- URL重写
http://www.abc.com/path/resource?foo=bar
- 隐藏域(隐式表单域)- 埋点
- cookie / localStorage / sessionStorage
通过请求头直接传给服务器
后端实现用户跟踪的方式?(Django/DRF)
1.通过响应对象往浏览器中写入cookie(键值对)
- 创建cookie:resp.set_cookie('name', 'maggie')
def show_subjects(request):
subjects = Subject.objects..all()
resp = render(request, 'subject.html', {'subjects', subjects})
resp.set_cookie('name', 'maggie')
return resp
- 拿到浏览器的cookie(用键取值)(django\DRF)
request.COOKIES['name']
- cookie-session
用户登录post表单——>创建session(字典形式——> 用户浏览器cookie中保存sessionid;同时此用户的session保存在内存中(redis)——>用户下次请求时,通过cookie中放的sessionid找到服务器对象的session(用户)
- 表单验证通过后,创建用户对象的session
request.session['user'] = user
- 拿到用户对象浏览器的sessin
request.session.get('user', None)
- 清除session
request.session.flush()
- JWT
用户登录post表单——>表单验证通过——>生成JWT编码(token)——>返回浏览器payload(userid/exp等)、token——>token保存在cookie/localstorage/sessionstorage中
- 生成JWT编码(encode),并返回payload
if user:
payload = {
'exp': datetime.datetime.utcnow() + datetime.timedelta(days=1),
'data': {'userid': user.userid}
}
token = jwt.encode(payload, SECRET_KEY, algorithm='HS256').decode()
- 拿到浏览器token,JWT解码(decode),使用paycode中data的userid进行认证
token = request.META.get('HTTP_TOKEN')
if token:
try:
result = jwt.decode(token, SECRET_KEY, algorithm='HS256')
user = User.objects.get(userid=result['data']['userid'])
return user, token
cookie / localStorage / sessionStorage
什么是cookie?
它是网站实现用户跟踪最重要的手段。
网站可以利用cookies跟踪统计用户访问该网站的习惯,比如什么时间访问,访问了哪些页面,在每个网页的停留时间等。利用这些信息,一方面是可以为用户提供个性化的服务,另一方面,也可以作为了解所有用户行为的工具,对于网站经营策略的改进有一定参考价值。
localStorage
用户关闭浏览器时,token不会丢失。
sessionStorage
用户在浏览器页面之间跳转时,token不会丢失。
session
什么是session?
Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。
session应该放在哪里?
内存中
JWT(Json Web Token)
参考网址:(阮一峰)
https://www.baidu.com/link?url=uu1flmevuJJrMVDpmF6XK8hbi5ZJOUuloK-VXIDplUWSiSfQOROG3D1CcrbQdca6GxkqtMHiG5JkFzWZOZIiIUvl-Urhb2RWQCodc0VPlHC&wd=&eqid=d3088798000112b3000000065cec02dc
客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage。
此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。