cookie和session的介绍

1.cookie和session

cookie不属于http协议范围，由于http协议无法保持状态，但实际情况，我们却又需要“保持状态”，因此产生cookie。

cookie的工作原理是：由服务器产生内容，浏览器收到请求后保存在本地；当浏览器再次访问时，浏览器会自动带上cookie，这样服务器就能通过cookie的内容来判断这个是“谁”了。

cookie虽然在一定程度上解决了“保持状态”的需求，但是由于cookie本身最大支持4096字节，以及cookie本身保存在客户端，可能被拦截或窃取，因此就需要有一种新的东西，它能支持更多的字节，并且他保存在服务器，有较高的安全性。这就是session。

基于http协议的无状态特征，服务器根本就不知道访问者是“谁”。那么上述的cookie就起到桥接的作用。

我们可以给每个客户端的cookie分配一个唯一的id，这样用户在访问时，通过cookie，服务器就知道来的人是“谁”。然后我们再根据不同的cookie的id，在服务器上保存一段时间的私密资料，如“账号密码”等等。

总结而言：cookie弥补了http无状态的不足，让服务器知道来的人是“谁”；但是cookie以文本的形式保存在本地，自身安全性较差；所以我们就通过cookie识别不同的用户，对应的在session里保存私密的信息以及超过4096字节的文本。

2.登陆应用原理

之前所写的登录认证，可以绕过登陆页面直接输入后台的url地址也可以直接访问，这显然是不合理的。此时我们就需要一种验证机制来执行他的访问顺序,这就引出了我们需要掌握的cookie和session知识。

每当使用浏览器访问登陆页面的时候，一旦通过了认证，服务器端就会发送一组随机唯一的字符串（假设是123abc）到浏览器端，这个被存储在浏览端的东西就叫cookie。而服务器端也会自己存储一下用户当前的状态，比如login=true，username=hahaha之类的用户信息。但是这种存储是以字典形式存储的，字典的唯一key就是刚才发给用户的唯一的cookie值。那么如果在服务器端查看session信息的话，理论上就会看到如下样子的字典

{'123abc':{'login':true,'username:hahaha'}}

因为每个cookie都是唯一的，所以我们在电脑上换个浏览器再登陆同一个网站也需要再次验证。那么为什么说我们只是理论上看到这样子的字典呢？因为处于安全性的考虑，其实对于上面那个大字典不光key值123abc是被加密的，value值{'login':true,'username:hahaha'}在服务器端也是一样被加密的。所以我们服务器上就算打开session信息看到的也是类似与以下样子的东西

{'123abc':dasdasdasd1231231da1231231}

3.cookie的使用

3.1.获取cookie

request.COOKIES.get("islogin",None)  #如果有就获取，没有就默认为none

3.2.设置cookie

obj = redirect("/index/")
  obj.set_cookie("islogin",True)  #设置cookie值，注意这里的参数，一个是键，一个是值
  obj.set_cookie("han","",20)  #20代表过期时间
  obj.set_cookie("username", username)

3.3.删除cookie

obj.delete_cookie("cookie_key",path="/",domain=name)

3.4代码演示

login.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

<form action="" method="post">
    {% csrf_token %}
   用户名 <input type="text" name="user">
   密码 <input type="password" name="pwd">
    <input type="submit">
</form>

</body>
</html>

index.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h3>个人首页 上次登陆时间：{{ login_time }}</h3>
<p>Hi，{{ username }}<a href="/logout/">注销</a></p>
</body>
</html>

url.py

from app01 import views
urlpatterns = [
    path('admin/', admin.site.urls),
    path('login/', views.login),
    path('index/', views.index),
　　path('logout/', views.logout),
]

views.py

import datetime
def login(request):
    if request.method=="POST":
        print("请求数据", request.POST)
        # 请求数据 <QueryDict: {'user': ['luffy'],
        # 'csrfmiddlewaretoken': ['HNPVaawl2uIskjF5ecDu4sCQ0ogHlJolmoJ3QwNUMJq6bjb2mvTYoTEQfkaU1nlZ'],
        # 'pwd': ['1234']}>
        user=request.POST.get("user")
        pwd=request.POST.get("pwd")
        if user=="luffy" and pwd=="":
            obj=redirect("/index/")
            # 设置cookie值，注意这里的参数，一个是键，一个是值
            obj.set_cookie("is_login",True)
            obj.set_cookie("username",user)
            obj.set_cookie("login_time",datetime.datetime.now())
            return obj
    return render(request, "login.html")

def index(request):
    print("cookies>>>",request.COOKIES)
    # cookies>>> {'username': 'luffy',
    # 'csrftoken': 'VhnK7pMOMZaXkxnxAVR2mdOFNssjqQCgAShSNL3nweSBbxTuIe7wGEQF2omw6uzU',
    # 'login_time': '2018-07-05 22:43:37.046751',
    # 'Hm_lvt_382f81c966395258f239157654081890': '1530776325',
    # 'is_login': 'True'}
    is_login=request.COOKIES.get("is_login")
    if not is_login:
        return redirect("/login/")
    username=request.COOKIES.get("username")
    login_time=request.COOKIES.get("login_time")
    return render(request,"index.html",locals())

def logout(request):
　　# 注意，我使用的是session来操作的
    request.session.flush()
    return redirect("/login/")

