django中的cookie与session

cookie

-是什么?

　　存储在客户端浏览器上的键值对.

原理 　

    　是服务器产生,发给客户端浏览器,浏览器保存起来,下次发请求,会携带这个键值对到服务器

Cookie的覆盖 　　

　　先写了一个键值对,后来再写,会把原来的值覆盖掉

　　  如果服务器端发送重复的Cookie那么会覆盖原有的Cookie，例如客户端的第一个请求服务器端发送的Cookie是：Set-Cookie: a=A；第二请求服务器端发送的是：Set-Cookie: a=AA，那么客户端只留下一个Cookie，即：a=AA。

cookie规范

•  Cookie大小上限为4KB； 
•  一个服务器最多在客户端浏览器上保存20个Cookie； 
•  一个浏览器最多保存300个Cookie；  

上面的数据只是HTTP的Cookie规范，但在浏览器大战的今天，一些浏览器为了打败对手，为了展现自己的能力起见，可能对Cookie规范“扩展”了一些，例如每个Cookie的大小为8KB，最多可保存500个Cookie等！但也不会出现把你硬盘占满的可能！ 
注意，不同浏览器之间是不共享Cookie的。也就是说在你使用IE访问服务器时，服务器会把Cookie发给IE，然后由IE保存起来，当你在使用FireFox访问服务器时，不可能把IE保存的Cookie发送给服务器。

-浏览器中查看cookie:

　　浏览器中按F12,点network---cookies 就能看到

　　

cookie使用(**********************)

　　写cookie:在Httpresponse这个对象上写
　　　　obj.set_cookie(key,value)

　　　　

def set_cookie(request):
    obj = HttpResponse('ok')
    # 设置cookie
    obj.set_cookie('name', 'lqz')
    return obj

 

　　取cookie:

　　　　从request对象中取,取出来是个字典request.COOKIES    这是一个字典,只需要根据k取值即可

def get_cookie(request):
    print(type(request.COOKIES))
    # 取cookie的值
    print(request.COOKIES)
    name=request.COOKIES.get('name')

    obj = HttpResponse('get_cookie')
    return obj

 

　　
　　删除cookie:
　　　　obj.delete_cookie('name')

　　　　

def delete_cookie(request):

    obj= HttpResponse('ok')
    # 指定删除名字是name的cookie
    obj.delete_cookie('name')
    return obj

 

#登录认证装饰器,登录之后才能访问固定的页面
            def login_auth(func):
                def inner(request, *args, **kwargs):
                    # 拿到之前访问的路径
                    # 这个不行,因为取不到数据部分
                    # url=request.path
                    url = request.get_full_path()

                    is_login = request.COOKIES.get('is_login')
                    if is_login:
                        res = func(request, *args, **kwargs)
                        return res
                    else:
                        return redirect('/login/?next=%s' % url)

                return inner

 

cookie的其他属性

加盐cooke

# 加盐,123是个密码,解cookie的时候需要它,
 object.set_signed_cookie('name','lqz',salt='123')

 

超时时间max_age,传一个秒的时间

 # 5秒之后失效
   object.set_cookie('name','lqz',max_age=5)

 

超时时间expires,传一个datatime对象

path='/',可以设置路径,设置路径之后,path='/index/',只有访问index的时候,才会携带cookie过来

 # path
 object.set_cookie('name', 'lqz', path='/shopping/')

 

domain 设置域名下有效domain='map.baidu.com'

secure=False, (默认是false,设置成True浏览器将通过HTTPS来回传cookie)

httponly=True 只能https协议传输，无法被JavaScript获取（不是绝对，底层抓包可以获取到也可以被覆盖)

def login_auth(func):
    def inner(request,*args,**kwargs):
        next_url=request.get_full_path()
        if request.COOKIES.get('is_login'):
            return func(request,*args,**kwargs)
        else:
            return redirect('cookie_login/?next=%s'%next_url)
    return inner
@login_auth
def cookie_order(request):
    return HttpResponse('我是订单页面')
@login_auth
def cookie_index(request):
    name=request.COOKIES.get('username')
    return render(request,'cookie_index.html',{'name':name})
def cookie_login(request):
    if request.method =='POST':
        next_url=request.GET.get('next')
        name=request.POST.get('name')
        password=request.POST.get('password')
        if name == 'lqz' and password == '123':
            import datetime
            now=datetime.datetime.now().strftime('%Y-%m-%d %X')
            print(now)
            obj=redirect(next_url)
            obj.set_cookie('is_login',True)
            obj.set_cookie('username',name)
            obj.set_cookie('login_time',now)
            return obj

    return render(request, 'cookie_login.html')

