Django组件 - cookie、session、用户认证组件

一、cookie

1、会话跟踪技术

1）什么是会话跟踪技术

我们需要先了解一下什么是会话！可以把会话理解为客户端与服务器之间的一次会晤，在一次会晤中可能会包含多次请求和响应。例如你给10086打个电话，你就是客户端，而10086服务人员就是服务器了。从双方接通电话那一刻起，会话就开始了，到某一方挂断电话表示会话结束。在通话过程中，你会向10086发出多个请求，那么这多个请求都在一个会话中。

在JavaWeb中，客户向某一服务器发出第一个请求开始，会话就开始了，直到客户关闭了浏览器会话结束。

在一个会话的多个请求中共享数据，这就是会话跟踪技术。例如在一个会话中的请求如下（请求银行主页）：

① 请求登录（请求参数是用户名和密码）；

② 请求转账（请求参数与转账相关的数据）；

③ 请求信用卡还款（请求参数与还款相关的数据）；

在以上会话中当前用户信息必须在这个会话中共享的，因为登录的是张三，那么在转账和还款时一定是相对张三的转账和还款！这就说明我们必须在一个会话过程中有共享数据的能力。

2）会话跟踪技术使用Cookie或session完成

我们知道HTTP协议是无状态保存协议，也就是说每个请求都是独立的！无法记录前一次请求的状态。但HTTP协议中可以使用Cookie来完成会话跟踪！在Web开发中，使用session来完成会话跟踪，session底层依赖Cookie技术。

2、Cookie概述

1）什么叫Cookie

Cookie翻译成中文是小甜点，小饼干的意思。在HTTP中它表示服务器送给客户端浏览器的小甜点。其实Cookie是key-value结构，类似于一个python中的字典，随着服务器端的响应发送给客户端浏览器，然后客户端浏览器会把Cookie保存起来，当下一次再访问服务器时把Cookie再发送给服务器。 Cookie是由服务器创建，然后通过响应发送给客户端的一个键值对。客户端会保存Cookie，并会标注出Cookie的来源（哪个服务器的Cookie）。当客户端向服务器发出请求时会把所有这个服务器Cookie包含在请求中发送给服务器，这样服务器就可以识别客户端了！如图所示：

2）Cookie规范

　　　　① Cookie大小上限为4KB；

　　　　② 一个服务器最多在客户端浏览器上保存20个Cookie（即Cookie字典中保存20个键值对）；

　　　　③ 一个浏览器最多保存300个Cookie（即300个Cookie字典）；

　　上面的数据只是HTTP的Cookie规范，但在浏览器大战的今天，一些浏览器为了打败对手，为了展现自己的能力起见，可能对Cookie规范“扩展”了一些，例如每个Cookie的大小为8KB，最多可保存500个Cookie等！但也不会出现把你硬盘占满的可能！

　　注意，不同浏览器之间是不共享Cookie的。也就是说在你使用IE访问服务器时，服务器会把Cookie发给IE，然后由IE保存起来，当你在使用FireFox访问服务器时，不可能把IE保存的Cookie发送给服务器。

3）Cookie与HTTP头（Cookie是通过HTTP请求和响应头在客户端和服务器端传递的）

Cookie：请求头，客户端发送给服务器端；

格式：Cookie: a=A; b=B; c=C。即多个Cookie用分号离开；

Set-Cookie：响应头，服务器端发送给客户端；

一个Cookie对象一个Set-Cookie： Set-Cookie: a=A Set-Cookie: b=B Set-Cookie: c=C；

4）Cookie的覆盖

如果服务器端发送重复的Cookie那么会覆盖原有的Cookie，例如客户端的第一个请求服务器端发送的Cookie是：Set-Cookie: a=A；第二请求服务器端发送的是：Set-Cookie: a=AA，那么客户端只留下最后一个Cookie，即：a=AA。

5）django中的cookie语法

a、设置cookie

　　　　rep = HttpResponse(...) 或 rep ＝ render(request, ...) 或 rep ＝ redirect()
　　　　rep.set_cookie(key,value,max_age, ...)    # 设置cookie
　　　　rep.set_signed_cookie(key,value,salt='加密盐', ...)　  # 设置cookie，加密

