[Python]Django会话保持(cookie & session)

---

前言

系列文章目录
[Python]目录
视频及资料和课件
链接：https://pan.baidu.com/s/1LCv_qyWslwB-MYw56fjbDg?pwd=1234
提取码：1234

---

---

1. 状态保持

浏览器请求服务器是无状态的。

无状态：指一次用户请求时，浏览器、服务器无法知道之前这个用户做过什么，每次请求都是一次新的请求。

无状态原因：浏览器与服务器是使用Socket套接字进行通信的，服务器将请求结果返回给浏览器之后，会关闭当前的Socket连接，而且服务器也会在处理页面完毕之后销毁页面对象。

有时需要保持下来用户浏览的状态，比如用户是否登录过，浏览过哪些商品等

实现状态保持主要有两种方式：

1. 在客户端存储信息使用Cookie
   • 每次浏览器向服务器发送请求，都携带cookie，则每次请求服务器都能知道本次发送请求的客户端之前做过什么，即可以根据之前的信息(cookie)进行后续的处理，以此实现会话的保持(状态保持)
2. 在服务器端存储信息使用Session

2. Cookie

2.1 Cookie简介

Cookie，有时也用其复数形式Cookies，指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据（通常经过加密）。

Cookie是由服务器端生成，发送给User-Agent（一般是浏览器），浏览器会将Cookie的key/value保存到某个目录下的文本文件内，下次请求同一网站时就发送该Cookie给服务器（前提是浏览器设置为启用cookie）。

Cookie名称和值可以由服务器端开发自己定义，这样服务器可以知道该用户是否是合法用户以及是否需要重新登录等。

服务器可以利用Cookies包含信息的任意性来筛选并经常性维护这些信息，以判断在HTTP传输中的状态。Cookies最典型记住用户名。

Cookie是存储在浏览器中的一段纯文本信息，建议不要存储敏感信息如密码，因为电脑上的浏览器可能被其它人使用。

2.2 Cookie的流程

• 第一次请求过程
  1. 我们的浏觉器第一次请求服务器的时候，不会携带任何cookie信息
  2. 服务器接收到请求之后,发现请求中没有任何cookie信息
  3. 服务器设置一个cookie.这个cookie设置在响应中
  4. 我们的浏览器接收到这个响应之后，发现响应中有cookie信息,浏览器会将cookie信息保存起来
• 第二次及其之后的过程
  1. 当我们的浏览器第二次及其之后的请求都会携带cookie信息
  2. 我们的服务器接收到请求之后，会发现请求中携带的cookie信息,这样的话就认识是谁的请求了

2.3 Cookie的特点

• Cookie以键值对的格式进行信息的存储。
• Cookie保存在客户端，不同浏览器的Cookie不会进行互通。
• Cookie通过请求头传递给服务器，返回的Cookie在响应头中。
• Cookie基于域名安全，不同域名的Cookie是不能互相访问的，如访问itcast.cn时向浏览器中写了Cookie信息，使用同一浏览器访问baidu.com时，无法访问到itcast.cn写的Cookie信息。
• 当浏览器请求某网站时，会将浏览器存储的跟网站相关的所有Cookie信息提交给网站服务器。

2.4 设置Cookie

可以通过HttpResponse对象中的set_cookie()方法来设置cookie。

语法：

HttpResponse.set_cookie(cookie名, value=cookie值, max_age=cookie有效期)

• max_age单位为秒，默认为None 。如果是临时cookie，可将max_age设置为None。临时Cookie被删除的时间为浏览器关闭时。Cookie的有效时间 = 浏览器得到响应的时间 + Cookie有效期。

项目/urls.py:

urlpatterns = [
    path('admin/', admin.site.urls),
    path('login/', include(('login.urls', 'login'), namespace='login')),
    path('book/', include(('book.urls', 'book'), namespace='book'))
]

login/urls.py:

from django.urls import path
from login import views

urlpatterns = [
    path('', views.login),
    path('set_cookie', views.set_cookie)
]

login/views.py:

from django.shortcuts import render
from django.http import HttpRequest
from django.http import HttpResponse
from django.http import JsonResponse
from django.shortcuts import redirect
from django.urls import reverse


