django中的会话跟踪技术

什么是会话跟踪技术

首先我们需要了解一下什么是会话?我们可以把会话当作成客户端与服务器之间的一次会晤,在一次会晤期间会有多次请求和响应。例如你打电话给10086客服,那么此时你就是客户端,10086客服就是服务端,那么一次会晤就是你们在打电话期间的聊天过程。直到某一方挂了电话,此时表示会话结束。在你们的通话过程中,你会向10086发送多次请求,那么这些请求都会保存在一个会话中。

在JavaWeb中,客户端向服务器发出第一个请求开始,会话就开始了,直到客户端关闭了浏览器会话结束。

在一次会话中的多个请求需要共享数据,这就是会话跟踪技术。例如在一个会话中的请求如下:

  • 请求银行主页
  • 请求登陆(请求参数是用户名和密码)
  • 请求转账(请求参数与转账相关的数据)
  • 请求信用卡还款(请求参数与还款相关的数据)

在以上这次会话中,当前用户的信息必须是要在这次会话中共享的,因为登陆的是zhangsan,那么转账和还款肯定是用zhangsan用户转账和还款,这就说明我们必须在一个会话过程中有共享数据的能力。

HTTP无状态协议

HTTP协议是一种不保存状态,即无状态协议。HTTP协议自身不对请求和响应之间的通信状态进行保存。也就是说在HTTP这个级别,协议对于发送过的请求或响应都不做持久化处理。

使用HTTP协议,每当有新的请求发送时,就会有对应的新响应产生。协议本身并不保留之前一切的请求或响应报文的信息。这是为了更快的处理大量事务,确保协议的可伸缩性,而特意把HTTP协议设计的如此简单的。

可是,随着web的不断发展,因无状态而导致业务处理变得棘手的情况增多了。比如咱们刚刚说的请求银行、登陆、转账、还款的问题。虽然HTTP协议是无状态协议,但为了实现期望的保持状态功能,于是引入了cookie技术。有了cookie再用HTTP协议通信,就可以管理状态了。

Cookie概述

什么是cookie

cookie翻译成中文是小甜点、小饼干的意思。在HTTP中它表示从服务器送给客户端的小甜点。其实cookie是key-value结构,和python的字典比较类似。随着服务器端的响应发送给客户端浏览器,然后客户端浏览器会把cookie保存起来,当下一次再访问服务器时就把cookie再发送给服务器。

cookie是由服务器端创建,然后通过响应发送给客户端的一个键值对。客户端会保存cookie,并会标注cookie的来源。当客户端向服务器发出请求时会把所有这个服务器cookie的包含在请求中发送给服务器,这样服务器就可以识别客户端了。

让我们用代码级别来看一下cookie长什么样子?

首先我们需要新创建一个项目,然后设置路由规则:

urls.py

from app01 import views

urlpatterns = [
path('admin/', admin.site.urls),
path('login/', views.login),
]

views.py

from django.shortcuts import render,HttpResponse,redirect

# Create your views here.

def login(request):
return render(request, 'login.html')

login.html

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Login页面</title>
</head>
<body>
<form action="" method="post">
{% csrf_token %}
用户名 <input type="text" name="user">
密码 <input type="text" name="pwd">
<input type="submit" value="submit">
</form>
</body>
</html>

然后在model.py中创建模型类

from django.db import models

# Create your models here.

class UserInfo(models.Model):
user = models.CharField(max_length=32)
pwd = models.CharField(max_length=32)

使用数据库迁移命令来生成数据库:

python3 manage.py makemigrations

python3 manage.py migrate

最后在数据库中插入两条记录:

那么当我们把整个项目运行起来后,当我们输入用户名和密码如果正确之后,那么就在浏览器设置一个cookie然后响应给客户端,那么我们需要在views.py中去进行判断了:

from django.shortcuts import render,HttpResponse,redirect
from app01.models import UserInfo
# Create your views here. def login(request):
if request.method == 'POST':
user = request.POST.get('user')
pwd = request.POST.get('pwd') user = UserInfo.objects.filter(user=user, pwd=pwd).first()
if user:
response = HttpResponse('登陆成功')
response.set_cookie({'is_login': True})
return response return render(request, 'login.html')

