cookie與session組件

1 會話跟蹤技術

什么是會話跟蹤

 

我們需要先了解一下什么是會話！可以把會話理解為客戶端與服務器之間的一次會晤，在一次會晤中可能會包含多次請求和響應。例如你給10086打個電話，你就是客戶端，而10086服務人員就是服務器了。從雙方接通電話那一刻起，會話就開始了，到某一方掛斷電話表示會話結束。在通話過程中，你會向10086發出多個請求，那么這多個請求都在一個會話中。 
在Web中，客戶向某一服務器發出第一個請求開始，會話就開始了，直到客戶關閉了瀏覽器會話結束。 

在一個會話的多個請求中共享數據，這就是會話跟蹤技術。例如在一個會話中的請求如下：  請求銀行主頁； 

 

• 請求登錄（請求參數是用戶名和密碼）；
• 請求轉賬（請求參數與轉賬相關的數據）； 
• 請求信譽卡還款（請求參數與還款相關的數據）。  

 

在這上會話中當前用戶信息必須在這個會話中共享的，因為登錄的是張三，那么在轉賬和還款時一定是相對張三的轉賬和還款！這就說明我們必須在一個會話過程中有共享數據的能力。

會話路徑技術使用Cookie或session完成

 

我們知道HTTP協議是無狀態協議，也就是說每個請求都是獨立的！無法記錄前一次請求的狀態。但HTTP協議中可以使用Cookie來完成會話跟蹤！在Web開發中，使用session來完成會話跟蹤，session底層依賴Cookie技術。

2 cookie介紹

cookie的由來

 

大家都知道HTTP協議是無狀態的。

 

無狀態的意思是每次請求都是獨立的，它的執行情況和結果與前面的請求和之后的請求都無直接關系，它不會受前面的請求響應情況直接影響，也不會直接影響后面的請求響應情況。

 

一句有意思的話來描述就是人生只如初見，對服務器來說，每次的請求都是全新的。

 

狀態可以理解為客戶端和服務器在某次會話中產生的數據，那無狀態的就以為這些數據不會被保留。會話中產生的數據又是我們需要保存的，也就是說要“保持狀態”。因此Cookie就是在這樣一個場景下誕生。

什么是cookie

其實Cookie是key-value結構，類似於一個python中的字典。隨着服務器端的響應發送給客戶端瀏覽器。然后客戶端瀏覽器會把Cookie保存起來，當下一次再訪問服務器時把Cookie再發送給服務器。 Cookie是由服務器創建，然后通過響應發送給客戶端的一個鍵值對。客戶端會保存Cookie，並會標注出Cookie的來源（哪個服務器的Cookie）。當客戶端向服務器發出請求時會把所有這個服務器Cookie包含在請求中發送給服務器，這樣服務器就可以識別客戶端了！

cookie的原理

cookie的工作原理是：由服務器產生內容，瀏覽器收到請求后保存在本地；當瀏覽器再次訪問時，瀏覽器會自動帶上Cookie，這樣服務器就能通過Cookie的內容來判斷這個是“誰”了。

Cookie規范 

•  Cookie大小上限為4KB； 
•  一個服務器最多在客戶端瀏覽器上保存20個Cookie； 
•  一個瀏覽器最多保存300個Cookie；  

上面的數據只是HTTP的Cookie規范，但在瀏覽器大戰的今天，一些瀏覽器為了打敗對手，為了展現自己的能力起見，可能對Cookie規范“擴展”了一些，例如每個Cookie的大小為8KB，最多可保存500個Cookie等！但也不會出現把你硬盤占滿的可能！ 
注意，不同瀏覽器之間是不共享Cookie的。也就是說在你使用IE訪問服務器時，服務器會把Cookie發給IE，然后由IE保存起來，當你在使用FireFox訪問服務器時，不可能把IE保存的Cookie發送給服務器。

Cookie的覆蓋 

  如果服務器端發送重復的Cookie那么會覆蓋原有的Cookie，例如客戶端的第一個請求服務器端發送的Cookie是：Set-Cookie: a=A；第二請求服務器端發送的是：Set-Cookie: a=AA，那么客戶端只留下一個Cookie，即：a=AA。

在瀏覽器中查看cookie

瀏覽器中按F12，點network---cookies就能看到

Django中操作Cookie

獲取Cookie

request.COOKIES['key'] request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None)

參數：

• default: 默認值
• salt: 加密鹽
• max_age: 后台控制過期時間

設置Cookie

rep = HttpResponse(...)
rep ＝ render(request, ...)

rep.set_cookie(key,value)
rep.set_signed_cookie(key,value,salt='加密鹽')

參數：

• key, 鍵
• value='', 值
• max_age=None, 超時時間 cookie需要延續的時間（以秒為單位）如果參數是\ None`` ，這個cookie會延續到瀏覽器關閉為止
• expires=None, 超時時間(IE requires expires, so set it if hasn't been already.)
• path='/', Cookie生效的路徑，/ 表示根路徑，特殊的：根路徑的cookie可以被任何url的頁面訪問，瀏覽器只會把cookie回傳給帶有該路徑的頁面，這樣可以避免將cookie傳給站點中的其他的應用。
• domain=None, Cookie生效的域名 你可用這個參數來構造一個跨站cookie。如， domain=".example.com"所構造的cookie對下面這些站點都是可讀的：www.example.com 、 www2.example.com 和an.other.sub.domain.example.com 。如果該參數設置為 None ，cookie只能由設置它的站點讀取
• secure=False, 瀏覽器將通過HTTPS來回傳cookie
• httponly=False 只能http協議傳輸，無法被JavaScript獲取（不是絕對，底層抓包可以獲取到也可以被覆蓋）

