Cookie和Session

Cookie和Session

1、cookie和session的介紹

cookie不屬於http協議範圍，因爲http協議沒法保持狀態，但實際狀況，咱們卻又須要「保持狀態」，所以cookie就是在這樣一個場景下誕生。

cookie的工做原理是：由服務器產生內容，瀏覽器收到請求後保存在本地；當瀏覽器再次訪問時，瀏覽器會自動帶上cookie，這樣服務器就能經過cookie的內容來判斷這個是「誰」了。

cookie雖然在必定程度上解決了「保持狀態」的需求，可是因爲cookie自己最大支持4096字節，以及cookie自己保存在客戶端，可能被攔截或竊取，所以就須要有一種新的東西，它能支持更多的字節，而且他保存在服務器，有較高的安全性。這就是session。

cookie和session的區別

Cookie是保存在用戶瀏覽器端的鍵值對，Session是保存在服務器端的鍵值對；Cookie作用戶驗證的時，敏感信息不適合放在Cookie中，別人能夠分析存放在本地的Cookie並進行Cookie欺騙，考慮到安全應當使用Session；用戶驗證時二者要結合使用，Session可保存到文件，內存，數據庫任意地方.

cookie存儲到客戶端
優勢：數據存儲在客戶端。減輕服務端的壓力，提升網站的性能
缺點：安全性不高，在客戶端很容易被查看或破解用戶會話信息
session存儲到服務器
優勢：安全性高
缺點：服務器壓力大

Cookie的簡單使用

一、獲取Cookie

request.COOKIES.get("islogin",None)  #若是有就獲取，沒有就默認爲none
request.COOKIES['key']
request.COOKIES.get('key')
request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None)
    參數：
        default: 默認值
           salt: 加密鹽
        max_age: 後臺控制過時時間

二、設置cookie

rep = HttpResponse(...) 或 rep ＝ render(request, ...) #return的對象

rep.set_cookie(key,value,...)
rep.set_cookie("haiyan","344",20)  #20表明過時時間
# 普通cookie是明文傳輸的，能夠直接在客戶端直接打開，因此須要加鹽，解鹽以後才能查看
rep.set_signed_cookie(key,value,salt='加密鹽',...)
    參數：
        key,              鍵
        value='',         值
        max_age=None,     超時時間 單位秒
        expires=None,     超時時間(IE requires expires, so set it if hasn't been already.) 單位日期
        path='/',         Cookie生效的路徑，/ 表示根路徑，特殊的：跟路徑的cookie能夠被任何url的頁面訪問 指定生效路徑
        domain=None,      Cookie生效的域名
        secure=False,     https傳輸改成True
        httponly=False    只能http協議傳輸，沒法被JavaScript獲取（不是絕對，底層抓包能夠獲取到也能夠被覆蓋
複製代碼

# max_age 10秒失效
result.set_cookie('username',u,max_age=10)
 
# expires 設置失效日期
import datetime
current_date = datetime.datetime.utcnow()
current_date = current_date + datetime.timedelta(seconds=5)
result.set_cookie('username',u,expires=current_date)
 
# 加密
obj = HttpResponse('s')
obj.set_signed_cookie('username',"kangbazi",salt="asdfasdf")
request.get_signed_cookie('username',salt="asdfasdf")

三、刪除Cookie

obj.delete_cookie("cookie_key",path="/",domain=name)

session的簡單使用

一、獲取session

# 獲取Session中數據
request.session['k1']
request.session.get('k1', None)

二、設置session

# 生成Session中數據
request.session['k1'] = 123
request.session.setdefault('k1', 123)  # 不存在則設置

三、刪除session

# 刪除Session中某條數據
del request.session['k1']

# 刪除當前用戶的全部Session數據
request.session.delete("session_key")
request.session.clear()    
request.session.flush() # 刪除當前的會話數據和會話cookie。常常用在用戶退出後，刪除會話。
# 登出時使用flush()方法是比較安全的一種作法，並且一次性將session中的全部內容所有清空，確保不留後患。但也有很差的地方，那就是若是你在session中夾帶了一點‘私貨’，會被一併刪除，這一點必定要注意。

