Cookies和session(4)

flask session 的实现是在客户端

一、session和cookie

cookie 是在服务器响应的时候设置,将 Set-Cookie 这个字段存储在响应头部字段中,键和值为自己设定。那么下次服务器请求的时候,在请求头部多了一个字段 Cookie,值和 Set-Cookie 的键和值一样;
session:服务器产生随机字符串与用户对应,然后将随机字符串返回给浏览器,服务器通过这个随机字符串辨别用户。session 基于 cookie原理就是将随机字符串与用户建立对应关系
sessionid是一个会话的key,浏览器第一次访问服务器会在服务器端生成一个session,有一个sessionid和它对应。浏览器和服务器传递的是 sessionid;

登陆成功的 HTTP 响应

HTTP/1.x 210 VERY OK
Content-Type: text/html
Set-Cookie: user=gua; id=3
请求成功后,服务器会返回一个cookie,浏览器看到后会把它存起来
以后每次向服务器发送请求,都会带上这个数据
...

再次刷新登陆页面的 HTTP 请求

GET /login HTTP/1.1
Host: localhost:3000
Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Cookie: user=gua; id=3






session虽然掩盖掉了明文信息(相对于 cookies),但是别人还是可以偷取你的随机字符串伪造你,这时候就需要更高级别的加密方式了:https(通过 sslhttp 加密),对所有的请求信息都会加密。
session

给定一个随机子字符串,生成5个随机数(数字在随机字符串长度范围内),生成随机字符串。
import random
def random_str():
    seed = 'adnvcidhfvuidfneneui'
    for i in range(1, 5):
        random_index = random.randint(0, len(seed)-1)
        s += seed[random_index]
    return s

// 对应起来
session_id = random_str()
headers['Set-Cookie'] = 'session_id={}'.format(session_id)
session[session_id] = u.username

session = {}
// 通过cookie获得当前的用户
def current_user():
    session_id = request.cookies.get('session_id', None)
    username = session.get('session_id', '游客')
    return username

请求中的cookie储存Cookie中,上面的获取是经过处理的:

Cookie.png

对应关系:

Cookies和session(4)_第1张图片
图片.png

这只是一个比较简单的设置 session 的方式,虽然储存于服务器中session 字典,但是如果服务器崩溃或者重启之后,所有的 cookie 都会消失;另一种方式是创建一个数据库,将 cookie 储存在数据库(内存)中,这就需要 ·session持久化 。
session持久化
保存到数据库:新建一个Session数据模型,用来存储cookie和用户的对应关系;

class Session(Model):
    def __init__(self, form):
        super().__init__(form)
        self.session_id = form.get('session_id', '')
        self.username = form.get('username', '')
            form = dict(
                session_id=session_id,
                user_id=u.id,
            )
            s = Session.new(form)
            s.save()
            headers['Set-Cookie'] = 'session_id={}'.format(
                session_id
            )
def current_user(request):
    session_id = request.cookies.get('session_id')
    if session_id is not None:
        s = Session.find_by(session_id=session_id)
        if s is not None:
            if not s.expired():
                user_id = s.user_id
                u = User.find_by(id=user_id)
                return u
    else:
        return User.guest()

逻辑
这里不仅将session数据存储在数据库,还多加了一层逻辑关系。通过头中的键 session_id 拿到值 session_id(随机字符串),再通过这个随机字符串拿到 Session 的实例,再通过这个实例拿到 user_id,再通过这个 user_id 拿到用户实例;
对称加密:服务器将 cookie 加密后给客户端,客户端请求时再加密后给服务器;

小知识点:

  1. range(),有三个参数,起点,终点,步长;不包括终点;
  2. random.randient():两个参数,起点和终点,产生一个随机数;
  3. 字典的简单书写方式:
    d = dict( a = 1, b = 2, c = 3 ) // 这样写,键不用写双引号
    字典的取值方式:
    for key in d: 得到的是键,等同于:for key in d.keys()
    for key in d.values():得到的是值的列表
    for key, value in d.items():得到的是键值对
    for ele in d.items():得到的是键值的元祖
    d.update(c):将字典c的元素添加进字典d
    d.has_key(key):用来判断字典中是否存在某个键 无效了
  4. enumerate()函数
list = [a, b, c]
for num, ele in enumerate(list):
    print num, ele

输出:

1, a
2, b
3, c



客户端和服务端实现 session

  • session 持久化
    • 保存到文件
    • 对称加密

客户端实现 session 的方式就是将需要存在 cookie 里面的信息进行加密,服务器再进行解密;在服务器端实现 session 的方式是将 session 和用户的对应关系存在文件当中。

你可能感兴趣的:(Cookies和session(4))