Cookie : 指望着为了辨别用户身份、进行会话跟踪而存储在用户本地的数据(通常经过加密),是由服务端生成,发送给客户端浏览器,浏览器会将Cookie以key/value保存,下一请求同一网站是就发送该Cookie给服务器

Django中写cookie:  response.set_cookie(键,值,max_age=秒), 默认浏览器关闭过期

Django读cookie:  request.COOKIE.get(键) 

Session:客户端在服务器上的身份标识,是一种无状态的持久机制,需要存储空间的,session是依赖于Cookie存在的,以鉴值对的格式保存在服务器上,内容会被加密

保存方式: 

 1.关系型数据库

 2.缓存———》本地内存,常用的有redis

在Django中操作session,保存在redis中的简单步骤
1.配置setting.py
2.写:request.session[键]=值
3.读:request.session.get(键)

sesion的保存和获取流程图

第一步: 浏览器访问A网站====>1.服务器端首次写入session,如session["name"] = "AAA"
                                                   2.服务器端生成唯一标识符(随机字符串)
                                                   3.服务器端向redis中保存=====>格式:键值对
                                                                   键:唯一标识符
                                                                   值:加密的字典:{"name":"AAA"} # 在redis中保存的键值对并不是name:AAA
        
                                                   4.服务器端将唯一标识符保存到cookie中===>格式:键值对
                                                                                                键:session_id
                                                                                                值:唯一标识符(如图所示)
                                                                            
                                                   5.到此就能保存每个用户的浏览器保存的session信息都不一样
                                
第二步:  浏览器保存服务器返回的cookie信息
        
第三步:  当用户再次访问该网站时,浏览器自动携带所有相关的cookie信息(包括session_id)
            ====>1.服务器读取cookie,从中获取到session_id
                       2.根据session_id获取对应的唯一标识符
                       3.通过唯一标识符,作为键 ,去redis中获取对应的值(加密的字典{"name":"ywk"})
                       4.解密字典,获取session真正的信息

JWT : 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制

为什么使用JWT:

由于Http协议是一种无状态的协议,若用户向我们的应用提供了用户名和密码进行用户认证,那下一次请求时,用户需要再一次进行用户认证,因为http协议,并不能知道是哪个用户发出的请求,为了让应用能识别是哪个用户发出的请求,只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时用户访问应用时能识别请求来自哪个用户,这就是为什么使用session认证

但是由于不同客户端的增加,独立的服务器会无法承载更多的用户,使用session会暴露更多的问题,例如

扩展性:用户认证之后,服务端做认证记录,记录会保存在内存中,用户下次请求时就必须在这台服务器上才能拿到授权的资源,这样在分布式的应用上,限制了负载均衡器的能力,也限制了应用的扩展能力

CSRF:跨域请求伪造,截获浏览器上的cookie,发送恶意请求

这时候就需要使用token的鉴权机制了

Token:服务端生成的一串字符串,有唯一标识。是用户第一次登陆后,服务器生成一个token并将此token返回给客户端,以后客户端再次请求数据时只需要带上这个token,不需要再次带上用户名和密码

流程:

  1.用户使用用户名和密码请求服务器

  2.服务器进行验证用户的信息

  3.服务器通过验证发送给用户一个token  

  4.客户端存储token,并在每次请求是附送这个token值  

  5.服务端验证token,并返回数据

JWT的构成:头部(headler)载荷(payload)签证(signature),头部是使用 HMAC SHA256的算法加密,剩下2个是使用base64的算法加密

JWT的使用:在Django中使用Django REST framework JWT扩展来完成。

      文档网站:http://getblimp.github.io/django-rest-framework-jwt/

使用步骤:

1. 安装:

pip install djangorestframework-jwt

2. 配置:

# 身份认证的方式:JWT session
'DEFAULT_AUTHENTICATION_CLASSES': (
# 前后端分离使用jwt验证
'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
# 访问admin后台使用session
'rest_framework.authentication.SessionAuthentication',
),
}
  
# 过期时间为10小时
JWT_AUTH = {
  # timedelta 时间差
   'JWT_EXPIRATION_DELTA': datetime.timedelta(hours=10),
  }
  • JWT_EXPIRATION_DELTA 指明token的有效期

3. 使用

在创建user对象的时候手动生成token

from rest_framework_jwt.settings import api_settings

jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER payload = jwt_payload_handler(user)
token = jwt_encode_handler(payload)

4. 在序列化中定义增加字段token

from rest_framework_jwt.settings import api_settings

# 创建用户序列化器
class CreateUserSerializer(serializers.Serializer): ... # token字段
token = serializers.CharField(label='登录状态token', read_only=True) ...
def create(self, validated_data):
"""
创建用户
"""
user=User()
...
user.save() # 生成记录登录状态的token
jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER
payload = jwt_payload_handler(user)
token = jwt_encode_handler(payload)
user.token = token return user

Django中的Cookie、Session、Token的更多相关文章

  1. {Django基础八之cookie和session}一 会话跟踪 二 cookie 三 django中操作cookie 四 session 五 django中操作session

    Django基础八之cookie和session 本节目录 一 会话跟踪 二 cookie 三 django中操作cookie 四 session 五 django中操作session 六 xxx 七 ...