# Create your views here.
def set_cookie(request):
    response = HttpResponse('set_cookie')
    # 在响应中设置Cookie为 username=zs
    response.set_cookie('username', value='zs')
    # 返回响应
    return response

2.5 读取Cookie

可以通过HttpResponse对象的COOKIES属性来读取本次请求携带的cookie值。

request.COOKIES为字典类型。

login/urls.py:

from django.urls import path
from login import views

urlpatterns = [
    path('', views.login),
    path('set_cookie/', views.set_cookie),
    path('get_cookie/', views.get_cookie)
]

login/views.py:

from django.shortcuts import render
from django.http import HttpRequest
from django.http import HttpResponse
from django.http import JsonResponse
from django.shortcuts import redirect
from django.urls import reverse
import json


# Create your views here.
def set_cookie(request):
    response = HttpResponse('set_cookie')
    # 在响应中设置Cookie为 username=zs
    response.set_cookie('username', value='zs')
    # 返回响应
    return response


def get_cookie(request):
    # 获取浏览器请求时携带的cookie
    cookies = request.COOKIES
    print('cookies: ', cookies)
    print('cookies_type: ', type(cookies))
    # 获取cookie中的用户名
    # 由于cookies是字典类型，所以可以使用字典方式获取cookie中某一个值
    username = cookies['username']
    print('username: ', username)
    # 将cookie以JSON字符串的形式返回给浏览器
    return JsonResponse(cookies)

2.6 删除Cookie

可以通过HttpResponse对象中的delete_cookie方法来删除。

语法：

HttpResponse.delete_cookie('cookie名')

login/urls.py:

from django.urls import path
from login import views

urlpatterns = [
    path('', views.login),
    path('set_cookie/', views.set_cookie),
    path('get_cookie/', views.get_cookie),
    path('del_cookie/', views.del_cookie)
]

login/views.py:

from django.shortcuts import render
from django.http import HttpRequest
from django.http import HttpResponse
from django.http import JsonResponse
from django.shortcuts import redirect
from django.urls import reverse
import json


# Create your views here.
def set_cookie(request):
    response = HttpResponse('set_cookie')
    # 在响应中设置Cookie为 username=zs
    response.set_cookie('username', value='zs')
    # 返回响应
    return response


def get_cookie(request):
    # 获取浏览器请求时携带的cookie
    cookies = request.COOKIES
    print('cookies: ', cookies)
    print('cookies_type: ', type(cookies))
    # 获取cookie中的用户名
    # 由于cookies是字典类型，所以可以使用字典方式获取cookie中某一个值
    username = cookies['username']
    print('username: ', username)
    # 将cookie以JSON字符串的形式返回给浏览器
    return JsonResponse(cookies)


def del_cookie(request):
    response = HttpResponse('del_cookie')
    # 由于不为第一次请求，cookie存在，返回响应时，会将发送过来的cookie返回
    # 删除响应对象中的cookie
    response.delete_cookie('username')
    # 返回响应
    return response

删除Cookie，也可通过将Cookie的有效时间设置为0实现：

HttpResponse.set_cookie(key, value, max_age=0)

2.7 从http协议角度理解Cookie的流程

• 第一次请求
  1. 我们是第一次请求服务器,不会携带任何cookie信息,请求头中没有任何cookie信息
  2. 服务器会为响应设置cookie信息，响应头中有set_cookie信息
• 第二次请求及其之后的
  1. 我们第二次及其之后的请求都会携带cookie信息，请求头中有cookie信息
  2. (可选）在当前我们的代码中,没有再在响应头中设置cookie,所以响应头中没有set_cookie信息

3. Session

3.1 Session简介

保存在服务器的数据，叫做Session。Session需要依赖于Cookie，如果浏览器禁用了Cookie，则Session不能实现。因为设置session会生成一个sessionid保存cookie中响应给客户端，之后客户端再次发送请求，cookie中的sessionid没问题，可以直接获取session中的数据。

sessionid由服务器自动设置

3.2 Session流程

• 第一次请求:
  1. 我们第一次请求的时候可以携带一些信息(用户名/密码) ，cookie中没有任何信息
  2. 当我们的服务器接收到这个请求之后，进行用户名和密码的验证，验证没有问题可以设置session信息
  3. 在设置session信息的同时(session信息保存在服务器端) .服务器会在响应头中设置一个session id
  4. 客户端(浏览器)在接收到响应之后，会将cookie信息保存起来(保存session id的信息)
• 第二次及其之后的请求:
  1. 第二次及其之后的请求都会携带session id信息
  2. 当服务器接收到这个请求之后,会获取到session id信息,然后进行验证
     • 验证成功，则可以获取session信息(session信息保存在服务器端)

