49.1、介绍:

1、cookie不属于http协议范围,由于http协议无法保持状态,但实际情况,我们却又需要“保持状态”,因此cookie就是在这样一个场景下诞生。

cookie的工作原理是,由服务器产生内容,浏览器收到请求后保存在本地,当浏览器再次访问时,浏览器会自动带上cookie,这样服务器就能通过

cookie的内容来判断这个是“谁”了。

2、cookie虽然在一定程度上解决了“保持状态”的需求,但是由于cookie本身最大支持4096字节,以及cookie本身保存在客户端,可能被拦截或

窃取,因此就需要有一种新的东西,它能支持更多的字节,并且他保存在服务器,有较高的安全性。这就是session。问题来了,基于http协议的无

状态特征,服务器根本就不知道访问者是“谁”,那么上述的cookie就起到桥接的作用。我们可以给每个客户端的cookie分配一个唯一的id,这样

用户在访问时,通过cookie,服务器就知道来的人是“谁”。然后我们再根据不同的cookie的id,在服务器上保存一段时间的私密资料,如“账号

密码”等等。

3、总结而言,cookie弥补了http无状态的不足,让服务器知道来的人是“谁”,但是cookie以文本的形式保存在本地,自身安全性较差,所以我

们就通过cookie识别不同的用户,对应的在session里保存私密的信息以及超过4096字节的文本。

4、另外,上述所说的cookie和session其实是共通性的东西,不限于语言和框架。

5、前几节的介绍中我们已经有能力制作一个登陆页面,在验证了用户名和密码的正确性后跳转到后台的页面。但是测试后也发现,如果绕过登陆页

面,直接输入后台的url地址也可以直接访问的,这个显然是不合理的。其实我们缺失的就是cookie和session配合的验证,有了这个验证过程,我们

就可以实现和其他网站一样必须登录才能进入后台页面了。

先说一下这种认证的机制,每当我们使用一款浏览器访问一个登陆页面的时候,一旦我们通过了认证,服务器端就会发送一组随机唯一的字符串(假

设是 123abc)到浏览器端,这个被存储在浏览端的东西就叫cookie,服务器端也会自己存储一下用户当前的状态,比如login=true,username=

hahaha 之类的用户信息。但是这种存储是以字典形式存储的,字典的唯一key就是刚才发给用户的唯一的cookie值,那么如果在服务器端查看

session信息的话,理论上就会看到如下样子的字典 {'123abc':{'login':true,'username:hahaha'}},因为每个cookie都是唯一的,所以我们在电脑上

换个浏览器再登陆同一个网站也需要再次验证。那么为什么说我们只是理论上看到这样子的字典呢,因为处于安全性的考虑,其实对于上面那个大字

典不光key值 123abc 是被加密的,value值 {'login':true,'username:hahaha'} 在服务器端也是一样被加密的,所以我们服务器上就算打开session

信息看到的也是类似与以下样子的东西 {'123abc':dasdasdasd1231231da1231231}。

49.2、cookie+session代码实现:

1、urls.py:

from django.contrib import admin

from django.urls import path

from django.conf.urls import url

from app01 import views

urlpatterns = [

path('admin/', admin.site.urls),

url(r'^login/$', views.login),

url(r'^backend/$', views.backend),

url(r'^logout/$', views.logout),

]

2、views.py:

from django.shortcuts import render,redirect

def login(request):

if request.method == "POST":

username = request.POST['username']

pwd = request.POST['passwd']

if username == 'admin' and pwd == '123456':

# 设置session内部的字典内容

request.session['is_login'] = True

request.session['username'] = 'admin'

# 登录成功就将url重定向到后台的url

return redirect('/backend/')

# 登录不成功或第一访问就停留在登录页面

return render(request, 'login.html')

def backend(request):

"""

这里必须用读取字典的get()方法把is_login的value缺省设置为False,

当用户访问backend这个url先尝试获取这个浏览器对应的session中的

is_login的值。如果对方登录成功的话,在login里就已经把is_login

的值修改为了True,反之这个值就是False的。

"""

is_login = request.session.get('is_login', False)

# 如果为真,就说明用户是正常登陆的

if is_login:

# 获取字典的内容并传入页面文件

cookie_content = request.COOKIES

session_content = request.session

username = request.session['username']

return render(request, 'backend.html',

{

'cookie_content': cookie_content,

'session_content': session_content,

'username': username

})

else:

"""

如果访问的时候没有携带正确的session,

就直接被重定向url回login页面

"""

return redirect('/login/')

def logout(request):

"""

直接通过request.session['is_login'],回去返回的时候

如果is_login对应的value值不存在会导致程序异常。所以

需要做异常处理

"""

try:

# 删除is_login对应的value值

del request.session['is_login']

except KeyError:

pass

# 点击注销之后,直接重定向回登录页面

return redirect('/login/')

3、login.html:

