49、django工程（cookie+session）

49.1、介绍：

1、cookie不属于http协议范围，由于http协议无法保持状态，但实际情况，我们却又需要“保持状态”，因此cookie就是在这样一个场景下诞生。

cookie的工作原理是，由服务器产生内容，浏览器收到请求后保存在本地，当浏览器再次访问时，浏览器会自动带上cookie，这样服务器就能通过

cookie的内容来判断这个是“谁”了。

2、cookie虽然在一定程度上解决了“保持状态”的需求，但是由于cookie本身最大支持4096字节，以及cookie本身保存在客户端，可能被拦截或

窃取，因此就需要有一种新的东西，它能支持更多的字节，并且他保存在服务器，有较高的安全性。这就是session。问题来了，基于http协议的无

状态特征，服务器根本就不知道访问者是“谁”，那么上述的cookie就起到桥接的作用。我们可以给每个客户端的cookie分配一个唯一的id，这样

用户在访问时，通过cookie，服务器就知道来的人是“谁”。然后我们再根据不同的cookie的id，在服务器上保存一段时间的私密资料，如“账号

密码”等等。

3、总结而言，cookie弥补了http无状态的不足，让服务器知道来的人是“谁”，但是cookie以文本的形式保存在本地，自身安全性较差，所以我

们就通过cookie识别不同的用户，对应的在session里保存私密的信息以及超过4096字节的文本。

4、另外，上述所说的cookie和session其实是共通性的东西，不限于语言和框架。

5、前几节的介绍中我们已经有能力制作一个登陆页面，在验证了用户名和密码的正确性后跳转到后台的页面。但是测试后也发现，如果绕过登陆页

面，直接输入后台的url地址也可以直接访问的，这个显然是不合理的。其实我们缺失的就是cookie和session配合的验证，有了这个验证过程，我们

就可以实现和其他网站一样必须登录才能进入后台页面了。

先说一下这种认证的机制，每当我们使用一款浏览器访问一个登陆页面的时候，一旦我们通过了认证，服务器端就会发送一组随机唯一的字符串（假

设是 123abc）到浏览器端，这个被存储在浏览端的东西就叫cookie，服务器端也会自己存储一下用户当前的状态，比如login=true，username=

hahaha 之类的用户信息。但是这种存储是以字典形式存储的，字典的唯一key就是刚才发给用户的唯一的cookie值，那么如果在服务器端查看

session信息的话，理论上就会看到如下样子的字典 {'123abc':{'login':true,'username:hahaha'}}，因为每个cookie都是唯一的，所以我们在电脑上

换个浏览器再登陆同一个网站也需要再次验证。那么为什么说我们只是理论上看到这样子的字典呢，因为处于安全性的考虑，其实对于上面那个大字

典不光key值 123abc 是被加密的，value值 {'login':true,'username:hahaha'} 在服务器端也是一样被加密的，所以我们服务器上就算打开session

信息看到的也是类似与以下样子的东西 {'123abc':dasdasdasd1231231da1231231}。

49.2、cookie+session代码实现：

1、urls.py：

from django.contrib import admin

from django.urls import path

from django.conf.urls import url

from app01 import views

urlpatterns = [

path('admin/', admin.site.urls),

url(r'^login/$', views.login),

url(r'^backend/$', views.backend),

url(r'^logout/$', views.logout),

]

2、views.py：

from django.shortcuts import render,redirect

def login(request):

if request.method == "POST":

username = request.POST['username']

pwd = request.POST['passwd']

if username == 'admin' and pwd == '123456':

# 设置session内部的字典内容

request.session['is_login'] = True

request.session['username'] = 'admin'

# 登录成功就将url重定向到后台的url

return redirect('/backend/')

# 登录不成功或第一访问就停留在登录页面

return render(request, 'login.html')

def backend(request):

"""

这里必须用读取字典的get()方法把is_login的value缺省设置为False，

当用户访问backend这个url先尝试获取这个浏览器对应的session中的

is_login的值。如果对方登录成功的话，在login里就已经把is_login

的值修改为了True,反之这个值就是False的。

"""

is_login = request.session.get('is_login', False)

# 如果为真，就说明用户是正常登陆的

if is_login:

# 获取字典的内容并传入页面文件

cookie_content = request.COOKIES

session_content = request.session

username = request.session['username']

return render(request, 'backend.html',

{

'cookie_content': cookie_content,

'session_content': session_content,

'username': username

})

else:

"""

如果访问的时候没有携带正确的session，

就直接被重定向url回login页面

"""

return redirect('/login/')

def logout(request):

"""

直接通过request.session['is_login'],回去返回的时候

如果is_login对应的value值不存在会导致程序异常。所以

需要做异常处理

"""

try:

# 删除is_login对应的value值

del request.session['is_login']

except KeyError:

pass

# 点击注销之后，直接重定向回登录页面

return redirect('/login/')

