1. cookie和session介绍
1.1 cookie 简介
cookie
是指某些网站为了辨别用户身份而储存在用户本地终端(Client Side)上的数据(通常经过加密)。由网景公司的前雇员卢·蒙特利在1993年3月发明。
Cookie
保存在客户端中,按在客户端中的存储位置,可分为内存Cookie
和硬盘Cookie
。
因为HTTP
协议是无状态的,即服务器不知道用户上一次做了什么,这严重阻碍了交互式Web应用程序(购物网站)的实现。在典型的网上购物场景中,用户浏览了几个页面,买了一些东西。最后结帐时,由于HTTP
的无状态性,不通过额外的手段,服务器并不知道用户到底买了什么,所以Cookie
就是用来绕开HTTP
的无状态性的“额外手段”之一。服务器可以设置或读取Cookie
中包含的信息,借此维护用户跟服务器会话中的状态。
cookie
除了能记录之前历史的功能外还可以用于识别用户身份。
1.2 cookie的缺陷
- Cookie会被附加在每个HTTP请求中,所以无形中增加了流量。
- 由于HTTP请求中的Cookie是明文传递的,所以安全性成问题,除非使用超文本传输安全协定。
- Cookie的大小限制在4 KB左右,对于复杂的存储需求来说是不够用的。
1.3 session简介
会话(session):会话是一种持久的网络协议,用于完成服务器和客户端之间的一些交互行为。会话是一个比连接粒度更大的概念,一次会话可能包含多次连接,每次连接都被认为是会话的一次操作。
在Web中,Session
是指一个用户与网站服务器进行一系列交互的持续时间,通常指从注册进入系统到注销退出系统之间所经过的时间,以及在这段时间内进行的操作,还有,服务器端为保存用户状态开辟的存储空间。
1.4 session与cookie的区别
-
Cookie以文本文件格式存储在浏览器中,而session存储在服务端。
-
cookie的存储限制了数据量,只允许4KB,而session是无限制的。
-
cookie包含在每一个客户端请求报文中,因此容易被人捕获。
-
cookie和session都可以设置过期时间
2. 设置cookie
2.1 设置cookie
HTML
代码:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
<!DOCTYPE html> < html lang = "en" > < head > < meta charset = "UTF-8" > < title >Title</ title > < script src = "/static/bootstrap-3.4.1-dist/js/bootstrap.min.js" ></ script > < script src = "/static/bootstrap-3.4.1-dist/js/jquery-3.6.0.min.js" ></ script > < link rel = "stylesheet" href = "/static/bootstrap-3.4.1-dist/css/bootstrap.min.css" rel = "external nofollow" rel = "external nofollow" > </ head > < body > < p > < h1 >Set Cookie OK</ h1 > </ p > </ body > </ html > |
views.py
代码
1
2
3
4
5
6
7
8
9
10
11
12
13
|
from django.shortcuts import render, HttpResponse def set_cookie(request): """ 先设置 """ # cookie_obj = HttpResponse("set cookie OK") cookie_obj = render(request, "setCookie.html" ) """ 设置cookie """ cookie_obj.set_cookie( "Name" , "Hello" ) cookie_obj.set_cookie( "is_cookis" , True ) return cookie_obj |
urls.py
代码
1
2
3
|
from django.contrib import admin from django.urls import path from appName import views |
2.2 获取cookie
views.py
1
2
3
4
5
6
7
8
9
10
11
|
from django.shortcuts import render, HttpResponse def get_cookie(request): cookie_obj = render(request, "getCookie.html" ) print (request.COOKIES.get( "Name" )) print (request.COOKIES.get( "is_cookis" )) return cookie_obj #结果: Hello True # request.COOKIES.get(Key) 获取cookie |
2.3 删除cookie
views.py
1
2
3
4
5
6
7
8
9
|
from django.shortcuts import render, HttpResponse def del_cookie(request): cookie_obj = HttpResponse( "Delete cookie OK" ) # 把cookis "is_cookis" 删除 cookie_obj.delete_cookie( "is_cookis" ) return cookie_obj # 执行结果: Hello None |
测试流程:
1. 先访问 set_cookie设置cookie
2. 访问 get_cookie获取cookie:Name:Hello和"is_cookis", True
3. 访问 del_cookie 删除is_cookis
4. 最后再访问 get_cookie 获取cookie, 发现只有Name Hello,is_cookis的值为:None
2.4 设置过期时间和加盐
cookie的过期时间,如果不写,关闭浏览器,cookie就失效了
obj.set_cookie('key','value')
也可以设置过期时间:
obj.set_cookie('key','value',expires=10)
设置10s过期
对cookie进行加盐
obj.set_signed_cookie('nb','yes','123',expires=1000)