登录认证装饰器

cookie版登陆验证装饰器

 

session

-解决cookie不安全的问题,
-存在服务器上的键值对 {'sdaf随机字符串':{name:lqz,pwd:123}}   (返回给浏览器时,把随机字符串返还,这样就保证了信息的安全性)
-用session必须跟cookie连用

-缺点:在服务器上存储的session数据太多时会加大服务器的负荷或者内存的负荷,即使才用服务器集群也要在服务器上来回查找,存在一个服务器上的话,万一这台服务器损坏,会造成数据的丢失

# 获取、设置、删除Session中数据
request.session['k1']
request.session.get('k1',None)
request.session['k1'] = 123
request.session.setdefault('k1',123) # 存在则不设置
del request.session['k1']


# 所有 键、值、键值对
request.session.keys()
request.session.values()
request.session.items()
request.session.iterkeys()
request.session.itervalues()
request.session.iteritems()

# 会话session的key
request.session.session_key

# 将所有Session失效日期小于当前日期的数据删除
request.session.clear_expired()

# 检查会话session的key在数据库中是否存在
request.session.exists("session_key")

# 删除当前会话的所有Session数据(只删数据库)
request.session.delete()
　　
# 删除当前的会话数据并删除会话的Cookie（数据库和cookie都删）。
request.session.flush() 
    这用于确保前面的会话数据不可以再次被用户的浏览器访问
    例如，django.contrib.auth.logout() 函数中就会调用它。

# 设置会话Session和Cookie的超时时间
request.session.set_expiry(value)
    * 如果value是个整数，session会在些秒数后失效。
    * 如果value是个datatime或timedelta，session就会在这个时间后失效。
    * 如果value是0,用户关闭浏览器session就会失效。
    * 如果value是None,session会依赖全局session失效策略。

Django中使用session时，做的事：

# 生成随机字符串
# 写浏览器cookie -> session_id: 随机字符串
# 写到服务端session：
    # {
    #     "随机字符串": {'user':'alex'}
    # }

Django中的Session配置

这些配置都是写在settings中的
1. 数据库Session
SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎（默认）

2. 缓存Session
SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
SESSION_CACHE_ALIAS = 'default'                            # 使用的缓存别名（默认内存缓存，也可以是memcache），此处别名依赖缓存的设置

3. 文件Session
SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎
SESSION_FILE_PATH = None                                    # 缓存文件路径，如果为None，则使用tempfile模块获取一个临时地址tempfile.gettempdir() 

4. 缓存+数据库
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'        # 引擎

5. 加密Cookie Session
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'   # 引擎

其他公用设置项：
SESSION_COOKIE_NAME ＝ "sessionid"                       # Session的cookie保存在浏览器上时的key，即：sessionid＝随机字符串（默认）
SESSION_COOKIE_PATH ＝ "/"                               # Session的cookie保存的路径（默认）
SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名（默认）
SESSION_COOKIE_SECURE = False                            # 是否Https传输cookie（默认）
SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http传输（默认）
SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期（2周）（默认）
SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否关闭浏览器使得Session过期（默认）
SESSION_SAVE_EVERY_REQUEST = False                       # 是否每次请求都保存Session，默认修改之后才保存（默认）

CBV中加装饰器

from django import views
from django.utils.decorators import method_decorator
# @method_decorator(login_auth,name='get')
# @method_decorator(login_auth,name='post')
class UserList(views.View):
    # @method_decorator(login_auth)
    def dispatch(self, request, *args, **kwargs):
        obj=super().dispatch(request, *args, **kwargs)
        return obj

    @method_decorator(login_auth)
    def get(self,request):
        return HttpResponse('我是用户列表')

    def post(self,request):
        return HttpResponse('我是用户列表')