此时咱们在浏览器输入正确的用户和密码后,让我们看下此次响应的内容:

此时的cookie已经放在响应体中了,当客户端向此服务器发送请求的时候,就会携带上这个cookie,当我们刷新此界面,就可以看到了携带了此cookie:

那么我们可以去模仿某网站了,如果你登陆过,那么就进入index界面,如果没有那就强制跳转到登陆界面。首先我们要写一条路由规则:

urls.py

from django.contrib import admin
from django.urls import path
from app01 import views urlpatterns = [
path('admin/', admin.site.urls),
path('login/', views.login),
path('index/', views.index),
]

views.py

from django.shortcuts import render,HttpResponse,redirect
from app01.models import UserInfo
# Create your views here. def login(request):
if request.method == 'POST':
user = request.POST.get('user')
pwd = request.POST.get('pwd') user = UserInfo.objects.filter(user=user, pwd=pwd).first()
if user:
response = HttpResponse('登陆成功')
response.set_cookie('is_login', True)
response.set_cookie('username', user.user)
return response return render(request, 'login.html') def index(request):
is_login = request.COOKIES.get('is_login')
if is_login:
username = request.COOKIES.get('username')
return render(request, 'index.html', locals())
else:
return redirect('/login/')

此时views.py中就是当用户再login界面登陆后,系统会设置cookie将当前状态和登陆用户名记录下来然后响应给客户端,然后当用户访问index界面中,首先就去判断用户是否登陆,如果没有登陆那么就重定向到login页面中,如果登陆则跳出欢迎界面。

index.html

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Index</title>
</head>
<body>
<h3>这是主界面</h3>
<p>hello,{{ username }}</p>
</body>
</html>

那么下图就是浏览器访问index所携带的cookie:

cookie源码

class HttpResponseBase:
def set_cookie(self, key, value='', max_age=None, expires=None, path='/',
domain=None, secure=False, httponly=False, samesite=None):
"""
Set a cookie. ``expires`` can be:
- a string in the correct format,
- a naive ``datetime.datetime`` object in UTC,
- an aware ``datetime.datetime`` object in any time zone.
If it is a ``datetime.datetime`` object then calculate ``max_age``.
"""
self.cookies[key] = value
if expires is not None:
if isinstance(expires, datetime.datetime):
if timezone.is_aware(expires):
expires = timezone.make_naive(expires, timezone.utc)
delta = expires - expires.utcnow()
# Add one second so the date matches exactly (a fraction of
# time gets lost between converting to a timedelta and
# then the date string).
delta = delta + datetime.timedelta(seconds=1)
# Just set max_age - the max_age logic will set expires.
expires = None
max_age = max(0, delta.days * 86400 + delta.seconds)
else:
self.cookies[key]['expires'] = expires
else:
self.cookies[key]['expires'] = ''
if max_age is not None:
self.cookies[key]['max-age'] = max_age
# IE requires expires, so set it if hasn't been already.
if not expires:
self.cookies[key]['expires'] = http_date(time.time() + max_age)
if path is not None:
self.cookies[key]['path'] = path
if domain is not None:
self.cookies[key]['domain'] = domain
if secure:
self.cookies[key]['secure'] = True
if httponly:
self.cookies[key]['httponly'] = True
if samesite:
if samesite.lower() not in ('lax', 'strict'):
raise ValueError('samesite must be "lax" or "strict".')
self.cookies[key]['samesite'] = samesite

