

簡介

因爲http協議的請求是無狀態的。故爲了讓用戶在瀏覽器中再次訪問該服務端時，他的登陸狀態可以保留（也可翻譯爲該用戶訪問這個服務端其餘網頁時不需再重複進行用戶認證）。咱們能夠採用Cookie或Session這兩種方式來讓瀏覽器記住用戶。

Cookie與Session說明與實現

Cookie

說明

Cookie是一段小信息(數據格式通常是相似key-value的鍵值對)，由服務器生成，併發送給瀏覽器讓瀏覽器保存(保存時間由服務端定奪)。當瀏覽器下次訪問該服務端時，會將它保存的Cookie再發給服務器，從而讓服務器根據Cookie知道是哪一個瀏覽器或用戶在訪問它。（因爲瀏覽器聽從的協議，它不會把該服務器的Cookie發送給另外一個不一樣host的服務器）。

Django中實現Cookie

from django.shortcuts import render, redirect

# 設置cookie
"""
key: cookie的名字
value: cookie對應的值
max_age: cookie過時的時間
"""
response.set_cookie(key, value, max_age)
# 爲了安全，有時候咱們會調用下面的函數來給cookie加鹽
response.set_signed_cookie(key,value,salt='加密鹽',...)

# 獲取cookie 
request.COOKIES.get(key)
request.get_signed_cookie(key, salt="加密鹽", default=None)

# 刪除cookie
reponse.delete_cookie(key)

下面就是具體的代碼實現了
views.py

# 編寫裝飾器檢查用戶是否登陸
def check_login(func):
    def inner(request, *args, **kwargs):
        next_url = request.get_full_path()
        # 假設設置的cookie的key爲login，value爲yes
        if request.get_signed_cookie("login", salt="SSS", default=None) == 'yes':
            # 已經登陸的用戶，則放行
            return func(request, *args, **kwargs)
        else:
            # 沒有登陸的用戶，跳轉到登陸頁面
            return redirect(f"/login?next={next_url}")

    return inner


# 編寫用戶登陸頁面的控制函數
@csrf_exempt
def login(request):
    if request.method == "POST":
        username = request.POST.get("username")
        passwd = request.POST.get("password")
        next_url = request.POST.get("next_url")

        # 對用戶進行驗證，假設用戶名爲：aaa, 密碼爲123
        if username === 'aaa' and passwd == '123':
            # 執行其餘邏輯操做，例如保存用戶信息到數據庫等
            # print(f'next_url={next_url}')
            # 登陸成功後跳轉,不然直接回到主頁面
            if next_url and next_url != "/logout/":
                response = redirect(next_url)
            else:
                response = redirect("/index/")
            # 若登陸成功，則設置cookie，加鹽值可本身定義取，這裏定義12小時後cookie過時
            response.set_signed_cookie("login", 'yes', salt="SSS", max_age=60*60*12)
            return response
        else:
            # 登陸失敗，則返回失敗提示到登陸頁面
            error_msg = '登陸驗證失敗，請從新嘗試'
            return render(request, "app/login.html", {
                'login_error_msg': error_msg,
                'next_url': next_url,
            })
    # 用戶剛進入登陸頁面時，獲取到跳轉連接，並保存
    next_url = request.GET.get("next", '')
    return render(request, "app/login.html", {
        'next_url': next_url
    })


# 登出頁面
def logout(request):
    rep = redirect("/login/")
    # 刪除用戶瀏覽器上以前設置的cookie
    rep.delete_cookie('login')
    return rep


# 給主頁添加登陸權限認證
@check_login
def index(request):
    return render(request, "app/index.html")

由上面看出，其實就是在第一次用戶登陸成功時，設置cookie，用戶訪問其餘頁面時進行cookie驗證，用戶登出時刪除cookie。另外附上前端的login.html部分代碼

<form action="{% url 'login' %}" method="post">
              <h1>請使xx帳戶登陸</h1>
              <div>
                <input id="user" type="text" class="form-control" name="username" placeholder="帳戶" required="" />
              </div>
              <div>
                <input id="pwd" type="password" class="form-control" name="password" placeholder="密碼" required="" />
              </div>
                <div style="display: none;">
                    <input id="next" type="text" name="next_url" value="{{ next_url }}" />
                </div>
                {% if login_error_msg %}
                    <div id="error-msg">
                        <span style="color: rgba(255,53,49,0.8); font-family: cursive;">{{ login_error_msg }}</span>
                    </div>
                {% endif %}
              <div>
                  <button type="submit" class="btn btn-default" style="float: initial; margin-left: 0px">登陸</button>
              </div>
            </form>