效果：

点击提交后：

点击注销后，返回到登陆主页面,此时你无法通过url直接访问index页面，服务器已经把当前的cookie给清空了

3.5 cookie存储到客户端

优点：数据存储在客户端。减轻服务端的压力，提高网站的性能

缺点：安全性不高，在客户端很容易被查看或破解用户会话信息

4.session的使用

4.1相关操作

1、设置Sessions值
          request.session['session_name'] ="admin"
2、获取Sessions值
          session_name = request.session["session_name"]
3、删除Sessions值
          del request.session["session_name"]
4、flush()
     删除当前的会话数据并删除会话的Cookie。
     这用于确保前面的会话数据不可以再次被用户的浏览器访问

4.2session配置

Django默认支持Session，并且默认是将Session数据存储在数据库中，即：django_session 表中。

a. 配置 settings.py

    SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎（默认）

    SESSION_COOKIE_NAME ＝ "sessionid"                       # Session的cookie保存在浏览器上时的key，即：sessionid＝随机字符串（默认）
    SESSION_COOKIE_PATH ＝ "/"                               # Session的cookie保存的路径（默认）
    SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名（默认）
    SESSION_COOKIE_SECURE = False                            # 是否Https传输cookie（默认）
    SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http传输（默认）
    SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期（2周）（默认）
    SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否关闭浏览器使得Session过期（默认）
    SESSION_SAVE_EVERY_REQUEST = False                       # 是否每次请求都保存Session，默认修改之后才保存（默认）

4.3代码演示

　　这里代码和上个案例最终效果一模一样，不过在session里面增添了数据库的操作，而且session相关的数据都存放在数据库中

login.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

<form action="" method="post">
    {% csrf_token %}
   用户名 <input type="text" name="user">
   密码 <input type="password" name="pwd">
    <input type="submit">
</form>

</body>
</html>

index.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h3>个人首页 上次登陆时间：{{ login_time }}</h3>
<p>Hi，{{ username }}<a href="/logout/">注销</a></p>
</body>
</html>

models.py

class User(models.Model):
    user=models.CharField(max_length=32)
    pwd=models.CharField(max_length=32)

url.py

from app01 import views
urlpatterns = [
    path('login_session/', views.login_session),
    path('index_session/', views.index_session),
    path('logout/', views.logout),
]

views.py

from django.shortcuts import render,redirect

# Create your views here.
import datetime

from app01.models import User
def login_session(request):
    if request.method=="POST":
        user=request.POST.get("user")
        pwd=request.POST.get("pwd")
        if User.objects.filter(user=user,pwd=pwd):
            # 写session
            request.session["is_login"]=True
            request.session["username"]=user
            request.session["login_time"]=datetime.datetime.now().strftime("%Y-%m-%d %X")
            return redirect("/index_session/")
    return render(request, "login.html")

def index_session(request):
    is_login=request.session.get("is_login")
    if not is_login:
        return redirect("/login_session/")

    username = request.session.get("username")
    login_time = request.session.get("login_time")
    return render(request,"index.html",locals())

def logout(request):
    request.session.flush()
    '''
     1 获取随机字符串sessionid   2t2g0q1njiq6ndct31vumwkplkilcj7o
     2 在服务器的django-session表中存在三个字段
       session-key                 session-data                              expire_date
       123sasd3j980adnj3289asb     {"is_login":True,"username":"alex"}        设置的失效时间

       obj=django-session.objects.filter(session-key=2t2g0q1njiq6ndct31vumwkplkilcj7o).first()
       obj.delete()

     3 response.delete_cookie("sessionid")

    '''

    return redirect("/login_session/")

session在django中自己创建的数据路django_session

5.cookie和session的区别

1、cookie数据存放在客户的浏览器上，session数据放在服务器上。

2、cookie不是很安全，别人可以分析存放在本地的COOKIE并进行COOKIE欺骗
   考虑到安全应当使用session。

3、session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能
   考虑到减轻服务器性能方面，应当使用COOKIE。

4、单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie。

5、建议：
   将登陆信息等重要信息存放为SESSION
   其他信息如果需要保留，可以放在COOKIE中

6.清理过期session

　　如果用户主动退出，session会自动清除，如果没有退出就一直保留，记录数越来越大，要定时清理没用的session。

在django中运行如下命令:

python manage.py clearsessions

当然在pycharm中还有另外一条路径，这里就不做说明了