cookie和session在Django中的应用

1 会话跟踪技术

什么是会话跟踪

我们需要先了解一下什么是会话！可以把会话理解为客户端与服务器之间的一次会晤，在一次会晤中可能会包含多次请求和响应。例如你给10086打个电话，你就是客户端，而10086服务人员就是服务器了。从双方接通电话那一刻起，会话就开始了，到某一方挂断电话表示会话结束。在通话过程中，你会向10086发出多个请求，那么这多个请求都在一个会话中。 
在Web中，客户向某一服务器发出第一个请求开始，会话就开始了，直到客户关闭了浏览器会话结束。

在一个会话的多个请求中共享数据，这就是会话跟踪技术。例如在一个会话中的请求如下：  请求银行主页；

• 请求登录（请求参数是用户名和密码）；
• 请求转账（请求参数与转账相关的数据）；
• 请求信誉卡还款（请求参数与还款相关的数据）。

在这上会话中当前用户信息必须在这个会话中共享的，因为登录的是张三，那么在转账和还款时一定是相对张三的转账和还款！这就说明我们必须在一个会话过程中有共享数据的能力。

会话路径技术使用Cookie或session完成

我们知道HTTP协议是无状态协议，也就是说每个请求都是独立的！无法记录前一次请求的状态。但HTTP协议中可以使用Cookie来完成会话跟踪！在Web开发中，使用session来完成会话跟踪，session底层依赖Cookie技术。

2 cookie介绍

cookie的由来

大家都知道HTTP协议是无状态的。

无状态的意思是每次请求都是独立的，它的执行情况和结果与前面的请求和之后的请求都无直接关系，它不会受前面的请求响应情况直接影响，也不会直接影响后面的请求响应情况。

一句有意思的话来描述就是人生只如初见，对服务器来说，每次的请求都是全新的。

状态可以理解为客户端和服务器在某次会话中产生的数据，那无状态的就以为这些数据不会被保留。会话中产生的数据又是我们需要保存的，也就是说要“保持状态”。因此Cookie就是在这样一个场景下诞生。

什么是cookie

其实Cookie是key-value结构，类似于一个python中的字典。随着服务器端的响应发送给客户端浏览器。然后客户端浏览器会把Cookie保存起来，当下一次再访问服务器时把Cookie再发送给服务器。 Cookie是由服务器创建，然后通过响应发送给客户端的一个键值对。客户端会保存Cookie，并会标注出Cookie的来源（哪个服务器的Cookie）。当客户端向服务器发出请求时会把所有这个服务器Cookie包含在请求中发送给服务器，这样服务器就可以识别客户端了！

cookie的原理

cookie的工作原理是：由服务器产生内容，浏览器收到请求后保存在本地；当浏览器再次访问时，浏览器会自动带上Cookie，这样服务器就能通过Cookie的内容来判断这个是“谁”了。

Cookie规范

• Cookie大小上限为4KB；
• 一个服务器最多在客户端浏览器上保存20个Cookie；
• 一个浏览器最多保存300个Cookie；

上面的数据只是HTTP的Cookie规范，但在浏览器大战的今天，一些浏览器为了打败对手，为了展现自己的能力起见，可能对Cookie规范“扩展”了一些，例如每个Cookie的大小为8KB，最多可保存500个Cookie等！但也不会出现把你硬盘占满的可能！ 
注意，不同浏览器之间是不共享Cookie的。也就是说在你使用IE访问服务器时，服务器会把Cookie发给IE，然后由IE保存起来，当你在使用FireFox访问服务器时，不可能把IE保存的Cookie发送给服务器。

Cookie的覆盖

如果服务器端发送重复的Cookie那么会覆盖原有的Cookie，例如客户端的第一个请求服务器端发送的Cookie是：Set-Cookie: a=A；第二请求服务器端发送的是：Set-Cookie: a=AA，那么客户端只留下一个Cookie，即：a=AA。

在浏览器中查看cookie

浏览器中按F12，点network---cookies就能看到

Django中操作Cookie

获取Cookie

request.COOKIES['key']
request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None)