那么通过这段源码我们可以看出来除了响应体设置cookie由key-value参数,还有一些其他的参数,例如超长时间max_age,cookie生效的路径path等。

cookie超长时间

有时候我们希望用户在登陆某网站一段时间后cookie就过期,那么我们就可以设置超长时间

views.py

from django.shortcuts import render,HttpResponse,redirect
from app01.models import UserInfo
# Create your views here. def login(request):
if request.method == 'POST':
user = request.POST.get('user')
pwd = request.POST.get('pwd') user = UserInfo.objects.filter(user=user, pwd=pwd).first()
if user:
response = HttpResponse('登陆成功')
response.set_cookie('is_login', True, max_age=20) # 超长时间
response.set_cookie('username', user.user)
return response return render(request, 'login.html') def index(request):
is_login = request.COOKIES.get('is_login')
if is_login:
username = request.COOKIES.get('username')
return render(request, 'index.html', locals())
else:
return redirect('/login/')

那么当我们用户登陆login页面后,再去访问index界面,等待15秒钟后会自动重定向到login界面。

cookie超长时间

expires默认None ,cookie失效的实际日期/时间。

这个和max_age不一样的是这个要写时间的字符串。

views.py

import datetime
date = datetime.datetime.strftime(year=2018, month=11, day=21, hour=3, minute=51, second=0) # 东八区 response.set_cookie('is_login', True, expires=date)

那么这样写的意思就是在2018年11月22日 上午11时51分00秒这个cookie失效。可以自行去测试的,这个我就不演示了。

cookie生效路径

cookie生效的路径,浏览器只会把cookie回传给带有该路径的页面,这样可以避免将cookie传给站点中的其他应用。也就是说:如果我的index页面需要cookie,那么我就只需要在path后面设置为此页面就可以了,其余的并不需要。

views.py

def login(request):
if request.method == 'POST':
user = request.POST.get('user')
pwd = request.POST.get('pwd') user = UserInfo.objects.filter(user=user, pwd=pwd).first()
if user:
response = HttpResponse('登陆成功')
import datetime
# date = datetime.datetime.strftime(year=2018, month=11, day=21, hour=3, minute=51, second=0) # 东八区 response.set_cookie('is_login', True, path='/login/')
response.set_cookie('username', user.user)
return response return render(request, 'login.html')

此时咱们设置的路径就是login页面,为了验证效果,当我们输入正确的信息后,当再次输入地址进入index界面中,因为cookie生效路径没有index,那么就会自动跳转到login页面了。

本次暂不演示。

删除cookie

response.delete_cookie("cookie_key",path="/",domain=name)

session

session是一个服务器端技术,利用这个技术,服务器在运行时可以为每一个用户的浏览器创建一个独享的session对象,由于session为用户浏览器独享,所以用户在访问服务器web资源时,可以把各自的数据存放在各自的session表中,当用户再去访问服务器中的其他web资源时,其他Web资源再从用户各自的session中取出数据为用户服务。

为什么用session而不是cookie

session基于cookie实现的会话跟踪,cookie存放在客户端一旦丢失的话就会对用户的数据构成威胁。

我们来看一下cookie的保存:

当我们输入正确的账号和密码后,由服务器端响应体设置的cookie就会传给客户端,那么客户端再次请求的时候就会拿这个cookie去请求,因为是明文的、存放在浏览器的将变的十分不安全。

那么让我们来看一下session怎么做的?

首先设置两条路由规则views.py:

path('login_session', views.login_session),
path('index_session', views.index_session),

同时设置视图函数views.py

# session
def login_session(request):
return render(request, 'login.html') def index_session(request):
return render(request, 'index.html')

那么session是怎么和cookie不同的呢?

views.py

def login_session(request):
if request.method == 'POST':
user = request.POST.get('user')
pwd = request.POST.get('pwd') user = UserInfo.objects.filter(user=user, pwd=pwd).first()
if user:
request.session['is_login'] = True
request.session['username'] = user.user return HttpResponse('登陆成功')
return render(request, 'login.html')

当我们去浏览器访问下可以看到此时的sessionid:

在这里不同的是session和cookie创建的步骤不同:

  1. 首先服务器端会生成随机字符串123dfdf
  2. 然后使用语句创建sessionid:request.set_cookid('sessionid','123dfdf)
  3. 最后在django_session表中创建一条记录:sessionid session_data

