Django-cookie和session

一：引言

1：cookie引言

说到cookie和session，就不得不提http协议，http协议有一个特色就是无状态保留（由于http协议要求响应速度要快，因此有这个特色），也就是说服务端是没法保存客户端的请求信息的。那么这会形成什么样的后果呢？好比咱们登录服务器，若是服务器依然不保存客户端的请求信息，那么服务端是没法判断客户端是否访问成功的，由于服务端不保存整个会话状态，就没法判断请求的客户端是否登录过。所以咱们须要一种可以记录浏览器和服务端整个会话状态的机制。这就是会话跟踪技术。也就是说会话跟踪技术就是为了解决http协议的无状态的技术

 

2：会话跟踪技术

2.1什么是会话？

 
咱们须要先了解一下什么是会话！能够把会话理解为客户端与服务器之间的一次会晤，在一次会晤中可能会包含屡次请求和响应。例如你给10086打个电话，你就是客户端，而10086服务人员就是服务器了。从双方接通电话那一刻起，会话就开始了，到某一方挂断电话表示会话结束。在通话过程当中，你会向10086发出多个请求，那么这多个请求都在一个会话中。 
在JavaWeb中，客户向某一服务器发出第一个请求开始，会话就开始了，直到客户关闭了浏览器会话结束。

会话开始的标志是：浏览器打开页面；结束的标志是：浏览器关闭

 

2.2会话跟踪技术

在一个会话的多个请求中共享数据，这就是会话跟踪技术（会话跟踪是解决浏览器和服务器屡次请求与响应保持数据共享的技术。）。例如在一个会话中的请求以下：

      请求银行主页； 

• 请求登陆（请求参数是用户名和密码）；
• 请求转帐（请求参数与转帐相关的数据）； 
• 请求信誉卡还款（请求参数与还款相关的数据）。  

在这上会话中当前用户信息必须在这个会话中共享的，由于登陆的是张三，那么在转帐和还款时必定是相对张三的转帐和还款！这就说明咱们必须在一个会话过程当中有共享数据的能力。

 

 

会话（Session）跟踪是Web程序中经常使用的技术，用来跟踪用户的整个会话。经常使用的会话跟踪技术是Cookie与Session。Cookie经过在客户端记录信息肯定用户身份，Session经过在服务器端记录信息肯定用户身份。

session底层依赖Cookie技术。本章将系统地讲述Cookie与Session机制

二：Cookie

1：什么是cookie

Cookie意为“甜饼”，是由W3C组织提出，最先由Netscape社区发展的一种机制。目前Cookie已经成为标准，全部的主流浏览器如IE、Netscape、Firefox、Opera等都支持Cookie。

因为HTTP是一种无状态的协议，服务器单从网络链接上无从知道客户身份。怎么办呢？就给客户端们颁发一个通行证吧，每人一个，不管谁访问都必须携带本身通行证。这样服务器就能从通行证上确认客户身份了。这就是Cookie的工做原理。

Cookie其实是一小段的文本信息。客户端请求服务器，若是服务器须要记录该用户状态，就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时，浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie，以此来辨认用户状态。服务器还能够根据须要修改Cookie的内容。

2：cookie机制的原理介绍

 

 

（1）客户端第一次访问服务器是须要登录的会发送一个空的cookie，相似于字典的格式；

（2）服务器根据本身的须要给空的cookie写键值，当回应消息时cookie就在消息里面回应给客户端；

（3）客户端之后再向服务器发送请求消息时都会携带cookie，而此时的cookie是服务器添加数据后的cookie再也不是空的cookie；

（4）服务端只须要验证cookie就能够判断是否客户端是否以前登录成功过

 

3：cookie规范

•  Cookie大小上限为4KB； 
•  一个服务器最多在客户端浏览器上保存20个Cookie； （20个键值对）
•  一个浏览器最多保存300个Cookie；  

上面的数据只是HTTP的Cookie规范，但在浏览器大战的今天，一些浏览器为了战胜对手，为了展示本身的能力起见，可能对Cookie规范“扩展”了一些，例如每一个Cookie的大小为8KB，最多可保存500个Cookie等！但也不会出现把你硬盘占满的可能！ 
注意，不一样浏览器之间是不共享Cookie的。也就是说在你使用IE访问服务器时，服务器会把Cookie发给IE，而后由IE保存起来，当你在使用FireFox访问服务器时，不可能把IE保存的Cookie发送给服务器。

4：cookie的简单使用

（1）、获取Cookie

request.COOKIES.get("islogin",None)  #若是有就获取，没有就默认为none

（2）、设置Cookie

obj = redirect("/index/")或 
  obj.set_cookie("islogin",True)  #设置cookie值，注意这里的参数，一个是键，一个是值
  obj.set_cookie("lilz","344",20)  #20表明过时时间
  obj.set_cookie("username", username)
HttpResponse(...) 或  render(request, ...) 

obj.set_cookie(key,value,...)

obj.set_signed_cookie(key,value,salt='加密盐',...)