set_cookie()源码以及参数解释：

　　'''
　　class HttpResponseBase:
　　　　def set_cookie(self, key,   键。
　　　　　　　　value='',            值。
　　　　　　　　max_age=None,        超长时间，Cookie需要延续的时间（以秒为单位），如果参数是None ，这个Cookie会延续到浏览器关闭为止; max_age=3600*24*7表示一周。
　　　　　　　　expires=None,        超长时间，expires默认None ,Cookie失效的实际日期/时间，有些浏览器不兼容，一般不用。
　　　　　　　　path='/',            Cookie生效的路径，浏览器只会把Cookie回传给带有该路径的页面，这样可以避免将Cookie传给站点中的其他的应用。/ 表示根路径，特殊的：根路径的Cookie可以被任何url的页面访问。
　　　　　　　　domain=None,         Cookie生效的域名，你可用这个参数来构造一个跨站cookie。如， domain=".example.com" 所构造的cookie对下面这些站点都是可读的： www.example.com 、 www2.example.com和an.other.sub.domain.example.com 。如果该参数设置为 None ，Cookie只能由设置它的站点读取。
　　　　　　　　secure=False,        如果设置为 True ，浏览器将通过HTTPS来回传Cookie。
　　　　　　　　httponly=False       只能http协议传输，无法被JavaScript获取（不是绝对，底层抓包可以获取到也可以被覆盖）): pass
　　'''

b、获取cookie

　　request.COOKIES，即得到cookie的键值对，可按字典方式取值，例如：
　　request.COOKIES.get("username")
　　request.COOIKES.get("is_login")

c、删除cookie

　　response.delete_cookie("cookie_key",path="/",domain=name)

3、练习：

　　案例一：显示上次访问时间。

　　案例二：显示上次浏览过的商品。

二、session

1、django中的session语法

session是服务器端技术，利用这个技术，服务器在运行时可以为每一个用户的浏览器创建一个其独享的session对象，由于session为用户浏览器独享，所以用户在访问服务器的web资源时，可以把各自的数据放在各自的session中，当用户再去访问该服务器中的其它web资源时，其它web资源再从用户各自的session中 取出数据为用户服务。

1） 设置session值

    request.session['session_name'] ="admin"

2） 获取session值

    session_name = request.session["session_name"]

3） 删除session值（只删除当前的会话数据，即删除服务器端session表中该用户记录）

    del request.session["session_name"]

4） flush() 删除 - （删除当前的会话数据并删除会话的cookie，确保前面的会话数据不可以再次被用户的浏览器访问，用于注销）

    request.session.flush()

2、其他语法

　　1）get(key, default=None)
        fav_color = request.session.get('fav_color', 'red')
　　2）pop(key)
        fav_color = request.session.pop('fav_color')
　　3）keys()
　　4）items()
　　5）setdefault()
　　6）用户session的随机字符串
        request.session.session_key

        # 将所有session失效日期小于当前日期的数据删除
        request.session.clear_expired()

        # 检查用户session的随机字符串是否在数据库中
        request.session.exists("session_key")

        # 删除当前用户的所有session数据
        request.session.delete("session_key")

        request.session.set_expiry(value)
            * 如果value是个整数，session会在些秒数后失效。
            * 如果value是个datatime或timedelta，session就会在这个时间后失效。
            * 如果value是0,用户关闭浏览器session就会失效。
            * 如果value是None,session会依赖全局session失效策略。

3、session配置

Django默认支持session，并且默认是将session数据存储在数据库中，即django_session表中。

配置settings.py：

　　SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎（默认）

　　SESSION_COOKIE_NAME ＝ "sessionid"       # session的cookie保存在浏览器上时的key，即：sessionid＝随机字符串（默认）
　　SESSION_COOKIE_PATH ＝ "/"                # Session的cookie保存的路径（默认）
　　SESSION_COOKIE_DOMAIN = None              # Session的cookie保存的域名（默认）
　　SESSION_COOKIE_SECURE = False             # 是否Https传输cookie（默认）
　　SESSION_COOKIE_HTTPONLY = True      # 是否Session的cookie只支持http传输（默认）
　　SESSION_COOKIE_AGE = 1209600          # Session的cookie失效日期（2周）（默认）
　　SESSION_EXPIRE_AT_BROWSER_CLOSE = False    # 是否关闭浏览器使得Session过期（默认）
　　SESSION_SAVE_EVERY_REQUEST = False              # 是否每次请求都保存Session，默认修改之后才保存（默认）

4、练习：

　　1）登录案例（思考，如果第二个人再次再同一个浏览器上登录，django-session表会怎样？）

　　2）验证码案例（验证码可以去识别发出请求的是人还是程序！当然，如果聪明的程序可以去分析验证码图片！但分析图片也不是一件容易的事，因为一般验证码图片都会带有干扰线，人都看不清，那么程序一定分析不出来。

三、用户认证组件

1、auth模块

    from django.contrib import auth

django.contrib.auth中提供了许多方法，这里主要介绍其中的三个：

1）authenticate()

它提供了用户认证，即验证用户名以及密码是否正确,一般需要username和password两个关键字参数。如果认证信息有效，会返回一个 User 对象。authenticate()会在User 对象上设置一个属性标识那种认证后端认证了该用户，且该信息在后面的登录过程中是需要的。当我们试图登录一个从数据库中直接取出来不经过authenticate()的User对象会报错的！！

　　user_obj = auth.authenticate(username="someone",password="somepassword")
　　# 去auth_user表中查询记录，查询成功则返回用户对象，查询失败返回None

2）login(HttpRequest, user)　

该函数接受一个HttpRequest对象，以及一个认证了的User对象。

此函数使用django的session框架给某个已认证的用户附加上sessionid等信息。

　　from django.contrib import auth

　　def my_view(request):
　　　　username = request.POST['username']
　　　　password = request.POST['password']
　　　　user_obj = auth.authenticate(username=username, password=password)
　　　　if not user_obj:                      # 成立表示去auth_user表认证成功
　　　　　　auth.login(request, user_obj)    # 则保存用户状态
　　　　　　# Redirect to a success page.
　　　　else:
　　　　　　# Return an 'invalid login' error message.