四、相似字典數據類型的內置方法

request.session.keys()
request.session.values()
request.session.items()
request.session.setdefault('k1', 123) 
request.session.clear() 
request.session.iterkeys()
request.session.itervalues()
request.session.iteritems()

五、其餘方法

# 用戶session的隨機字符串
request.session.session_key
 
# 將全部Session失效日期小於當前日期的數據刪除
request.session.clear_expired()
 
# 檢查用戶session的隨機字符串是否 在數據庫中
request.session.exists("session_key")

request.session.set_expiry(value)
        # 設置cookie的有效期。能夠傳遞不一樣類型的參數值：
        • 若是值是一個整數，session將在對應的秒數後失效。例如request.session.set_expiry(300) 將在300秒後失效.
        • 若是值是一個datetime或者timedelta對象, 會話將在指定的日期失效
        • 若是爲0，在用戶關閉瀏覽器後失效
        • 若是爲None，則將使用全局會話失效策略
        失效時間從上一次會話被修改的時刻開始計時。
request.session.get_expiry_age()
            # 返回多少秒後失效的秒數。對於沒有自定義失效時間的會話，這等同於SESSION_COOKIE_AGE.
            # 這個方法接受2個可選的關鍵字參數
        • modification:會話的最後修改時間（datetime對象）。默認是當前時間。
        •expiry: 會話失效信息，能夠是datetime對象，也能夠是int或None

set_test_cookie()
            # 設置一個測試cookie，用於探測用戶瀏覽器是否支持cookies。因爲cookie的工做機制，你只有在下次用戶請求的時候才能夠測試。
        test_cookie_worked()
            # 返回True或者False，取決於用戶的瀏覽器是否接受測試cookie。你必須在以前先調用set_test_cookie()方法。
        delete_test_cookie()
            # 刪除測試cookie。

session的存儲

Django提供了一個通用的Session框架，而且可使用多種session數據的保存方式：

• 保存在數據庫內
• 保存到緩存
• 保存到文件內
• 保存到cookie內

一般狀況，沒有特別需求的話，請使用保存在數據庫內的方式，儘可能不要保存到Cookie內。

1.數據庫存儲session

Django默認支持Session，而且默認是將Session數據存儲在數據庫中，即：django_session表中

配置settings.py
SESSION_ENGINE = 'django.contrib.sessions.backends.db'  # 引擎（默認）

SESSION_COOKIE_NAME ＝ "sessionid"  # Session的cookie保存在瀏覽器上時的key，即：sessionid＝隨機字符串（默認）
SESSION_COOKIE_PATH ＝ "/"  # Session的cookie保存的路徑（默認）
SESSION_COOKIE_DOMAIN = None  # Session的cookie保存的域名（默認）
SESSION_COOKIE_SECURE = False  # 是否Https傳輸cookie（默認）
SESSION_COOKIE_HTTPONLY = True  # 是否Session的cookie只支持http傳輸（默認）
SESSION_COOKIE_AGE = 1209600  # Session的cookie失效日期（2周）（默認）
SESSION_EXPIRE_AT_BROWSER_CLOSE = False  # 是否關閉瀏覽器使得Session過時（默認）
SESSION_SAVE_EVERY_REQUEST = False  # 是否每次請求都保存Session，默認修改以後才保存（默認）
                                    #  設置Ture後，每次點擊頁面，時間更新

2.緩存存儲session

配置settings.py

SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
SESSION_CACHE_ALIAS = 'default'  # 使用的緩存別名（默認內存緩存，也能夠是memcache），此處別名依賴緩存的設置

SESSION_COOKIE_NAME ＝ "sessionid"  # Session的cookie保存在瀏覽器上時的key，即：sessionid＝隨機字符串
SESSION_COOKIE_PATH ＝ "/"  # Session的cookie保存的路徑
SESSION_COOKIE_DOMAIN = None  # Session的cookie保存的域名
SESSION_COOKIE_SECURE = False  # 是否Https傳輸cookie
SESSION_COOKIE_HTTPONLY = True  # 是否Session的cookie只支持http傳輸
SESSION_COOKIE_AGE = 1209600  # Session的cookie失效日期（2周）
SESSION_EXPIRE_AT_BROWSER_CLOSE = False  # 是否關閉瀏覽器使得Session過時
SESSION_SAVE_EVERY_REQUEST = False  # 是否每次請求都保存Session，默認修改以後才保存

