Django組件——cookie與session

Django組件——cookie與session

1、會話跟蹤技術

一、什麼是會話跟蹤技術

先了解一下什麼是會話。能夠把會話理解爲客戶端與服務器之間的一次會晤，在一次會晤中可能會包含屢次請求和響應。例如你給10086打電話，你就是客戶端，而10086服務人員就是服務器，從雙方接通電話那一刻起，會話就開始了，到某一方掛斷電話就表示會話結束。在通話過程當中，你會向10086發出多個請求，這多個請求都在一個會話中。

在JavaWeb在，客戶向某一服務器發出第一個請求開始，會話就開始了，直到客戶關閉了瀏覽器即會話結束。

在一個會話的多個請求中共享數據，這就是會話跟蹤技術。例如在一個會話中的請求以下：

• 請求銀行主頁；
• 請求登陸（請求參數是用戶名和密碼）；
• 請求轉帳（請求參數是與轉帳相關的數據）；
• 請求信譽卡還款（請求參數是與還款相關的數據）。

在這個會話中當前用戶信息必須在這個會話中共享，由於登陸的若是是張三，那麼在轉帳和還款時必定是對於張三的轉帳和還款。這就說明咱們必須在一個會話過程當中有共享數據的能力。

二、會話路徑技術使用cookie或session完成

HTTP協議是無狀態協議，也就是說每一個請求都是獨立的，沒法記錄前一次請求的狀態，可是HTTP協議中可使用cookie來完成會話跟蹤。在Web開發中，使用session來完成會話跟蹤，session底層依賴cookie技術。

2、cookie概述

一、什麼叫cookie

cookie翻譯成中文是小甜點，小餅乾的意思。在HTTP中它表示服務器送給客戶端瀏覽器的小甜點，其實cookie是key-value結構，相似於一個python中的字典。隨着服務器端的響應發生給客戶端瀏覽器。而後客戶端瀏覽器會把cookie保存起來，當下次再訪問服務器時把cookie再發送給服務器。cookie是由服務器建立，而後經過響應發送給客戶端的一個鍵值對。客戶端會保存cookie，並會標註出cookie的來源（哪一個服務器的cookie）。當客戶端向服務器發出請求時，會把全部這個服務器cookie包含在請求中發送給服務器，這樣服務器就能夠識別客戶端了。

二、cookie規範

• cookie大小上限爲4KB；
• 一個服務器最多在客戶端瀏覽器上保存20個cookie；
• 一個瀏覽器最多保存300個cookie；

上面的數據只是HTTP的cookie規範，但在瀏覽器大戰的今天，一些瀏覽器爲了戰勝對手，爲了展示本身的能力，可能對cookie規範「擴展」了一些，例如每一個cookie的大小爲8KB，最多可保存500個cookie等，但不會出現把你硬盤佔滿的可能。

注：不一樣瀏覽器之間是不共享cookie的。也就是說在你使用IE瀏覽器訪問服務器時，服務器會把cookie發給IE瀏覽器，而後由IE瀏覽器保存起來，但當你使用FireFox瀏覽器訪問同一個服務器時，FireFox瀏覽器不可能將IE瀏覽器保存的cookie發送給服務器。

三、cookie與HTTP頭

cookie是經過HTTP請求和響應頭在客戶端和服務器端傳送的：

• cookie：請求頭，客戶端發送給服務器端；
• 格式：cookie：a=A；b=B；c=C。即多個cookie用分號隔開；
• set-cookie：響應頭，服務器端發送給客戶端；
• 一個cookie對象一個set-cookie：{set-cookie：a=A，set-cookie：b=B，set-cookie：c=C}

四、cookie的覆蓋

若是服務器發送重複的cookie就會覆蓋原有的cookie，例如客戶端的第一個請求，服務器端發送的cookie是：set-cookie：a=A；第二個請求，服務器端發送的是：set-cookie：a=AA，那麼客戶端只留下一個cookie，即：a=AA。

五、Django中的cookie語法

設置cookie：

rep = HttpResponse(...) 或 rep ＝ render(request, ...) 或 rep ＝ redirect()  
rep.set_cookie(key,value,...)
rep.set_signed_cookie(key,value,salt='加密鹽',...)