获取加盐的cookie
nb=request.get_signed_cookie('nb',salt='123')
2.5 cookie的其他参数
1
2
3
4
5
6
7
8
|
key, 键 value='', 值 max_age=None, 超时时间 cookie需要延续的时间(以秒为单位)如果参数是\ None`` ,这个cookie会延续到浏览器关闭为止 expires=None, 超时时间(IE requires expires, so set it if hasn't been already.) path='/‘, Cookie生效的路径,/ 表示根路径,特殊的:根路径的cookie可以被任何url的页面访问,浏览器只会把cookie回传给带有该路径的页面,这样可以避免将cookie传给站点中的其他的应用。 domain=None, Cookie生效的域名 你可用这个参数来构造一个跨站cookie。如, domain=”.example.com”所构造的cookie对下面这些站点都是可读的:www.example.com 、 www2.example.com 和an.other.sub.domain.example.com 。如果该参数设置为 None ,cookie只能由设置它的站点读取 secure=False, 浏览器将通过HTTPS来回传cookie httponly=False 只能http协议传输,无法被JavaScript获取(不是绝对,底层抓包可以获取到也可以被覆盖) |
3. 设置 session
3.1 设置,修改,删除session
搭建一个简单的网站,必须要登录才可以访问。
HTML
代码:
index.html
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
<!DOCTYPE html> < html lang = "en" > < head > < meta charset = "UTF-8" > < title >Title</ title > </ head > < body > < p >欢迎用户:{{ name }} 登录:</ p > < p > 只有登录才能看到。 </ p > < form action = "/delete/" method = "post" > < input type = "submit" value = "退出" > </ form > </ body > </ html > |
login.html
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
|
<!DOCTYPE html> < html lang = "en" > < head > < meta charset = "UTF-8" > < title >Title</ title > < script src = "/static/bootstrap-3.4.1-dist/js/bootstrap.min.js" ></ script > < script src = "/static/bootstrap-3.4.1-dist/js/jquery-3.6.0.min.js" ></ script > < link rel = "stylesheet" href = "/static/bootstrap-3.4.1-dist/css/bootstrap.min.css" rel = "external nofollow" rel = "external nofollow" > </ head > < body > < div class = "container" > < div class = "row" > < div class = "col-md-8 col-md-offset-2" > < form action = "" method = "post" > UserName:< input type = "text" name = "Name" > PassWord:< input type = "password" name = "PassWord" > < input type = "submit" value = "提交" > </ form > </ div > </ div > </ div > </ body > </ html > |
delete.html
1
2
3
4
5
6
7
8
9
10
11
|
<!DOCTYPE html> < html lang = "en" > < head > < meta charset = "UTF-8" > < title >Title</ title > < body > < div > < p >请先< a href = "/login/" rel = "external nofollow" >登录</ a ></ p > </ div > </ body > </ html > |
后端代码:
views.py
代码
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
|
from django.shortcuts import render, HttpResponse, redirect def login(request): if request.method = = "POST" : name = request.POST.get( "Name" ) password = request.POST.get( "PassWord" ) print (name, password) # 模拟数据库校验密码 if name = = "Hans" and password = = "123" : request.session[ "name" ] = name # 设置session request.session[ 'is_login' ] = True return redirect( "/index/" ) else : return render(request, "login.html" ) def index(request): is_login = request.session.get( "is_login" ) name = request.session.get( "name" ) print ( "获取到name" , name) # 更新session request.session[ 'name' ] = "HELLO" # 更新session # 重新获取name name = request.session.get( "name" ) if