参数：

• default: 默认值
• salt: 加密盐
• max_age: 后台控制过期时间

设置Cookie

rep = HttpResponse(...)
rep ＝ render(request, ...)

rep.set_cookie(key,value)
rep.set_signed_cookie(key,value,salt='加密盐')

参数：

• key, 键
• value='', 值
• max_age=None, 超时时间 cookie需要延续的时间（以秒为单位）如果参数是\ None`` ，这个cookie会延续到浏览器关闭为止
• expires=None, 超时时间(IE requires expires, so set it if hasn't been already.)
• path='/', Cookie生效的路径，/ 表示根路径，特殊的：根路径的cookie可以被任何url的页面访问，浏览器只会把cookie回传给带有该路径的页面，这样可以避免将cookie传给站点中的其他的应用。
• domain=None, Cookie生效的域名 你可用这个参数来构造一个跨站cookie。如， domain=".example.com"所构造的cookie对下面这些站点都是可读的：www.example.com 、 www2.example.com 和an.other.sub.domain.example.com 。如果该参数设置为 None ，cookie只能由设置它的站点读取
• secure=False, 浏览器将通过HTTPS来回传cookie
• httponly=False 只能http协议传输，无法被JavaScript获取（不是绝对，底层抓包可以获取到也可以被覆盖）

删除Cookie

def logout(request):
    rep = redirect("/login/")
    rep.delete_cookie("user")  # 删除用户浏览器上之前设置的usercookie值
    return rep

Cookie版登录校验

views视图代码

from django.shortcuts import render, HttpResponse, redirect
# Create your views here.
# 登录验证装饰器
def login_auth(func):
    def inner(request, *args, **kwargs):
        url = request.get_full_path()    #获取请求的全路径
        # /shopping/?nana=ppp
        is_login = request.COOKIES.get('is_login')    #服务端先拿到cookie，如果拿到则直接跳转到shopping或者order视图页面
        # xxx=request.get_signed_cookie('xxx',salt='123')
        # print(xxx)
        if is_login:           #拿到cookie判断是不是登陆状态
            ret = func(request,*args, **kwargs)   #是登陆状态直接调用被装饰的函数，返回我们想要的页面
        else:
            return redirect('/login/?next=%s' % url)   #服务端如果拿不到正确的cookie就会重定向了login这个页面，但是带了一些参数
        # 当清空浏览器缓存是直接登陆http://127.0.0.1:8000/shopping/，会跳转到登陆页面，并在url后面拼上http://127.0.0.1:8000/login/?next=/shopping/
        # 127.0.0.1:8000/login/?next=/shopping/?nana=ppp
        return ret
    return inner

def login(request):
    if request.method == 'POST':
        # url = request.GET.get('next')         #装饰器中redirect('/login/?next=%s' % url) ，通过get就可以拿到next的值
        name = request.POST.get('name')
        pwd = request.POST.get('pwd')
        if name == 'lqz' and pwd == '':
            # obj = redirect(url)          #登录成功后跳转到该页面
            obj=HttpResponse('登录成功')
            obj.set_cookie('is_login', True)   #当我们不指定path时，被装饰的视图函数页面只要登陆后都可以直接被访问，而不需要重新登陆
            # obj.set_cookie('is_login', True,path='/shopping/')   #浏览器只会把cookie回传给带有该路径的页面，也就是说当我们登路成功后，访问shopping页面时可以直接登陆
            #但是我们访问order页面时，任然会跳到登陆页面让我们重新登陆
            import datetime
            now = datetime.datetime.now().strftime('%Y-%m-%d %X')
            obj.set_cookie('last_time', now)    #设置cookie，在浏览器的请求头中的cookie中我们可以看到我们设置的cookie，并将登陆时间也写到cookie中
            obj.set_cookie('name', 'lqz')   #在浏览器中打开可以看到是一个key
            obj.set_cookie('pwd', '')   #
            obj.set_signed_cookie('xxx','xxxxxx',salt='')   #获取cookie,并对cookie进行加盐，加盐后的123是进过加密的一串字符码
            return obj    #登录成功后对其进行重定向
        else:
            obj = HttpResponse('登陆失败')
            return obj
    return render(request, 'login.html')