那么到最后返回到客户端的就是一个sessionid,当客户端浏览器再请求服务器时,服务器就会根据这个sessionid在djano_session表中查找这么一条记录,我们在创建数据库的时候django_session表已经自动创建好了。

那么此时咱们设置一个视图函数,看看session的数据是怎么找到的:

views.py

def index_session(request):
print(request.session.get('is_login'))
is_login = request.session.get('is_login')
if not is_login:
return redirect('/login_session/') username = request.session.get('username') return render(request, 'index.html', locals())

session去找数据也是三个步骤,首先要确认是不是第一次访问,如果是那么就添加词条记录,如果不是那就更新操作:

  1. 首先找到sessionid
  2. 通过sessionid去django_session表中找到这条记录
  3. 最后获取到session_data

session的其他方法

删除session值:del request.session['username']

views.py

def index_session(request):

    print(request.session.get('is_login'))
del request.session['username']
is_login = request.session.get('is_login')
if not is_login:
return redirect('/login_session/') # username = request.session.get('username') return render(request, 'index.html', locals())

那么此时咱们访问login_session后再访问index_session的时候,此时的username被我们删掉了,然后此时刷新界面是这样的:

flush():删除当前的会话数据并删除会话的Cookie。

logout.html

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Index</title>
</head>
<body>
<h3>这是主界面</h3>
<p>hello,{{ username }}</p>
<a href="/logout/">注销</a>
</body>
</html>

views.py

def logout(request):
request.session.flush() return redirect('/login_session/')

index.html

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Index</title>
</head>
<body>
<h3>这是主界面</h3>
<p>hello,{{ username }}</p>
<a href="/logout/">注销</a>
</body>
</html>

此时点击注销标签,此时就会删除当前会话的cookie。

session的设置

django中默认支持session的,并且默认是将Session数据存储在数据库中,即:django_session 表中。

配置settings.py

SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎(默认)

SESSION_COOKIE_NAME = "sessionid"                       # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认)
SESSION_COOKIE_PATH = "/" # Session的cookie保存的路径(默认)
SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默认)
SESSION_COOKIE_SECURE = False # 是否Https传输cookie(默认)
SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http传输(默认)
SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(默认)
SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否关闭浏览器使得Session过期(默认)
SESSION_SAVE_EVERY_REQUEST = False # 是否每次请求都保存Session,默认修改之后才保存(默认)

基于session上次登陆时间

views.py

def login_session(request):
if request.method == 'POST':
user = request.POST.get('user')
pwd = request.POST.get('pwd') user = UserInfo.objects.filter(user=user, pwd=pwd).first()
if user:
request.session['is_login'] = True
request.session['username'] = user.user import datetime
now = datetime.datetime.now().strftime('%Y-%m-%d %H:%M:%S')
request.session['time'] = now return HttpResponse('登陆成功')
return render(request, 'login.html')

index.html

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Index</title>
</head>
<body>
<h3>这是主界面</h3>
{# <p>hello,{{ username }}</p>#}
<p>上次登陆时间:{{ time }}</p>
<a href="/logout/">注销</a>
</body>
</html>

基于cookie也是类似的做法。

django会话跟踪技术的更多相关文章

  1. django——会话追踪技术

    1.引言 1.1什么是会话追踪技术 会话是指一个终端用户(服务器)与交互系统(客户端)进行通讯的过程. 1.2 什么是会话跟踪 对同一个用户对服务器的连续的请求和接受响应的监视.(将用户与同一用户发出 ...

  2. 04-cookies 会话跟踪技术

    1.会话跟踪技术 1.Http协议的无状态保存 会话理解为客户端与服务器之间的一次会晤,在一次会晤中可能会包含多次请求和响应 2 .会话路径技术使用Cookie或session完成 我们知道HTTP协 ...

  3. Cookie&Session会话跟踪技术

    今日内容学习目标 可以响应给浏览器Cookie信息[response.addCookie()] 可以接受浏览器Cookie信息[request.getCookies()] [创建cookie,设置pa ...