能夠設置爲Memcache緩存

配置settings.py

SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
SESSION_CACHE_ALIAS = 'db'  # 使用的緩存別名，此處別名依賴緩存的設置

CACHES = {
    'default': {
        'BACKEND': 'django.core.cache.backends.memcached.MemcachedCache',
        'LOCATION': [
            '172.19.26.240:11211',
            '172.19.26.242:11211',
        ]
    },
    'db': {
        'BACKEND': 'django.core.cache.backends.memcached.MemcachedCache',
        'LOCATION': [
            '172.19.26.240:11211',
            '172.19.26.242:11211',
        ]
    }
}

3.使用redis緩存session

SESSION_ENGINE='redis_sessions.session'
SESSION_REDIS_HOST='localhost'
SESSION_REDIS_PORT=6379
SESSION_REDIS_DB=0
SESSION_REDIS_PASSWORD=''
SESSION_REDIS_PREFIX='session'

#經過redis-cli客戶端能夠查看：
127.0.0.1:6379> select 0
OK
127.0.0.1:6379[0]> keys *
1) "session:0bjyuegx0i5ivyuzpb8ezgo0b35u2z4v"

4.文件存儲session

配置 settings.py
 
    SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎
    SESSION_FILE_PATH = None                                    # 緩存文件路徑，若是爲None，則使用tempfile模塊獲取一個臨時地址tempfile.gettempdir()  
                                                                # 如：/var/folders/d3/j9tj0gz93dg06bmwxmhh6_xm0000gn/T
  
    SESSION_COOKIE_NAME ＝ "sessionid"                          # Session的cookie保存在瀏覽器上時的key，即：sessionid＝隨機字符串
    SESSION_COOKIE_PATH ＝ "/"                                  # Session的cookie保存的路徑
    SESSION_COOKIE_DOMAIN = None                                # Session的cookie保存的域名
    SESSION_COOKIE_SECURE = False                               # 是否Https傳輸cookie
    SESSION_COOKIE_HTTPONLY = True                              # 是否Session的cookie只支持http傳輸
    SESSION_COOKIE_AGE = 1209600                                # Session的cookie失效日期（2周）
    SESSION_EXPIRE_AT_BROWSER_CLOSE = False                     # 是否關閉瀏覽器使得Session過時
    SESSION_SAVE_EVERY_REQUEST = False                          # 是否每次請求都保存Session，默認修改以後才保存

5.緩存加數據庫session

數據庫用於作持久化，緩存用於提升效率,先去緩存中取數據，緩存沒有再去數據庫中取，而後在緩存中存一份

配置settings.py

SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'  # 引擎

6.加密cookie session

數據都存在於客戶端
配置settings.py

SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'  # 引擎

示例：

from django.shortcuts import render,redirect

# Create your views here.
import datetime

def login(request):
    print("COOKIES",request.COOKIES)  #打印cookies 一個字典，裏面多個鍵值對
    print("SESSION",request.session)  #session爲服務器對應客戶信息的鍵

    if request.method=="POST":
        name=request.POST.get("user")
        pwd=request.POST.get("pwd")
        if name=="yuan" and pwd=="123":

            # ret=redirect("/index/")
            # 給對象ret設置cookie 安全性較差  ,設定有效時間max_age，expires，
            # ret.set_cookie("username",{"11":"22"},max_age=10,expires=datetime.datetime.utcnow()+datetime.timedelta(days=3))
            # return ret

            # COOKIE SESSION一塊兒使用
            # session 以字典存放在服務器端，發給客戶端的是數據對應的鍵，
            request.session["is_login"]=True  # 在session中增長鍵值對
            request.session["user"]=name

            return redirect("/index/")

    return render(request,"login.html")


def index(request):
    if request.COOKIES.get("username",None):   # 取不到設置默認值爲None
        name = request.COOKIES.get("username",None)
        return render(request, "index.html", locals())

    # session驗證 存在數據庫中，因此要先makemigrations生成數據庫
    if request.session.get("is_login",None):
        name=request.session.get("user",None)
        return render(request,"index.html",locals())
    else:
        return redirect("/login/")
##session獲取
request.session.get("user",None)
# 設置
request.session["user"]=name
# 刪除
del request.session.get("user")