# 退出登录
def logout(request):
    obj=HttpResponse('注销成功')
    obj.delete_cookie('is_login')     #登陆成功获得服务端发送来的cookie，删除cookie,这样我们在浏览器中再输入http://127.0.0.1:8000/shopping/
    return obj                         #就会再次跳到登陆页面让我们进行重新登陆

# 购物页面
@login_auth
def shopping(request):
    return render(request, 'shopping.html', locals())
    #.locals()用法：locals()可以直接将函数中所有的变量全部传给模板。当然这可能会传递一些多余的参数，有点浪费内存的嫌疑
    # 登陆成功后在请求shopping页面，在在请求头中就可以看到请求头中的cookie中带有（键值对的形式）：
    # Cookie: csrftoken = ybQexReWXIWaO0If0p0I7NubfBSvjUlSfR2EWWX8eKCwXbL8lDo4Kk3ar6Nbr5ZR;
    # last_time = "2018-09-13 18:13:17";
    # name = lqz;
    # pwd = 123;
    # xxx = xxxxxx:1g0Ocf: 1kRB9Q0FVXlVzstrRbm4fJ61eF0
# 订单页面
@login_auth
def order(request):
    return render(request, 'order.html', locals())

views

template模板代码

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form action="" method="post">
    <p>用户名：<input type="text" name="name"></p>
    <p>密码：<input type="password" name="pwd"></p>
    <input type="submit">

</form>
</body>
</html>

login

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h2>购物车页面</h2>

</body>
</html>

shopping

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

<h1>订单页面</h1>

</body>
</html>

order

urls路由配置

from django.conf.urls import url
from django.contrib import admin
from app01 import views
urlpatterns = [
    url(r'^admin/', admin.site.urls),
    url(r'^login/', views.login),
    url(r'^order/', views.order),
    url(r'^shopping/', views.shopping),
    url(r'^logout/', views.logout),

]

urls

会话Session

因为因特网HTTP协议的特性，每一次来自于用户浏览器的请求（request）都是无状态的、独立的。通俗地说，就是无法保存用户状态，后台服务器根本就不知道当前请求和以前及以后请求是否来自同一用户。对于静态网站，这可能不是个问题，而对于动态网站，尤其是京东、天猫、银行等购物或金融网站，无法识别用户并保持用户状态是致命的，根本就无法提供服务。你可以尝试将浏览器的cookie功能关闭，你会发现将无法在京东登录和购物。

为了保持连接状态，网站会通过用户的浏览器在用户机器内被限定的硬盘位置中写入一些数据，也就是所谓的Cookie。通过Cookie可以保存一些诸如用户名、浏览记录、表单记录、登录和注销等各种数据。但是这种方式非常不安全，因为Cookie保存在用户的机器上，如果Cookie被伪造、篡改或删除，就会造成极大的安全威胁，因此，现代网站设计通常将Cookie用来保存一些不重要的内容，实际的用户数据和状态还是以Session会话的方式保存在服务器端。

Session就是在服务器端的‘Cookie’，将用户数据保存在服务器端，远比保存在用户端要安全、方便和快捷得多。

Session依赖Cookie！但与Cookie不同的地方在于Session将所有的数据都放在服务器端，用户浏览器的Cookie中只会保存一个非明文的识别信息，比如哈希值。

Session是大多数网站都需要具备的功能。Django为我们提供了一个通用的Session框架，并且可以使用多种session数据的保存方式：

• 保存在数据库内
• 保存到缓存
• 保存到文件内
• 保存到cookie内

通常情况，没有特别需求的话，请使用保存在数据库内的方式，尽量不要保存到Cookie内。

Django的session框架支持匿名会话，封装了cookies的发送和接收过程。cookie包含一个会话ID而不是数据本身（除非你使用的是基于后端的cookie）。

Django的会话框架完全地、唯一地基于Cookie。它不像PHP一样，把会话的ID放在URL中。那样不仅使得URL变得丑陋，还使得你的网站易于受到通过"Referer"头部进行窃取会话ID的攻击。

django中的session相关用法

# 获取、设置、删除Session中数据
request.session['k1']
request.session.get('k1',None)
request.session['k1'] = 123
request.session.setdefault('k1',123) # 存在则不设置
del request.session['k1']