  2. django中操作cookie与session

    cookie 什么是Cookie Cookie具体指的是一段小信息,它是服务器发送出来存储在浏览器上的一组组键值对,下次访问服务器时浏览器会自动携带这些键值对,以便服务器提取有用信息. Cookie的 ...

  3. Django中的Cookie和Session操作以及CBV

    1.Cookie 平常我们在浏览网页的时候,在需要输入密码的地方,如果已经登陆了一次,并且时间间隔比较近的话,是不需要登陆的,为什么了?这就是Cookie的作用. Cookie(或Cookies)指某 ...

  4. Django 中的 cookie 和 session

    一.cookie 由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的.Cookie诞生的最初目的是为了存储web中的状态信息,以方便服务器端使用.比如判断用户是否是第一次访问网站.目前最新的 ...

  5. 如何使用django中的cookie和session?

    1.Cookie 介绍 Cookie是由服务器端生成,发送给User-Agent(一般是浏览器),浏览器会将Cookie的key/value保存到某个目录下的文本文件内,下次请求同一网站时就发送该Co ...

  6. python Django中的cookie和session

    目录 Cookie 1.1获取Cookie 1.2设置Cookie Session 1.数据库Session 2.缓存Session 3.文件Session 4.缓存+数据库Session Cooki ...

  7. django基础之day10,cookie session token

    https://www.cnblogs.com/Dominic-Ji/p/10886902.html cookie session token

  8. Django学习手册 - cookie / session

    cookie """ cookie属性: obj.set_cookie(key,value,....) obj.set_signed_cookie(key,value,s ...

  9. Python Web学习笔记之Cookie,Session,Token区别

    一.Cookie,Session,Token简介 # 这三者都解决了HTTP协议无状态的问题 session ID or session token is a piece of data that i ...

随机推荐

  1. 你真的懂了redis的数据结构吗?redis内部数据结构和外部数据结构揭秘

    原文链接:https://mp.weixin.qq.com/s/hKpAxPE-9HJgV6GEdV4WoA Redis有哪些数据结构? 字符串String.字典Hash.列表List.集合Set.有 ...

  2. Linux--------------mysql的安装

    工具: 1>Centos6.8 2>Jdk1.7 3>Mysql5.7 1.下载mysql        wget http://dev.mysql.com/get/Download ...

  3. c++,类的对象作为形参时一定会调用复制构造函数吗?

    c++,类的对象作为形参时一定会调用复制构造函数吗? 答:如果参数是引用传递,则不会调用任何构造函数:如果是按值传递,则调用复制构造函数,按参数的值构造一个临时对象,这个临时对象仅仅在函数执行是存在, ...

  4. WOJ1109 奶牛排队

    题目链接: WOJ1109 题目描述: 奶牛在熊大妈的带领下排成了一条直队. 显然,不同的奶牛身高不一定相同-- 现在,奶牛们想知道,如果找出一些连续的奶牛,要求最左边的奶牛A是最矮的,最右边的B是最 ...

  5. 线段树(区间合并) HDOJ 3308 LCIS

    题目传送门 题意:线段树操作:1. 单点更新 2. 求区间的LCIS(longest consecutive increasing subsequence) 分析:注意是连续的子序列,就是简单的区间合 ...

  6. ios NSFileManager 用法详解

    转自:http://blog.csdn.net/ios_che/article/details/7287266 iPhone文件系统NSFileManager讲解是本文要介绍的内容,主要是通过ipho ...

  7. HAL之串口

    在STM32cubeMX中 1 外设功能打开 2 GPIO对应管脚的串口功能打开 3 对应GPIO引脚的配置 4串口的配置,中断的设置 在MDK中 5.1 串口初始化MX_USART1_UART_In ...

  8. javascript回调函数那些事~

    什么是回调函数? 回调函数就是一个通过函数指针调用的函数.如果你把函数的指针(地址)作为参数传递给另一个函数,当这个指针被用为调用它所指向的函数时,我们就说这是回调函数.回调函数不是由该函数的实现方直 ...

  9. CF750C New Year and Rating

    题意: 在cf系统中,给定一个人每次比赛所属的div及比赛之后的分数变化.计算经过这些比赛之后此人的rating最高可能是多少. 思路: 模拟. 实现: #include <cstdio> ...

  10. 解决Ueditor在bootstarp 模态框中全屏问题

    基本的一些配置就不说了.先说一下要注意的问题:首先是zIndex的设置.记住最好都显示设置模态框和ueditor的zIndex.理清他们的层叠关系. 特别是用到ueditor里面的图片上传功能的更要设 ...