3）logout(HttpRequest) - 注销用户　　

该函数接受一个HttpRequest对象，无返回值。当调用该函数时，当前请求的session信息会全部清除。该用户即使没有登录，使用该函数也不会报错。

　　from django.contrib import auth

　　def logout_view(request):
　　　　auth.logout(request)
　　　　# Redirect to a logout success page

2、User对象

    from django.contrib.auth.models import User

User 对象属性：username，password（这两个是必填项，password用哈希算法保存到数据库）

1）User对象的 is_authenticated()

如果是真正的 User 对象，is_authenticated()的返回值恒为 True 。用于检查用户是否已经通过了认证。通过认证并不意味着用户拥有任何权限，甚至也不检查该用户是否处于激活状态，这只是表明用户成功的通过了认证。这个方法很重要, 在后台用request.user.is_authenticated()判断用户是否已经登录，如果true则可以向前台展示request.user.username。

现有需求：

a、用户登陆后才能访问某些页面；

b、如果用户没有登录就访问该页面的话直接跳到登录页面；

c、用户在跳转的登陆界面中完成登陆后，自动访问跳转到之前访问的地址；

方法一：

　　def my_view(request):
　　　　if not request.user.is_authenticated():
　　　　　　return redirect('%s?next=%s' % (settings.LOGIN_URL, request.path))

方法二：django已经为我们设计好了一个用于此种情况的装饰器：login_requierd()

　　from django.contrib.auth.decorators import login_required
　　@login_required
　　def my_view(request):
　　　　...

若用户没有登录，则会跳转到django默认的登录URL '/accounts/login/ ' (这个值可以在settings文件中通过LOGIN_URL进行修改，如：LOGIN_URL='/login/')。并传递当前访问url的绝对路径 (登陆成功后，会重定向到该路径)。

2）创建用户（使用create_user辅助函数创建用户）

　　from django.contrib.auth.models import User
　　# 向auth_user表中添加一条用户信息记录
　　user = User.objects.create_user（username='',password='',email=''）
　　# 跟以前的objects.create()的区别是create_user添加的记录密码字段是加密的

3）密码检查

　　# 用户要修改密码的时候，首先让他输入原来的密码，若给定的字符串通过了密码检查，返回True
　　check_password(passwd)

4）修改密码

　　# 使用set_password() 来修改密码
　　user = User.objects.get(username=request.user.username)
　　user.set_password(raw_password="newpassword")
　　user.save()

3、简单示例

注册：

　　def sign_up(request):
　　　　state = None
　　　　if request.method == 'POST':
　　　　　　password = request.POST.get('password', '')
　　　　　　repeat_password = request.POST.get('repeat_password', '')
　　　　　　email = request.POST.get('email', '')
　　　　　　username = request.POST.get('username', '')
　　　　　　if User.objects.filter(username=username):
　　　　　　　　state = 'user_exist'
　　　　　　else:
　　　　　　　　new_user=User.objects.create_user(username=username, password=password,email=email)
　　　　　　　　new_user.save()

　　　　　　　　return redirect('/book/')
　　　　content = {
　　　　　　'state': state,
　　　　　　'user': None,}
　　　　return render(request, 'sign_up.html', content)　

修改密码：

　　@login_required
　　def set_password(request):
　　　　user = request.user
　　　　state = None
　　　　if request.method == 'POST':
　　　　　　old_password = request.POST.get('old_password', '')
　　　　　　new_password = request.POST.get('new_password', '')
　　　　　　repeat_password = request.POST.get('repeat_password', '')
　　　　　　if user.check_password(old_password):
　　　　　　　　if not new_password:
　　　　　　　　　　state = 'empty'
　　　　　　　　elif new_password != repeat_password:
　　　　　　　　　　state = 'repeat_error'
　　　　　　　　else:
　　　　　　　　　　user.set_password(new_password)
　　　　　　　　　　user.save()
　　　　　　　　　　return redirect("/log_in/")
　　　　　　else:
　　　　　　　　state = 'password_error'
　　　　content = {
　　　　　　'user': user,
　　　　　　'state': state,
　　　　}
　　　　return render(request, 'set_password.html', content)