# 所有 键、值、键值对
request.session.keys()
request.session.values()
request.session.items()
request.session.iterkeys()
request.session.itervalues()
request.session.iteritems()

# 会话session的key
request.session.session_key

# 将所有Session失效日期小于当前日期的数据删除
request.session.clear_expired()

# 检查会话session的key在数据库中是否存在
request.session.exists("session_key")

# 删除当前会话的所有Session数据
request.session.delete()
　　
# 删除当前的会话数据并删除会话的Cookie。
request.session.flush()
    这用于确保前面的会话数据不可以再次被用户的浏览器访问
    例如，django.contrib.auth.logout() 函数中就会调用它。

# 设置会话Session和Cookie的超时时间
request.session.set_expiry(value)
    * 如果value是个整数，session会在些秒数后失效。
    * 如果value是个datatime或timedelta，session就会在这个时间后失效。
    * 如果value是0,用户关闭浏览器session就会失效。
    * 如果value是None,session会依赖全局session失效策略。

在视图中使用session

def session_test(request):
    # 设置session值，会将其存到db.sqlite数据库中的django_session表中，每发送一次请求就会在django_sesssion表中添加一条记录
    request.session['username']='lqz'      #
    request.session['is_login']=True
    '''
    1 生成一个随机字符串
    2 把随机字符串以cookie的形式写回给浏览器
    3 会在数据库里存{'随机字符串':{'username':'lqz','is_login':True}}
    '''

    return HttpResponse('ok')

def get_session(request):
    # 在浏览器中输入路由地址就会访问访问该视图函数，获取session值，但是一定要先获取session值
    #否则获取session时会报错
    # name=request.session['username']
    # is_login=request.session['is_login']
    # print(name)
    # print(is_login)
    # session取值的两种方式，字典key或者get进行取值
    # request.session['k1']
    # request.session.get('k1', None)
    # 设置session的值
    # request.session['k1'] = 123

    # name=request.session.setdefault('username', 123)  # 如果session中的username有值就不会设置，无值则进行设置
    # print(name)      #-----123
    # del request.session['k1']  #通过key将session的值进行删除
    # print(request.session.session_key)    #取出表django_session表中session_key字段对应的值
    # 将所有Session失效日期小于当前日期的数据删除
    # request.session.clear_expired()
    # 判断session表中session_key字段的值是否存在，返回值为布尔值
    # print(request.session.exists("b16mh23xajc2u69vazvivf8ruo4ilumi"))
    # 会删除数据库的session表中的session的记录，但是浏览器中的session id还在
    # request.session.delete()
    # 删除当前的会话数据并删除会话的Cookie。
    # 通常用它，他会把数据库以及浏览器会话中的session id都删除（调用视图函数test可以看到效果的确是已经被删除）
    request.session.flush()
    return HttpResponse('ok')

def test(request):

    return HttpResponse('ok')

在视图函数中使用装饰器装饰CBV

from django.utils.decorators import method_decorator
# 在视图中装饰类需要先将该模块先导入，method_decorator
from django.views import View
# @method_decorator(login_auth,name='post')
# @method_decorator(login_auth,name='get')
# 在类上加装饰器需要指定name的值，也就是要指定装饰类内的哪个函数，当我们登陆成功后就会直接跳转到我们要登陆的页面
class MyOrder(View):
    # @method_decorator(login_auth)   #将装饰器出传入进去
    def dispatch(self, request, *args, **kwargs):
        # 我们可以重写dispatch函数来实现类似装饰器的效果，dispatch内部根据反射来实现函数执行。
        ret=super().dispatch(request, *args, **kwargs)   #继承父类View的属性
        return ret
    # 在cbv上加装饰器，需要用method_decorator修饰一下
    @method_decorator(login_auth)
    def get(self,request):
        return HttpResponse('get')
    def post(self,request):
        return HttpResponse('post')
'''
1 导入from django.utils.decorators import method_decorator
2 加载get,post,dispatch方法上：@method_decorator(login_auth)
3 加在类上：@method_decorator(login_auth,name='get')
'''