<!DOCTYPE html>

<html lang="en">

<head>

<meta charset="UTF-8">

<title>login</title>

</head>

<body>

<form action="/login/" method="post">

{% csrf_token %}

<div>用户名:<input type="text" name="username" placeholder="用户名"/></div>

<div>密 码:<input type="password" name="passwd" placeholder="密码"/></div>

<div><input type="submit" value="submit"></div>

</form>

</body>

</html>

4、backend.html:

<!DOCTYPE html>

<html lang="en">

<head>

<meta charset="UTF-8">

<title>backend</title>

</head>

<body>

<div>cookie内容是:{{ cookie_content }}</div>

<div>session内容是:{{ session_content }}</div>

<div>登录用户名:{{ username }}</div>

<div><a href="/logout/">注销</a></div>

</body>

</html>

5、登录测试:

(1)登录:

(2)登录成功:

1)backend.html页面:

2)通过google cookie插件查看浏览器存储的cookie:

A、

B、

C、

(3)django的session默认是存储在数据库里的,到数据库查看一下真正session内容:

(4)如果在没有登录的浏览器上直接访问http://127.0.0.1:8080/backend/地址会跳转到登录界面。

如果在已登录的浏览器上复制http://127.0.0.1:8080/backend/地址到其它未登录的浏览器上会跳转到登录界面。

49.3、总结:

1、Cookie操作:

(1)设置cookie的字典内容:

# response.set_cookie(key,value)

ret=redirect("/index/")

ret.set_cookie("is_login",True,max_age=3,expires=datetime.datetime.utcnow()+datetime.timedelta(days=3))

return ret

(2)获取cookie的字典内容:ret = request.COOKIES[key]

(3)get方法获取cookie的字典内容:ret = request.COOKIES.get(key,None)

(4)由于cookie保存在客户端的电脑上,所以,jquery也可以操作cookie。

2、Session操作:

(1)设置session内部的字典内容:reqeust.session[key] = value

(2)获取session内部的字典内容:ret = request.session[key]

(3)get方法获取session内部的字典内容:ret = request.session.get(key, None)

(4)删除session:del request.session[key]

这个删除其实就是把数据库的 session_data 更新为一个其他的值了,并没有立即删除。

(5)设置session超时时间(session默认在服务器端保存15天):

request.session.set_expiry(value)

* 如果value是个整数,session会在些秒数后失效。

* 如果value是个datatime或timedelta,session就会在这个时间后失效。

* 如果value是0,用户关闭浏览器session就会失效。

* 如果value是None,session会依赖全局session失效策略。

3、Cookie原理:

(1)cookie验证原理:

1)用户登录验证成功后在服务端为cookie添加内容,发送cookie到客户端并存储(登录验证失败,由于没有在服务端为

cookie添加内容,所以不发送cookie到客户端)。

2)客户端在下次访问服务端时会带着cookie到服务端。

3)服务端从cookie中取出内容进行验证。

(2)cookie超时失效的原理:

用户登录验证成功后在服务端为cookie添加内容时会将超时间写在其中并一同发送给客户端存储,超时时间到后会将

客户端上的cookie清掉,用户再访问时因没有验证数据而需要从新验证。

(3)弊端:用户的一些私密信息会存储到客户端上,容易被窃取。

4、session原理:

(1)session验证原理:

1)用户登录验证成功后在服务端为session添加内容,在django_session表session_key、session_data字段下

生成数据且都已加密,然后将session_key的值放到cookie中以sessionid字符串方式随cookie发送到客户端存储

(登录验证失败,由于没有在服务端为session添加内容,所以不在django_session表生成数据,也不发送cookie

到客户端)。

2)客户端下次访问时带着cookie(包含sessionid)到服务端。

3)服务端从cookie中取出sessionid的值和django_session表中的session_key字段值匹配成功后取出session_data

值对用户进行验证。

(2)session超时失效原理:在服务端设置django_session表中sessionid所对应的session_data失效时间。

(3)session用户注销原理:在服务端删除django_session表中sessionid所对应的session_data中的验证key,这样

用户再次访问时因找不到相应的验证数据而需要从新验证。

(4)优点:用户的私密信息保存在服务端的django_session表中,有利与保障用户账号的安全。

5、cookie 和 session 的区别:

(1)cookie数据存放在客户的浏览器上,session数据放在服务器上。

(2)cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗,考虑到安全应当使用session。

(3)session会在一定时间内保存在服务器上,当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,

应当使用COOKIE。

(4)单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。

(5)将登陆信息等重要信息存放为SESSION,其他信息如果需要保留,可以放在COOKIE中。

49、django工程(cookie+session)的更多相关文章

  1. day09 Django: 组件cookie session

    day09 Django: 组件cookie session   一.cookie和session都是会话跟踪技术     1.什么是会话             可以理解为客户端和服务端之间的一次会 ...