参数见下面的源码（4）
-----------------------------
max_age:过时时间
path='index'=======>表示访问index时带着cookie，其余未设置的不带cookie
domain：跨域时用

（3）、删除Cookie

obj.delete_cookie("cookie_key",path="/",domain=name)

（4）源码

class HttpResponseBase:

        def set_cookie(self, key,                 键
        　　　　　　　　　　　　 value='',            值
        　　　　　　　　　　　　 max_age=None,        超长时间 
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　cookie须要延续的时间（以秒为单位）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　若是参数是\ None`` ，这个cookie会延续到浏览器关闭为止。

        　　　　　　　　　　　　 expires=None,        超长时间
       　　　　　　　　　　　　　　　　　　　　　　　　　　expires默认None ,cookie失效的实际日期/时间。 
    　　　　　　　　　　　　　　　　　　　　　　　　　　　　

        　　　　　　　　　　　　 path='/',           Cookie生效的路径，
                                                 浏览器只会把cookie回传给带有该路径的页面，这样能够避免将
                                                 cookie传给站点中的其余的应用。
                                                 / 表示根路径，特殊的：根路径的cookie能够被任何url的页面访问
        　　　　　　　　　　　　 
                             domain=None,         Cookie生效的域名
                                                
                                                  你可用这个参数来构造一个跨站cookie。
                                                  如， domain=".example.com"
                                                  所构造的cookie对下面这些站点都是可读的：
                                                  www.example.com 、 www2.example.com 
        　　　　　　　　　　　　　　　　　　　　　　　　　和an.other.sub.domain.example.com 。
                                                  若是该参数设置为 None ，cookie只能由设置它的站点读取。

        　　　　　　　　　　　　 secure=False,        若是设置为 True ，浏览器将经过HTTPS来回传cookie。
        　　　　　　　　　　　　 httponly=False       只能http协议传输，没法被JavaScript获取
                                                 （不是绝对，底层抓包能够获取到也能够被覆盖）
        　　　　　　　　　　): pass

'''

View Code

 

 

jquery操做cookie

5：cookie的优缺点

cookie存储到客户端

优势：数据存储在客户端。减轻服务端的压力，提升网站的性能

缺点：安全性不高，在客户端很容易被查看或破解用户会话信息

6：案例

参考博文： 项目-图书管理系统--第五阶段--加入cookie和session功能

 

三：Session

基于cookie的缺点（安全），以及存储、网络带宽的考虑出现session技术。session要比cookie应用更加普遍。

1：session

Session是服务器端技术，利用这个技术，服务器在运行时能够 为每个用户的浏览器建立一个其独享的session对象，因为 session为用户浏览器独享，因此用户在访问服务器的web资源时 ，能够把各自的数据放在各自的session中，当用户再去访问该服务器中的其它web资源时，其它web资源再从用户各自的session中 取出数据为用户服务。

2：session原理--基于cookie

 

（1）浏览器第一次携带一个空的cookie访问服务器；

（2）服务器往session里写入键值（如request.session["suser"]=user）时，第一找到django-session表，生成随机字符串看成键放在session-key中，把写的键值放入session-data中；

（3）第二，服务器给客户端响应，把随机生成的字符串给（set_cookie:sessionid=随机字符串）cookie；

（4）客户端之后再访问服务器就会携带cookie。而服务器就会根据cookie里面的sessionid值与django-data表里匹配。若匹配则表示客户端登录成功过

 3：session的基本操做

1、设置session值
　　　　request.session["session_name"]="admin"
2、获取session值
　　　　session_name = request.session("session_name")
3、删除session值
　　　　del request.session["session_name"]  删除一组键值对
　　　　request.session.flush()   删除一条记录
4、检测是否操做session值
　　　　if "session_name"  is request.session:

# 1：request.COOKIE.get("sessionid)   #取cookie中的值
# 2：在Django - session表过滤session - key的记录并与删除这条记录
# 3:删除cookie，response.delete_cookie("sessionid")
 request.session.flush()   #至关于上面3个步骤

 

其余操做

五、get(key, default=None)
 
fav_color = request.session.get('fav_color', 'red')
 
6、pop(key)
 
fav_color = request.session.pop('fav_color')
 
7、keys()
 
8、items()
 
9、setdefault()
 
10、flush() 删除当前的会话数据并删除会话的Cookie。
            这用于确保前面的会话数据不能够再次被用户的浏览器访问
            例如，django.contrib.auth.logout() 函数中就会调用它。
 
 
11 用户session的随机字符串
        request.session.session_key
  
        # 将全部Session失效日期小于当前日期的数据删除
        request.session.clear_expired()
  
        # 检查 用户session的随机字符串 在数据库中是否
        request.session.exists("session_key")
  
        # 删除当前用户的全部Session数据
        request.session.delete("session_key")
  
        request.session.set_expiry(value)
            * 若是value是个整数，session会在些秒数后失效。
            * 若是value是个datatime或timedelta，session就会在这个时间后失效。
            * 若是value是0,用户关闭浏览器session就会失效。
            * 若是value是None,session会依赖全局session失效策略。

 

 

 

 

 4：案例

请参考：博客(登录与注销)