Django基礎六之cookie和session
目錄
1. cookie和session介紹
1.1 cookie 簡介
cookie是指某些網站為了辨別使用者身份而儲存在使用者本地終端(Client Side)上的資料(通常經過加密)。由網景公司的前僱員盧·蒙特利在1993年3月發明。
Cookie儲存在客戶端中,按在客戶端中的儲存位置,可分為記憶體Cookie和硬碟Cookie。
因為HTTP協議是無狀態的,即伺服器不知道使用者上一次做了什麼,這嚴重阻礙了互動式Web應用程式(購物網站)的實現。在典型的網上購物場景中,使用者瀏覽了幾個頁面,買了一些東西。最後結帳時,由於HTTP的無狀態性,不通過額外的手段,伺服器並不知道使用者到底買了什麼,所以Cookie就是用來繞開HTTP的無狀態性的“額外手段”之一。伺服器可以設定或讀取Cookie中包含的資訊,藉此維護使用者跟伺服器會話中的狀態。
cookie除了能記錄之前歷史的功能外還可以用於識別使用者身份。
1.2 cookie的缺陷
- Cookie會被附加在每個HTTP請求中,所以無形中增加了流量。
- 由於HTTP請求中的Cookie是明文傳遞的,所以安全性成問題,除非使用超文字傳輸安全協定。
- Cookie的大小限制在4 KB左右,對於複雜的儲存需求來說是不夠用的。
1.3 session簡介
會話(session):會話是一種持久的網路協議,用於完成伺服器和客戶端之間的一些互動行為。會話是一個比連線粒度更大的概念,一次會話可能包含多次連線,每次連線都被認為是會話的一次操作。
在Web中,Session是指一個使用者與網站伺服器進行一系列互動的持續時間,通常指從註冊進入系統到登出退出系統之間所經過的時間,以及在這段時間內進行的操作,還有,伺服器端為儲存使用者狀態開闢的儲存空間。
1.4 session與cookie的區別
-
Cookie以文字檔案格式儲存在瀏覽器中,而session儲存在服務端。
-
cookie的儲存限制了資料量,只允許4KB,而session是無限制的。
-
cookie包含在每一個客戶端請求報文中,因此容易被人捕獲。
-
cookie和session都可以設定過期時間
2. 設定cookie
2.1 設定cookie
HTML程式碼:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
<script src="/static/bootstrap-3.4.1-dist/js/bootstrap.min.js"></script>
<script src="/static/bootstrap-3.4.1-dist/js/jquery-3.6.0.min.js"></script>
<link rel="stylesheet" href="/static/bootstrap-3.4.1-dist/css/bootstrap.min.css">
</head>
<body>
<p>
<h1>Set Cookie OK</h1>
</p>
</body>
</html>
views.py程式碼
from django.shortcuts import render, HttpResponse
def set_cookie(request):
"""
先設定
"""
# cookie_obj = HttpResponse("set cookie OK")
cookie_obj = render(request, "setCookie.html")
"""
設定cookie
"""
cookie_obj.set_cookie("Name", "Hello")
cookie_obj.set_cookie("is_cookis", True)
return cookie_obj
urls.py程式碼
from django.contrib import admin
from django.urls import path
from appName import views
2.2 獲取cookie
views.py
from django.shortcuts import render, HttpResponse
def get_cookie(request):
cookie_obj = render(request, "getCookie.html")
print(request.COOKIES.get("Name"))
print(request.COOKIES.get("is_cookis"))
return cookie_obj
#結果:
Hello
True
# request.COOKIES.get(Key) 獲取cookie
2.3 刪除cookie
views.py
from django.shortcuts import render, HttpResponse
def del_cookie(request):
cookie_obj = HttpResponse("Delete cookie OK")
# 把cookis "is_cookis" 刪除
cookie_obj.delete_cookie("is_cookis")
return cookie_obj
# 執行結果:
Hello
None
#測試流程:
1. 先訪問 set_cookie設定cookie
2. 訪問 get_cookie獲取cookie:Name:Hello和"is_cookis", True
3. 訪問 del_cookie 刪除is_cookis
4. 最後再訪問 get_cookie 獲取cookie, 發現只有Name Hello,is_cookis的值為:None
2.4 設定過期時間和加鹽
cookie的過期時間,如果不寫,關閉瀏覽器,cookie就失效了
obj.set_cookie('key','value')
也可以設定過期時間:
obj.set_cookie('key','value',expires=10)
設定10s過期
對cookie進行加鹽
obj.set_signed_cookie('nb','yes','123',expires=1000)
獲取加鹽的cookie
nb=request.get_signed_cookie('nb',salt='123')
2.5 cookie的其他引數
key, 鍵
value=’’, 值
max_age=None, 超時時間 cookie需要延續的時間(以秒為單位)如果引數是\ None`` ,這個cookie會延續到瀏覽器關閉為止
expires=None, 超時時間(IE requires expires, so set it if hasn’t been already.)