源碼：

class HttpResponseBase:
        def set_cookie(self, key,                 鍵
        　　　　　　　　　　　　 value='',            值
        　　　　　　　　　　　　 max_age=None,        超長時間
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　cookie須要延續的時間（以秒爲單位）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　若是參數是\ None`` ，這個cookie會延續到瀏覽器關閉爲止。
        　　　　　　　　　　　　 expires=None,        超長時間
       　　　　　　　　　　　　　　　　　　　　　　　　　　expires默認None ,cookie失效的實際日期/時間。
    　　　　　　　　　　　　　　　　　　　　　　　　　　　　
        　　　　　　　　　　　　 path='/',           Cookie生效的路徑，
                                                 瀏覽器只會把cookie回傳給帶有該路徑的頁面，這樣能夠避免將
                                                 cookie傳給站點中的其餘的應用。
                                                 / 表示根路徑，特殊的：根路徑的cookie能夠被任何url的頁面訪問
        　　　　　　　　　　　　
                             domain=None,         Cookie生效的域名

                                                  你可用這個參數來構造一個跨站cookie。
                                                  如， domain=".example.com"
                                                  所構造的cookie對下面這些站點都是可讀的：
                                                  www.example.com 、 www2.example.com
        　　　　　　　　　　　　　　　　　　　　　　　　　和an.other.sub.domain.example.com 。
                                                  若是該參數設置爲 None ，cookie只能由設置它的站點讀取。
        　　　　　　　　　　　　 secure=False,        若是設置爲 True ，瀏覽器將經過HTTPS來回傳cookie。
        　　　　　　　　　　　　 httponly=False       只能http協議傳輸，沒法被JavaScript獲取
                                                 （不是絕對，底層抓包能夠獲取到也能夠被覆蓋）
        　　　　　　　　　　): pass

獲取cookie：

request.COOKIES

刪除cookie：

response.delete_cookie("cookie_key",path="/",domain=name)

3、session

session是服務器端技術，利用這個技術，服務器在運行時能夠爲每個用戶的瀏覽器建立一個其獨享的session對象，因爲session爲用戶瀏覽器獨享，因此用戶在訪問服務器的web資源時，能夠把各自的數據放在個各自的session中，當用戶再去訪問該服務器中的其它web資源時，其它web資源再從用戶各自的session中取出數據爲用戶服務。

一、Django中的session語法

一、設置Sessions值
          request.session['session_name'] ="admin"
二、獲取Sessions值
          session_name = request.session["session_name"]
三、刪除Sessions值
          del request.session["session_name"]
四、flush()
     刪除當前的會話數據並刪除會話的Cookie。
     這用於確保前面的會話數據不能夠再次被用戶的瀏覽器訪問
五、get(key, default=None)
     fav_color = request.session.get('fav_color', 'red')  
六、pop(key)
     fav_color = request.session.pop('fav_color')  
七、keys()
八、items()  
九、setdefault()  
10 用戶session的隨機字符串
        request.session.session_key

        # 將全部Session失效日期小於當前日期的數據刪除
        request.session.clear_expired()

        # 檢查 用戶session的隨機字符串 在數據庫中是否
        request.session.exists("session_key")

        # 刪除當前用戶的全部Session數據
        request.session.delete("session_key")

        request.session.set_expiry(value)
            * 若是value是個整數，session會在些秒數後失效。
            * 若是value是個datatime或timedelta，session就會在這個時間後失效。
            * 若是value是0,用戶關閉瀏覽器session就會失效。
            * 若是value是None,session會依賴全局session失效策略。

二、session配置

Django默認支持Session，而且默認是將Session數據存儲在數據庫中，即：django_session 表中。

a. 配置 settings.py

    SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎（默認）

    SESSION_COOKIE_NAME ＝ "sessionid"                       # Session的cookie保存在瀏覽器上時的key，即：sessionid＝隨機字符串（默認）
    SESSION_COOKIE_PATH ＝ "/"                               # Session的cookie保存的路徑（默認）
    SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名（默認）
    SESSION_COOKIE_SECURE = False                            # 是否Https傳輸cookie（默認）
    SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http傳輸（默認）
    SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期（2周）（默認）
    SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否關閉瀏覽器使得Session過時（默認）
    SESSION_SAVE_EVERY_REQUEST = False                       # 是否每次請求都保存Session，默認修改以後才保存（默認）