is_login: return render(request, "index.html" , locals ()) else : return redirect( "/login/" ) def delete(request): name = request.session.get( "name" ) if request.method = = "POST" : del request.session[ 'is_login' ] # 删除session del request.session[ 'name' ] # request.session.flush() # 清空cookie和session return HttpResponse( "%s 已经退出" % name) return render(request, "delete.html" ) #删除cookie del request.session[ 'name' ] # 删除某一个session request.session.delete() # 删除数据库里的session request.session.flush() # cookie和数据库都删 |
路由urls.py
1
2
3
4
5
6
7
8
9
|
from django.contrib import admin from django.urls import path from appName import views urlpatterns = [ path( 'admin/' , admin.site.urls), path( 'index/' , views.index), path( 'login/' , views.login), path( 'delete/' , views.delete), ] |
3.2 session的其他方法
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
|
设置Session数据 request.session.setdefault( 'k1' , 123 ) # 存在则不设置 # 所有 键、值、键值对 request.session.keys() request.session.values() request.session.items() request.session.iterkeys() request.session.itervalues() request.session.iteritems() # 会话session的key(随机字符串) request.session.session_key # 将所有Session失效日期小于当前日期的数据删除 request.session.clear_expired() # 检查会话session的key在数据库中是否存在 request.session.exists( "session_key" ) # 删除当前会话的所有Session数据(只删数据库) request.session.delete() # 删除当前的会话数据并删除会话的Cookie(数据库和cookie都删) request.session.flush() 这用于确保前面的会话数据不可以再次被用户的浏览器访问 # 设置会话Session和Cookie的超时时间 request.session.set_expiry(value) * 如果value是个整数,session会在些秒数后失效。 * 如果value是个datatime或timedelta,session就会在这个时间后失效。 * 如果value是 0 ,用户关闭浏览器session就会失效。 * 如果value是 None ,session会依赖全局session失效策略。 |
3.3 session的其他配置(配置文件中)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
|
1. 数据库Session SESSION_ENGINE = 'django.contrib.sessions.backends.db' # 引擎(默认) 2. 缓存Session SESSION_ENGINE = 'django.contrib.sessions.backends.cache' # 引擎 SESSION_CACHE_ALIAS = 'default' # 使用的缓存别名(默认内存缓存,也可以是memcache),此处别名依赖缓存的设置 3. 文件Session SESSION_ENGINE = 'django.contrib.sessions.backends.file' # 引擎 SESSION_FILE_PATH = None # 缓存文件路径,如果为None,则使用tempfile模块获取一个临时地址tempfile.gettempdir() 4. 缓存+数据库 SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db' # 引擎 5. 加密Cookie Session SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies' # 引擎 其他公用设置项: SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认) SESSION_COOKIE_PATH = "/" # Session的cookie保存的路径(默认) SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默认) SESSION_COOKIE_SECURE = False # 是否Https传输cookie(默认) SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http传输(默认) SESSION_COOKIE_AGE = 60 * 60 * 24 * 7 * 2 # Session的cookie失效日期(2周)(默认) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否关闭浏览器使得Session过期(默认) SESSION_SAVE_EVERY_REQUEST = False # 是否每次请求都保存Session,默认修改之后才保存(默认) |
以上就是Django框架cookie和session简介及参数设置的详细内容,更多关于Django框架cookie和session的资料请关注服务器之家其它相关文章!
原文链接:https://www.cnblogs.com/hans-python/p/16029143.html