path=’/‘, Cookie生效的路徑,/ 表示根路徑,特殊的:根路徑的cookie可以被任何url的頁面訪問,瀏覽器只會把cookie回傳給帶有該路徑的頁面,這樣可以避免將cookie傳給站點中的其他的應用。
domain=None, Cookie生效的域名 你可用這個引數來構造一個跨站cookie。如, domain=”.example.com”所構造的cookie對下面這些站點都是可讀的:www.example.com 、 www2.example.com 和an.other.sub.domain.example.com 。如果該引數設定為 None ,cookie只能由設定它的站點讀取
secure=False, 瀏覽器將通過HTTPS來回傳cookie
httponly=False 只能http協議傳輸,無法被JavaScript獲取(不是絕對,底層抓包可以獲取到也可以被覆蓋)
3. 設定 session
3.1 設定,修改,刪除session
搭建一個簡單的網站,必須要登入才可以訪問。
HTML程式碼:
index.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<p>歡迎使用者:{{ name }} 登入:</p>
<p>
只有登入才能看到。
</p>
<form action="/delete/" method="post">
<input type="submit" value="退出">
</form>
</body>
</html>
login.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
<script src="/static/bootstrap-3.4.1-dist/js/bootstrap.min.js"></script>
<script src="/static/bootstrap-3.4.1-dist/js/jquery-3.6.0.min.js"></script>
<link rel="stylesheet" href="/static/bootstrap-3.4.1-dist/css/bootstrap.min.css">
</head>
<body>
<div class="container">
<div class="row">
<div class="col-md-8 col-md-offset-2">
<form action="" method="post">
UserName:<input type="text" name="Name">
PassWord:<input type="password" name="PassWord">
<input type="submit" value="提交">
</form>
</div>
</div>
</div>
</body>
</html>
delete.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
<body>
<div>
<p>請先<a href="/login/">登入</a></p>
</div>
</body>
</html>
後端程式碼:
views.py程式碼
from django.shortcuts import render, HttpResponse, redirect
def login(request):
if request.method == "POST":
name = request.POST.get("Name")
password = request.POST.get("PassWord")
print(name, password)
# 模擬資料庫校驗密碼
if name == "Hans" and password == "123":
request.session["name"] = name # 設定session
request.session['is_login'] = True
return redirect("/index/")
else:
return render(request, "login.html")
def index(request):
is_login = request.session.get("is_login")
name = request.session.get("name")
print("獲取到name", name)
# 更新session
request.session['name'] = "HELLO" # 更新session
# 重新獲取name
name = request.session.get("name")
if is_login:
return render(request, "index.html", locals())
else:
return redirect("/login/")
def delete(request):
name = request.session.get("name")
if request.method == "POST":
del request.session['is_login'] # 刪除session
del request.session['name']
# request.session.flush() # 清空cookie和session
return HttpResponse("%s 已經退出" % name)
return render(request, "delete.html")
刪除cookie
del request.session['name'] # 刪除某一個session
request.session.delete() # 刪除資料庫裡的session
request.session.flush() # cookie和資料庫都刪
路由urls.py
from django.contrib import admin
from django.urls import path
from appName import views
urlpatterns = [
path('admin/', admin.site.urls),
path('index/', views.index),
path('login/', views.login),
path('delete/', views.delete),
]
3.2 session的其他方法
設定Session資料
request.session.setdefault('k1',123) # 存在則不設定
# 所有 鍵、值、鍵值對
request.session.keys()
request.session.values()
request.session.items()
request.session.iterkeys()
request.session.itervalues()
request.session.iteritems()
# 會話session的key(隨機字串)
request.session.session_key
# 將所有Session失效日期小於當前日期的資料刪除
request.session.clear_expired()
# 檢查會話session的key在資料庫中是否存在
request.session.exists("session_key")
# 刪除當前會話的所有Session資料(只刪資料庫)
request.session.delete()
# 刪除當前的會話資料並刪除會話的Cookie(資料庫和cookie都刪)
request.session.flush()
這用於確保前面的會話資料不可以再次被使用者的瀏覽器訪問
# 設定會話Session和Cookie的超時時間
request.session.set_expiry(value)
* 如果value是個整數,session會在些秒數後失效。
* 如果value是個datatime或timedelta,session就會在這個時間後失效。
* 如果value是0,使用者關閉瀏覽器session就會失效。
* 如果value是None,session會依賴全域性session失效策略。
3.3 session的其他配置(配置檔案中)
1. 資料庫Session
SESSION_ENGINE = 'django.contrib.sessions.backends.db' # 引擎(預設)
2. 快取Session
SESSION_ENGINE = 'django.contrib.sessions.backends.cache' # 引擎
SESSION_CACHE_ALIAS = 'default' # 使用的快取別名(預設記憶體快取,也可以是memcache),此處別名依賴快取的設定
3. 檔案Session
SESSION_ENGINE = 'django.contrib.sessions.backends.file' # 引擎
SESSION_FILE_PATH = None # 快取檔案路徑,如果為None,則使用tempfile模組獲取一個臨時地址tempfile.gettempdir()
4. 快取+資料庫
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db' # 引擎
5. 加密Cookie Session
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies' # 引擎
其他公用設定項:
SESSION_COOKIE_NAME = "sessionid" # Session的cookie儲存在瀏覽器上時的key,即:sessionid=隨機字串(預設)
SESSION_COOKIE_PATH = "/" # Session的cookie儲存的路徑(預設)
SESSION_COOKIE_DOMAIN = None # Session的cookie儲存的域名(預設)
SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie(預設)
SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支援http傳輸(預設)
SESSION_COOKIE_AGE = 60 * 60 * 24 * 7 * 2 # Session的cookie失效日期(2周)(預設)
SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期(預設)
SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都儲存Session,預設修改之後才儲存(預設)