3、login.html：

<!DOCTYPE html>

<html lang="en">

<head>

<meta charset="UTF-8">

<title>login</title>

</head>

<body>

<form action="/login/" method="post">

{% csrf_token %}

<div>用户名：<input type="text" name="username" placeholder="用户名"/></div>

<div>密 码：<input type="password" name="passwd" placeholder="密码"/></div>

<div><input type="submit" value="submit"></div>

</form>

</body>

</html>

4、backend.html：

<!DOCTYPE html>

<html lang="en">

<head>

<meta charset="UTF-8">

<title>backend</title>

</head>

<body>

<div>cookie内容是：{{ cookie_content }}</div>

<div>session内容是：{{ session_content }}</div>

<div>登录用户名：{{ username }}</div>

<div><a href="/logout/">注销</a></div>

</body>

</html>

5、登录测试：

（1）登录：

（2）登录成功：

1）backend.html页面：

2）通过google cookie插件查看浏览器存储的cookie：

A、

B、

C、

（3）django的session默认是存储在数据库里的，到数据库查看一下真正session内容：

（4）如果在没有登录的浏览器上直接访问http://127.0.0.1:8080/backend/地址会跳转到登录界面。

如果在已登录的浏览器上复制http://127.0.0.1:8080/backend/地址到其它未登录的浏览器上会跳转到登录界面。

49.3、总结：

1、Cookie操作：

（1）设置cookie的字典内容：

# response.set_cookie(key,value)

ret=redirect("/index/")

ret.set_cookie("is_login",True,max_age=3,expires=datetime.datetime.utcnow()+datetime.timedelta(days=3))

return ret

（2）获取cookie的字典内容：ret = request.COOKIES[key]

（3）get方法获取cookie的字典内容：ret = request.COOKIES.get(key,None)

（4）由于cookie保存在客户端的电脑上，所以，jquery也可以操作cookie。

2、Session操作：

（1）设置session内部的字典内容：reqeust.session[key] = value

（2）获取session内部的字典内容：ret = request.session[key]

（3）get方法获取session内部的字典内容：ret = request.session.get(key, None)

（4）删除session：del request.session[key]

这个删除其实就是把数据库的 session_data 更新为一个其他的值了，并没有立即删除。

（5）设置session超时时间(session默认在服务器端保存15天)：

request.session.set_expiry(value)

* 如果value是个整数，session会在些秒数后失效。

* 如果value是个datatime或timedelta，session就会在这个时间后失效。

* 如果value是0，用户关闭浏览器session就会失效。

* 如果value是None，session会依赖全局session失效策略。

3、Cookie原理：

（1）cookie验证原理：

1）用户登录验证成功后在服务端为cookie添加内容，发送cookie到客户端并存储(登录验证失败，由于没有在服务端为

cookie添加内容，所以不发送cookie到客户端)。

2）客户端在下次访问服务端时会带着cookie到服务端。

3）服务端从cookie中取出内容进行验证。

（2）cookie超时失效的原理：

用户登录验证成功后在服务端为cookie添加内容时会将超时间写在其中并一同发送给客户端存储，超时时间到后会将

客户端上的cookie清掉，用户再访问时因没有验证数据而需要从新验证。

（3）弊端：用户的一些私密信息会存储到客户端上，容易被窃取。

4、session原理：

（1）session验证原理：

1）用户登录验证成功后在服务端为session添加内容，在django_session表session_key、session_data字段下

生成数据且都已加密，然后将session_key的值放到cookie中以sessionid字符串方式随cookie发送到客户端存储

(登录验证失败，由于没有在服务端为session添加内容，所以不在django_session表生成数据，也不发送cookie

到客户端)。

2）客户端下次访问时带着cookie(包含sessionid)到服务端。

3）服务端从cookie中取出sessionid的值和django_session表中的session_key字段值匹配成功后取出session_data

值对用户进行验证。

（2）session超时失效原理：在服务端设置django_session表中sessionid所对应的session_data失效时间。

（3）session用户注销原理：在服务端删除django_session表中sessionid所对应的session_data中的验证key，这样

用户再次访问时因找不到相应的验证数据而需要从新验证。

（4）优点：用户的私密信息保存在服务端的django_session表中，有利与保障用户账号的安全。

5、cookie 和 session 的区别：

（1）cookie数据存放在客户的浏览器上，session数据放在服务器上。

（2）cookie不是很安全，别人可以分析存放在本地的COOKIE并进行COOKIE欺骗，考虑到安全应当使用session。

（3）session会在一定时间内保存在服务器上，当访问增多，会比较占用你服务器的性能，考虑到减轻服务器性能方面，

应当使用COOKIE。

（4）单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie。

（5）将登陆信息等重要信息存放为SESSION，其他信息如果需要保留，可以放在COOKIE中。