3.3 启用Session

Django项目默认启用Session。

可以在项目的settings.py文件中查看

如需禁用session，将上图中的session中间件注释掉即可。

3.4 Session的存储位置

Session默认保存在服务器的数据库中。

3.5 设置Session

通过HttpRequest对象的session属性对Session进行读写操作。

HttpRequest.session可以理解为字典，可以以键值对的格式设置session。

我们在设置session时，session做了2件事，将数据保存在数据库中，设置一个cookie信息，这个cookie信息以sessionid为key
如果sessionid已经存在，则不会再次生成，只会对session中的数据进行更新

语法：

request.session['键']=值

login/urls.py:

from django.urls import path
from login import views

urlpatterns = [
    path('', views.login),
    path('set_cookie/', views.set_cookie),
    path('get_cookie/', views.get_cookie),
    path('del_cookie/', views.del_cookie),
    path('set_session/', views.set_session)
]

login/views.py:

from django.shortcuts import render
from django.http import HttpRequest
from django.http import HttpResponse
from django.http import JsonResponse
from django.shortcuts import redirect
from django.urls import reverse
import json


# Create your views here.
def set_session(request):
    # 1. 获取浏览器传递的Cookie
    # 第一次请求没有cookie
    cookies = request.COOKIES
    print(cookies)
    # 2. 用户名和密码进行验证
    # 假设认为用户名和密码正确
    username = 'zszszs'
    # 3. 设置session信息
    # request.session可以理解为字典
    # 服务器会自动在响应头中设置一个session id
    request.session['username'] = username
    # 4. 返回响应
    return HttpResponse('set_session')

3.6 读取Session

通过HttpRequest对象的session属性对Session进行读写操作。

HttpRequest.session可以理解为字典，可以根据键读取Session值。

语法：

request.session.get('键',默认值)

login/urls.py:

from django.urls import path
from login import views

urlpatterns = [
    path('', views.login),
    path('set_cookie/', views.set_cookie),
    path('get_cookie/', views.get_cookie),
    path('del_cookie/', views.del_cookie),
    path('set_session/', views.set_session),
    path('get_session/', views.get_session)
]

login/views.py:

def get_session(request):
    # 1. 请求会通过cookie将session id发送给服务器
    cookies = request.COOKIES
    print(cookies)
    # 2. 获取session id，进行验证
    # 浏览器发送过来的请求cookie会携带session id
    # cookie中的session id没问题可以直接获取session中的信息
    # 验证成功获取session信息
    # request.session相当于字典
    username = request.session.get('username')
    print(username)
    # 3. 返回响应
    return HttpResponse('get_session')

3.7 从http协议角度理解session的流程

• 第一次请求:
  1. 第一次请求,在请求头中没有携带任何cookie信息
  2. 我们在设置session的时候，session会做2件事.
     • 第一件∶将数据保存在数据库中
     • 第二件∶设置一个cookie信息﹐这个cookie信息是以sessionid为key value为xxxx
     • cookie肯定会以响应的形式在响应头中出现
• 第二次及其之后的:
  1. 都会携带cookie信息，特别是sessionid

3.8 清除所有session的值部分

清除所有session在存储中的值部分。

语法：

request.session.clear()

3.9 清除所有session的整条数据

清除所有session在存储中的整条数据。

语法：

request.session.flush()

3.10 清除指定session的键及值

删除session中的指定键及值，在存储中只删除某个键及对应的值。

语法：

del request.session['键']

3.11 设置session的有效期

语法：

request.session.set_expiry(value)

• 如果value是一个整数，session将在value秒 没有活动后过期。
• 如果value为0，那么用户session的Cookie将在用户的浏览器关闭时过期。
• 如果value为None，那么session有效期将采用系统默认值， 默认为两周，可以通过在settings.py中设置SESSION_COOKIE_AGE来设置全局默认值。