cookie: Cookie,有时也用其复数形式 Cookies,指某些网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的键值对数据
HTTP 协议是无状态的。所以服务器无法根据 HTTP 协议来辨别多个 HTTP 请求来自哪个用户。在实际场景中,服务器经常需要追踪客户端的状态。为了解决这个问题, Cookie 技术应运而生。
cookie 一开始是服务器产生的一段随机字符串。它的主要内容包括:名字,值,过期时间,路径与域等信息。然后服务器将其发送给客户端。在后续的请求中,cookie 会附在请求资源的 HTTP 请求头上,发送给服务器。
1.什么是session?
首先引入百度百科的解释:Session:在计算机网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。例如,如果用户指明不喜欢查看图形,就可以将该信息存储在 Session 对象中。有关使用 Session 对象的详细信息,请参阅“ASP 应用程序”部分的“管理会话”。注意 会话状态仅在支持 cookie 的浏览器中保留。
我的理解: 服务器端为了保存某些数据,或实现某些必要的功能,当用户访问服务器时,将数据临时保存在服务器端以供完成服务器端的其他某些功能。服务器需要保存的数据可以以cookie的方式存储在客户端,而session的功能就是将服务器需要保存的数据存储在服务端。例如账号登录记录的功能,可以以session的方式将登录状态保存在服务器端,这样当用户访问其他程序时,需要用到登录的地方,都可以从该用户的session中取出该用户的数据,为用户服务。
2.session和cookie的区别
session的底层是基于cookie技术来实现的,在早期保存会话状态一直用的cookie,cookie是保存在客户端的明文键值对,但这样直接保存重要信息是不安全的,后来衍生了session,session是加密后的cookie键值,加密后的值即使被人截取,也无法获取到密码等敏感信息,避免了重要资源信息泄露。当用户打开浏览器,去访问服务器的时候,服务器会为每个用户的浏览器创建一个会话对象(session对象),并且为每个session对象创建一个session_id。当session对象创建成功后,会以cookie的方式将这个session_id回写给浏览器,当用户再次进行访问服务器时,及带了具有session_id的cookie数据来一起访问服务器,服务器通过不同session的 session_id来找出与其相关联的session对象,通过不同的session对象来为不同的用户服务。
3.在Django中session的使用方法-示例
Django中默认支持Session,其内部提供了5种类型的Session供开发者使用:
· 数据库(默认)
· 缓存
**· **文件
· 缓存+数据库
**· **加密cookie
(1)数据库中的Session
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
| Django默认支持Session,并且默认是将Session数据存储在数据库中,即:django_session 表中。
a. 配置 settings.py
SESSION_ENGINE = 'django.contrib.sessions.backends.db'
SESSION_COOKIE_NAME = "sessionid"
SESSION_COOKIE_PATH = "/"
SESSION_COOKIE_DOMAIN = None
SESSION_COOKIE_SECURE = False
SESSION_COOKIE_HTTPONLY = True
SESSION_COOKIE_AGE = 1209600
SESSION_EXPIRE_AT_BROWSER_CLOSE = False
SESSION_SAVE_EVERY_REQUEST = False
b. 使用
def index(request):
request.session['k1']
request.session.get('k1',None)
request.session['k1'] = 123
request.session.setdefault('k1',123)
del request.session['k1']
request.session.keys()
request.session.values()
request.session.items()
request.session.iterkeys()
request.session.itervalues()
request.session.iteritems()
request.session.session_key
request.session.clear_expired()
request.session.exists("session_key")
request.session.delete("session_key")
request.session.clear()
request.session.set_expiry(value)
* 如果value是个整数,session会在些秒数后失效。
* 如果value是个datatime或timedelta,session就会在这个时间后失效。
* 如果value是0,用户关闭浏览器session就会失效。
* 如果value是None,session会依赖全局session失效策略。
|
(2)缓存Session
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
| a. 配置 settings.py
SESSION_ENGINE = 'django.contrib.sessions.backends.cache'
SESSION_CACHE_ALIAS = 'default'
SESSION_COOKIE_NAME = "sessionid"
SESSION_COOKIE_PATH = "/"
SESSION_COOKIE_DOMAIN = None
SESSION_COOKIE_SECURE = False
SESSION_COOKIE_HTTPONLY = True
SESSION_COOKIE_AGE = 1209600
SESSION_EXPIRE_AT_BROWSER_CLOSE = False
SESSION_SAVE_EVERY_REQUEST = False
b. 使用 同上
|
(3)文件Session
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
| a. 配置 settings.py
SESSION_ENGINE = 'django.contrib.sessions.backends.file'
SESSION_FILE_PATH = None
SESSION_COOKIE_NAME = "sessionid"
SESSION_COOKIE_PATH = "/"
SESSION_COOKIE_DOMAIN = None
SESSION_COOKIE_SECURE = False
SESSION_COOKIE_HTTPONLY = True
SESSION_COOKIE_AGE = 1209600
SESSION_EXPIRE_AT_BROWSER_CLOSE = False
SESSION_SAVE_EVERY_REQUEST = False
b. 使用 同上
|
(4)缓存+数据库Session
1
2
3
4
5
6
| 数据库用于做持久化,缓存用于提高效率
a. 配置 settings.py
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'
b. 使用 同上
|
(5)加密Session
1
2
3
4
| a. 配置 settings.py
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'
b. 使用 同上
|
(6)Session的用户验证
1
2
3
4
5
6
7
| def login(func):
def wrap(request, *args, **kwargs):
if request.path == '/test/':
return redirect('http://www.baidu.com')
return func(request, *args, **kwargs)
return wrap
|
利用session做个用户认证示例:
Views.py
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
| from django.shortcuts import render,redirect,HttpResponse
def login(request):
if request.method=='GET':
return render(request,'login.html')
elif request.method=="POST":
user=request.POST.get('username')
pwd=request.POST.get('password')
if user=="root" and pwd=="123":
if request.POST.get('box')=="1":
request.session.set_expiry(10)
request.session['username']=user
request.session['is_login']=True
return redirect('/index')
else:
return redirect('/login')
return render(request,'login.html')
def index(request):
if request.session.get('is_login',None):
return render(request,'index.html',{'username':request.session['username']})
else:
return HttpResponse('认证失败')
def logout(request):
request.session.clear()
return redirect('/login')
|
login.html
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
| <!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
<script src="/static/js/jquery-1.12.4.js"></script>
<script src="/static/js/jquery.cookie.js"></script>
</head>
<body>
<form action="/login/" method="post">
<p>
<input type="text" name="username" placeholder="username" />
</p>
{% csrf_token %}
<p>
<input type="password" name="password" placeholder="password" />
</p>
<p>
<input type="checkbox" name="box" value="1" /> 10s超时
</p>
<p>
<input type="submit" value="提交" />
</p>
<input type="button" id="btu-1" value="Ajax-1" />
</form>
<script>
$(function () {
$.ajaxSetup({
beforeSend:function (xhr,settings) {
xhr.setRequestHeader('X-CSRFtoken',$.cookie('csrftoken'))
}
});
$('#btu-1').click(function () {
$.ajax({
url:"/login/",
type:"POST",
data:{'username':"root","password":"123"},
})
})
})()
|
index.html
1
| <head> <meta charset="UTF-8"> <title>Title</title></head> <h1>欢迎登录:{{ username }},{{ request.session.username }}</h1> <a href="http://127.0.0.1:8006/logout/"><input type="button" value="注销"/></a></body></html>
|