Session

Session說明

Session則是爲了保證用戶信息的安全，將這些信息保存到服務端進行驗證的一種方式。但它卻依賴於cookie。具體的過程是：服務端給每一個客戶端(即瀏覽器)設置一個cookie（從上面的cookie咱們知道，cookie是一種」key, value「形式的數據，這個cookie的value是服務端隨機生成的一段但惟一的值）。
當客戶端下次訪問該服務端時，它將cookie傳遞給服務端，服務端獲得cookie，根據該cookie的value去服務端的Session數據庫中找到該value對應的用戶信息。（Django中在應用的setting.py中配置Session數據庫）。
根據以上描述，咱們知道Session把用戶的敏感信息都保存到了服務端數據庫中，這樣具備較高的安全性。

Django中Session的實現

# 設置session數據, key是字符串，value能夠是任何值
request.session[key] = value
# 獲取 session
request.session.get[key]
# 刪除 session中的某個數據
del request.session[key]
# 清空session中的全部數據
request.session.delete()

下面就是具體的代碼實現了：
首先就是設置保存session的數據庫了。這個在setting.py中配置：(注意我這裏數據庫用的mongodb，並使用了django_mongoengine庫；關於這個配置請根據本身使用的數據庫進行選擇，具體配置可參考官方教程)

SESSION_ENGINE = 'django_mongoengine.sessions'
SESSION_SERIALIZER = 'django_mongoengine.sessions.BSONSerializer'

views.py

# 編寫裝飾器檢查用戶是否登陸
def check_login(func):
    def inner(request, *args, **kwargs):
        next_url = request.get_full_path()
        # 獲取session判斷用戶是否已登陸
        if request.session.get('is_login'):
            # 已經登陸的用戶...
            return func(request, *args, **kwargs)
        else:
            # 沒有登陸的用戶，跳轉剛到登陸頁面
            return redirect(f"/login?next={next_url}")

    return inner


@csrf_exempt
def login(request):
    if request.method == "POST":
        username = request.POST.get("username")
        passwd = request.POST.get("password")
        next_url = request.POST.get("next_url")
        # 如果有記住密碼功能
        # remember_sign = request.POST.get("check_remember")
        # print(remember_sign)

        # 對用戶進行驗證
        if username == 'aaa' and passwd == '123':
            # 進行邏輯處理，好比保存用戶與密碼到數據庫

            # 若要使用記住密碼功能，可保存用戶名、密碼到session
            # request.session['user_info'] = {
                # 'username': username,
                # 'password': passwd
            # }
            request.session['is_login'] = True
            # 判斷是否勾選了記住密碼的複選框
            # if remember_sign == 'on':
            #   request.session['is_remember'] = True
            # else:
                # request.session['is_remember'] = False

            # print(f'next_url={next_url}')
            if next_url and next_url != "/logout/":
                response = redirect(next_url)
            else:
                response = redirect("/index/")
            return response
        else:
            error_msg = '登陸驗證失敗，請從新嘗試'
            return render(request, "app/login.html", {
                'login_error_msg': error_msg,
                'next_url': next_url,
            })
    next_url = request.GET.get("next", '')
    # 檢查是否勾選了記住密碼功能
    # password, check_value = '', ''
    # user_session = request.session.get('user_info', {})
    # username = user_session.get('username', '')
    # print(user_session)
    #if request.session.get('is_remember'):
    #    password = user_session.get('password', '')
    #    check_value = 'checked'
    # print(username, password)
    return render(request, "app/login.html", {
        'next_url': next_url,
        # 'user': username,
        # 'password': password,
        # 'check_value': check_value
    })


def logout(request):
    rep = redirect("/login/")
    # request.session.delete()
    # 登出，則刪除掉session中的某條數據
    if 'is_login' in request.session:
        del request.session['is_login']
    return rep


@check_login
def index(request):
    return render(request, "autotest/index.html")

另附login.html部分代碼：

<form action="{% url 'login' %}" method="post">
              <h1>請使xxx帳戶登陸</h1>
              <div>
                <input id="user" type="text" class="form-control" name="username" placeholder="用戶" required="" value="{{ user }}" />
              </div>
              <div>
                <input id="pwd" type="password" class="form-control" name="password" placeholder="密碼" required="" value="{{ password }}" />
              </div>
                <div style="display: none;">
                    <input id="next" type="text" name="next_url" value="{{ next_url }}" />
                </div>
                {% if login_error_msg %}
                    <div id="error-msg">
                        <span style="color: rgba(255,53,49,0.8); font-family: cursive;">{{ login_error_msg }}</span>
                    </div>
                {% endif %}
                // 若設置了記住密碼功能
               // <div style="float: left">
               //     <input id="rmb-me" type="checkbox" name="check_remember" {{ check_value }}/>記住密碼
               // </div>
              <div>
                  <button type="submit" class="btn btn-default" style="float: initial; margin-right: 60px">登陸</button>
              </div>
            </form>

總的來看，session也是利用了cookie，經過cookie生成的value的惟一性，從而在後端數據庫session表中找到這value對應的數據。session的用法能夠保存更多的用戶信息，並使這些信息不易被暴露。

總結

session和cookie都能實現記住用戶登陸狀態的功能，若是爲了安全起見，仍是使用session更合適

參考文章：https://blog.csdn.net/qq_34755081/article/details/82808537