  4. cookie和session的区别与会话跟踪技术

    会话跟踪技术: HTTP是一种无状态协议,每当用户发出请求时,服务器就会做出响应,客户端与服务器之间的联系是离散的.非连续的.当用户在同一网站的多个页面之间转换时,根本无法确定是否是同一个客户,会话跟 ...

  5. Web开发中,用到的4种会话跟踪技术

    会话跟踪:主要解决HTTP的无状态问题,即: 当用户发出请求时,服务器就会做出响应,客户端与服务器之间的联系是离散的.非连续的.当用户在同一网站的多个页面之间转换时,根本无法确定是否是同一个客户,会话 ...

  6. 会话跟踪技术Cookieless

    会话跟踪技术Cookieless   在Web应用中,通常使用Cookie记录用户的状态,如用户名.访问时间等信息.当进行HTTP请求的时候,会自动发送Cookie信息给服务器.服务器接收到,就可以判 ...

  7. JavaWeb04-JSP及会话跟踪技术

    JSP入门 1 JSP概述 1.1 什么是JSP JSP(Java Server Pages)是JavaWeb服务器端的动态资源.它与html页面的作用是相同的,显示数据和获取数据. 1.2 JSP的 ...

  8. JavaEE基础(04):会话跟踪技术,Session和Cookie详解

    本文源码:GitHub·点这里 || GitEE·点这里 一.会话跟踪 1.场景描述 比如登录某个购物网站,身份识别成功后,在网站下单,支付 等操作,这些操作中当前登录用户信息必须是共享的,这样这些操 ...

  9. 四种会话跟踪技术以及jstl介绍

    四种会话跟踪技术 page:代表与一个页面相关的对象和属性.一个页面由一个编译好的 Java servlet 类(可以带有任何的 include 指令,但是没有 include 动作)表示.这既包括 ...

随机推荐

  1. UI 自动化测试 Macaca测试框架 安装时遇到的log

    https://macacajs.github.io/zh/environment-setup macaca run -d ./macaca-test/desktop-browser-sample.t ...

  2. 【Robot Framework 项目实战 00】环境搭建

    前言 我们公司在推广RF这个框架做后端接口测试,力求让同事们能更快的完成服务端需求的自动化,作为主导者之一,决定分享一些经验,方便后来者. 我会从安装部署.Request.selenium.自定义框架 ...

  3. ubuntu 常用设置

    ●1 问题:使用virt-manager创建虚拟机时,Virtual network 'default':NAT(Inactive) 解决方法:1,查看网络状态sudo virsh net-list ...

  4. NotifyIcon实现托盘程序

    NotifyIcon 控件的常用属性属性:Icon类型:System.Drawing.Icon说明:将在系统任务栏中显示的图标.可以在设计时指定,也可在运行时动态指定.属性:Text类型:String ...

  5. 『科学计算』科学绘图库matplotlib学习之绘制动画

    基础 1.matplotlib绘图函数接收两个等长list,第一个作为集合x坐标,第二个作为集合y坐标 2.基本函数: animation.FuncAnimation(fig, update_poin ...

  6. hdu-1404-博弈+打表

    Digital Deletions Time Limit: 4000/2000 MS (Java/Others)    Memory Limit: 65536/32768 K (Java/Others ...

  7. UVA-208 Firetruck (回溯)

    题目大意:给一张无向图,节点编号从1到n(n<=20),按字典序输出所有从1到n的路径. 题目分析:先判断从1是否能到n,然后再回溯. 注意:这道题有坑,按样例输出会PE. 代码如下: # in ...

  8. dp入门求最大公共子序列

    #include "bits/stdc++.h" using namespace std; ],b[]; ][]; int main() { cin >> a > ...

  9. HDOJ1005

    #include "iostream" using namespace std; int fun(int A,int B,int n) { ,y = ,z; || n == ) ; ...

  10. sql 2005 代码导入excel数据

     select * into bm from OpenDataSource( 'Microsoft.ACE.OLEDB.12.0', 'Data Source="G:\bm.xls" ...