cookie和session以及token

cookie和seesion以及token 技术都基于状态保持，

cookie:

​ 有服务器生成， 以 k：v 形式保持在浏览器端，下次请求服务器，附带cookie信息；存在恶意修改可能；可以对cookie进行加码；cookie 是不可跨域的；

cookie只能保存ASCII字符串

使用：

a).会话状态管理（如用户登录状态，购物车，游戏分数或其它需要记录的信息）

b).个性化设置（如用户自定义设置，主题等）

c).浏览器行为跟踪（如跟踪分析用户行为等

Python对cookie操作：

# 获取cookiePython
request.COOKIES['key']
# 设置cookie
必须使用response
reponse.set_cookie(key,value）

# 删除cookie
必须使用response
respnse.delete_cookie("key")

session：

​ 为了解决cookie存储的安全性，在服务器进行状态保持一种方式，认证登陆用户生成一个sessionID,浏览器一般采用cookie的方式保存；但会增加服务器开销，影响服务器的扩张，跨域资源共享 CORS，CSRF跨站请求伪造

请求过程：

1 第一次访问服务器，会根据用户提交信息，创建对于session,并返回浏览器 ，会将信息存在cookie中，cookie会记录是那个域名的；

2 第二访问服务器是请求会自动查看有此域名有没有cookie信息，存在就发送服务器，服务器端从cookie中获取session。

# 获取、设置、删除Session中数据

request.session['k1']

request.session.get('k1',None)

request.session['k1'] = 123

request.session.setdefault('k1',123) # 存在则不设置

del request.session['k1']

# 所有 键、值、键值对

request.session.keys()

request.session.values()

request.session.items()

request.session.iterkeys()

request.session.itervalues()

request.session.iteritems()

# 会话session的key

request.session.session_key

# 将所有Session失效日期小于当前日期的数据删除

request.session.clear_expired()

# 检查会话session的key在数据库中是否存在

request.session.exists("session_key")

# 删除当前会话的所有Session数据

request.session.delete()

　　

# 删除当前的会话数据并删除会话的Cookie。

request.session.flush() 

    这用于确保前面的会话数据不可以再次被用户的浏览器访问

    例如，django.contrib.auth.logout() 函数中就会调用它。

# 设置会话Session和Cookie的超时时间

request.session.set_expiry(value)

    * 如果value是个整数，session会在些秒数后失效。

    * 如果value是个datatime或timedelta，session就会在这个时间后失效。

    * 如果value是0,用户关闭浏览器session就会失效。

    * 如果value是None,session会依赖全局session失效策略。

def auth(func):
    ''' 装饰器，检查当前游览器cookies里logname是否存在已登录的帐号，如果存在，则继续执行下面的函数，返回计划进入的url'''
    def inner(request,*args,**kwargs):
        v = request.COOKIES.get('logname')
        if not v:
            return redirect('/')
        return func(request,*args,**kwargs)
    return inner

def login(request):
    '''登录url '''
    if request.method == 'GET':
        return render(request,'login.html')

def index(request):
    if request.method == 'GET':
       '''get模式，获取cookies的logname帐号名，如果为空则返回登录页面 '''
        u = request.COOKIES.get('logname')
        if not u:
            return redirect('/')
        if request.COOKIES['logname'] == 'admin':
            alluser = models.UserName.objects.exclude(uname='admin')
        else:
            # loguser = request.session['username']
            loguser = request.COOKIES['logname']
            alluser = models.UserName.objects.filter(uname=loguser)
        return render(request, 'index.html', {'u_list': alluser})
    if request.method == 'POST':
        '''帐号登录验证 '''
        logname = request.POST.get('logname',None)
        logpwd = request.POST.get('logpwd',None)
        if models.UserName.objects.filter(uname=logname):
            if models.UserName.objects.filter(uname=logname,upwd=logpwd):
                # 登录验证成功，重写cookie的登录帐号，延时10秒
                response = HttpResponse('ok')
                response.set_cookie('logname',logname,max_age=10)
                return response
            else:
                return HttpResponse('pwderr')
        else:
            return HttpResponse('nmerr')

@auth  # 装饰器，在访问url为account时候，验证帐号是否为登录状态
def account(request):
    if request.method == 'GET':
        return render(request,'account.html')
'

[](javascript:void(0)

实例：CBV通过装饰器实现用户登录认证

[](javascript:void(0)

from django import views
from django.utils.decorators import method_decorator
@method_decorator(auth,name='dispatch')
class Order(views.View):
    def get(self,request):
        v = request.COOKIES.get('logname')
        return render(request,'index.html',{'current_user':v})

    def post(self,request):
        v = request.COOKIES.get('logname')
        return render(request,'index.html',{'current_user':v})

[](javascript:void(0)

token：

uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign（签名，token 的前几位以哈希算法压缩成的一定长度的十六进制字符串）

token 身份验证的过程：

​ 1用户通过用户名和密码发送请求

​ 2服务器程序验证，返回一个签名的token给客户

​ 3 客户端存储token，每次用于发送请求

​ 4 服务器端验证token并返回数据

1 服务器属性必须 ACAO，