  2. python 全栈开发,Day76(Django组件-cookie,session)

    昨日内容回顾 1 json 轻量级的数据交换格式 在python 序列化方法:json.dumps() 反序列化方法:json.loads() 在JS中: 序列化方法:JSON.stringfy() ...

  3. Django组件-cookie,session

    昨日内容回顾: json 轻量级的数据交换格式 在python 序列化方法:json.dumps() 反序列化方法:json.loads() 在JS中: 序列化方法:JSON.stringfy() 反 ...

  4. django - 总结 - cookie|session

    Cookie是通过HTTP请求和响应头在客户端和服务器端传递的. 在Web开发中,使用session来完成会话跟踪,session底层依赖Cookie技术. --------------------- ...

  5. python框架之Django(7)-Cookie&Session使用

    Cookie 添加 response.set_cookie 添加明文cookie response.set_cookie(key, value='', max_age=None, expires=No ...

  6. Django中cookie&session的实现

    1.什么叫Cookie Cookie翻译成中文是小甜点,小饼干的意思.在HTTP中它表示服务器送给客户端浏览器的小甜点.其实Cookie是key-value结构,类似于一个python中的字典.随着服 ...

  7. Django之cookie+session

    前言 HTTP协议 是短连接.且状态的,所以在客户端向服务端发起请求后,服务端在响应头 加入cokie响应给浏览器,以此记录客户端状态: cook是来自服务端,保存在浏览器的键值对,主要应用于用户登录 ...

  8. Django之cookie&session

    cookie Cookie 是在 HTTP 协议下,服务器或脚本可以维护客户工作站上信息的一种方式.Cookie 是由 Web 服务器保存在用户浏览器(客户端)上的小文本文件,它可以包含有关用户的信息 ...

  9. Django实现cookie&session以及认证系统

    COOKIE&SESSION 知识储备 由于http协议无法保持状态,但实际情况,我们却又需要“保持状态”,因此cookie就是在这样一个场景下诞生. cookie的工作原理是:由服务器产生内 ...

  10. django框架--cookie/session

    目录 一.http协议无状态问题 二.会话跟踪技术--cookie 1.对cookie的理解 2.cookie的使用接口 3.cookie的属性 4.使用cookie的问题 三.会话跟踪技术--ses ...

随机推荐

  1. Ubuntu20 修改网卡名称

    Ubuntu 修改网卡名称 Ubuntu修改网卡名称 Ubuntu 版本: Ubuntu 20.04 查看当前网卡名称 root@it:~# ip add 1: lo: <LOOPBACK,UP ...

  2. OpenStack挂载ISO镜像解决

    OpenStack挂载ISO镜像解决 Summary 本次在OpenStack平台上进行,基于kvm,挂载iso镜像到OpenStack虚拟机中. 1.针对linux: 上传所需要挂载的iso镜像(必 ...

  3. linux初级之总结复习

    一.linux命令复习 1.ls:列出当前目录下的文件 -h: -l: -d: -a: 2. man: 命令帮助手册 3. cd: 切换目录 -:  ~: ..: cd: 4. pwd: 显示当前工作 ...

  4. (xxx) is not defined at HTMLInputElement.onblur(Day_27)

    错误: 这个报错我当时是卡了很久,方法是肯定没有问题的,但js所有的事件都失效了. 解决方案: 1.检查js命名是否有误,若外部引用js文件,尽量使用全小写命名,遵守js命名规范. 2.若还不行,请将 ...

  5. teprunner测试平台定时任务这次终于稳了

    teprunner测试平台已经有一个多月没有更新了,主要原因是定时任务不够稳定,经过反复试错,找到了解决办法,这次终于稳定了. 本文开发内容 作为测试平台而言,定时任务算是必备要素了,只有跑起来的自动 ...

  6. java命令的本质逻辑揭秘

    前言 在日常编码中,有了ide的支持,我们已经很少直接在命令行中直接执行java XXX命令去启动一个项目了.然而我们有没有想过,一个简单的java命令背后究竟做了些什么事情?让我们看下下面几个简单的 ...

  7. Docker学习(5) 在docker中部署静态网站

    在容器中部署静态网站 设置容器的端口映射 在容器中部署静态网站  -  Nginx部署流程 1 创建映射80端口的交互式容器 2 安装Nginx 3 安装文本编辑器vim 4 创建静态页面 5 修改N ...

  8. Configuration注解

    1.说明 Configuration注解的出现就是为了替换xml文件 java配置是通过@Configuration和@Bean注解实现了 @Configuration注解,声明当前是一个配置类,相当 ...

  9. 实时实例分割的Deep Snake:CVPR2020论文点评

    实时实例分割的Deep Snake:CVPR2020论文点评 Deep Snake for Real-Time Instance Segmentation 论文链接:https://arxiv.org ...

  10. 2.5D Visual Sound:CVPR2019论文解析

    2.5D Visual Sound:CVPR2019论文解析 论文链接: http://openaccess.thecvf.com/content_CVPR_2019/papers/Gao_2.5D_ ...