刪除Cookie

def logout(request): rep = redirect("/login/") rep.delete_cookie("user") # 刪除用戶瀏覽器上之前設置的usercookie值 return rep

Cookie版登錄校驗

def login_auth(func):
    def inner(request,*args,**kwargs):
        next_url=request.get_full_path()
        if request.COOKIES.get('is_login'):
            return func(request,*args,**kwargs)
        else:
            return redirect('cookie_login/?next=%s'%next_url)
    return inner
@login_auth
def cookie_order(request):
    return HttpResponse('我是訂單頁面')
@login_auth
def cookie_index(request):
    name=request.COOKIES.get('username')
    return render(request,'cookie_index.html',{'name':name})
def cookie_login(request):
    if request.method =='POST':
        next_url=request.GET.get('next')
        name=request.POST.get('name')
        password=request.POST.get('password')
        if name == 'lqz' and password == '123':
            import datetime
            now=datetime.datetime.now().strftime('%Y-%m-%d %X')
            print(now)
            obj=redirect(next_url)
            obj.set_cookie('is_login',True)
            obj.set_cookie('username',name)
            obj.set_cookie('login_time',now)
            return obj

    return render(request, 'cookie_login.html')

Session

Session的由來

Cookie雖然在一定程度上解決了“保持狀態”的需求，但是由於Cookie本身最大支持4096字節，以及Cookie本身保存在客戶端，可能被攔截或竊取，因此就需要有一種新的東西，它能支持更多的字節，並且他保存在服務器，有較高的安全性。這就是Session。

問題來了，基於HTTP協議的無狀態特征，服務器根本就不知道訪問者是“誰”。那么上述的Cookie就起到橋接的作用。

我們可以給每個客戶端的Cookie分配一個唯一的id，這樣用戶在訪問時，通過Cookie，服務器就知道來的人是“誰”。然后我們再根據不同的Cookie的id，在服務器上保存一段時間的私密資料，如“賬號密碼”等等。

總結而言：Cookie彌補了HTTP無狀態的不足，讓服務器知道來的人是“誰”；但是Cookie以文本的形式保存在本地，自身安全性較差；所以我們就通過Cookie識別不同的用戶，對應的在Session里保存私密的信息以及超過4096字節的文本。

另外，上述所說的Cookie和Session其實是共通性的東西，不限於語言和框架。

Django中Session相關方法

 

# 獲取、設置、刪除Session中數據
request.session['k1']
request.session.get('k1',None)
request.session['k1'] = 123
request.session.setdefault('k1',123) # 存在則不設置
del request.session['k1']


# 所有 鍵、值、鍵值對
request.session.keys()
request.session.values()
request.session.items()
request.session.iterkeys()
request.session.itervalues()
request.session.iteritems()

# 會話session的key
request.session.session_key

# 將所有Session失效日期小於當前日期的數據刪除
request.session.clear_expired()

# 檢查會話session的key在數據庫中是否存在
request.session.exists("session_key")

# 刪除當前會話的所有Session數據(只刪數據庫)
request.session.delete()
　　
# 刪除當前的會話數據並刪除會話的Cookie（數據庫和cookie都刪）。
request.session.flush() 
    這用於確保前面的會話數據不可以再次被用戶的瀏覽器訪問
    例如，django.contrib.auth.logout() 函數中就會調用它。

# 設置會話Session和Cookie的超時時間
request.session.set_expiry(value)
    * 如果value是個整數，session會在些秒數后失效。
    * 如果value是個datatime或timedelta，session就會在這個時間后失效。
    * 如果value是0,用戶關閉瀏覽器session就會失效。
    * 如果value是None,session會依賴全局session失效策略。

Django中使用session時，做的事：

# 生成隨機字符串 # 寫瀏覽器cookie -> session_id: 隨機字符串 # 寫到服務端session： # { # "隨機字符串": {'user':'alex'} # }

 Django中的Session配置

 

1. 數據庫Session
SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎（默認）

2. 緩存Session
SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
SESSION_CACHE_ALIAS = 'default'                            # 使用的緩存別名（默認內存緩存，也可以是memcache），此處別名依賴緩存的設置

3. 文件Session
SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎
SESSION_FILE_PATH = None                                    # 緩存文件路徑，如果為None，則使用tempfile模塊獲取一個臨時地址tempfile.gettempdir() 

4. 緩存+數據庫
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'        # 引擎

5. 加密Cookie Session
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'   # 引擎

其他公用設置項：
SESSION_COOKIE_NAME ＝ "sessionid"                       # Session的cookie保存在瀏覽器上時的key，即：sessionid＝隨機字符串（默認）
SESSION_COOKIE_PATH ＝ "/"                               # Session的cookie保存的路徑（默認）
SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名（默認）
SESSION_COOKIE_SECURE = False                            # 是否Https傳輸cookie（默認）
SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http傳輸（默認）
SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期（2周）（默認）
SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否關閉瀏覽器使得Session過期（默認）
SESSION_SAVE_EVERY_REQUEST = False                       # 是否每次請求都保存Session，默認修改之后才保存（默認）

思考，如果第二個人再次再同一個瀏覽器上登錄，django-session表會怎樣？

CBV中加裝飾器

from django import views
from django.utils.decorators import method_decorator
# @method_decorator(login_auth,name='get')
# @method_decorator(login_auth,name='post')
class UserList(views.View):
    # @method_decorator(login_auth)
    def dispatch(self, request, *args, **kwargs):
        obj=super().dispatch(request, *args, **kwargs)
        return obj

    @method_decorator(login_auth)
    def get(self,request):
        return HttpResponse('我是用戶列表')

    def post(self,request):
        return HttpResponse('我是用戶列表')