django中使用cookie和session驗證用戶是否已登錄

為什么需要使用cookie和session？

HTTP協議本身是”無狀態”的，在一次請求和下一次請求之間沒有任何狀態保持，服務器無法識別來自同一用戶的連續請求。有了cookie和session，服務器就可以利用它們記錄客戶端的訪問狀態了，這樣用戶就不用在每次訪問不同頁面都需要登錄了。

 

什么是cookie，cookie的應用場景及缺點

cookie是一種數據存儲技術, 它是將一段文本保存在客戶端(瀏覽器或本地電腦)的一種技術，並且可以長時間的保存。當用戶首次通過客戶端訪問服務器時，web服務器會發送給客戶端的一小段信息。客戶端瀏覽器會將這段信息以cookie形式保存在本地某個目錄下的文件內。當客戶端下次再發送請求時會自動將cookie也發送到服務器端，這樣服務器端通過查驗cookie內容就知道該客戶端早訪問過了。

 

cookie的常見應用場景包括:

• 判斷用戶是否已經登錄

• 記錄用戶登錄信息(比如用戶名，上次登錄時間）

• 記錄用戶搜索關鍵詞

 

cookie的缺點在於其並不可靠和不安全，主要原因如下:

• 瀏覽器不一定會保存服務器發來的cookie，用戶可以通過設置選擇是否保存cookie。

• cookie是有生命周期的（通過Expire設置），如果超過周期，cookie就會被清除。

• HTTP數據通過明文發送，容易受到攻擊，因此不能在cookie中存放敏感信息（比如信用卡號，密碼等）。

• cookie以文件形式存儲在客戶端，用戶可以隨意修改的。

 

利用cookie驗證用戶是否已經登錄：

def login(request):
    if request.method == 'POST':
        form = LoginForm(request.POST)
        
        if form.is_valid():
            username = form.cleaned_data['username']
            password = form.cleaned_data['password']
            
            user = User.objects.filter(username__exact=username,passowrd__exact==password)
            
            if user:
                response = HttpResponseRedirect('/index/')
                    #將username寫入瀏覽器cookie，失效時間為360s
                    response.set_cookie('username',username,3600)
                return response
            else:
                return HttpResponstRedirect('/login/')
        
    else:
        form = LoginForm()
    return render(request,'users/login.html',{'form':form})
    
#通過cookie判斷用戶是否已登錄
def index(request):
    #提取瀏覽器中的cookie，如果不為空，表示已經登錄
    username = request.COOKIES.get('username','')
    if not uername:
        return HttpResponseRedirect('/login/')
    return render(request,'index.html',{'username':username})

 

什么是session及session的工作原理

session又名會話，其功能與應用場景與cookie類似，用來存儲少量的數據或信息。但由於數據存儲在服務器上，而不是客戶端上，所以比cookie更安全。

 

Session工作的流程如下：

• 客戶端向服務器發送請求時，看本地是否有cookie文件。如果有，就在HTTP的請求頭（Request Headers）中，包含一行cookie信息。

• 服務器接收到請求后，根據cookie信息，得到sessionId，根據sessionId找到對應的session，用這個session就能判斷出用戶是否登錄等等。

 

使用Session的好處在於，即使用戶關閉了瀏覽器，session仍將保持到會話過期。

 

django中用session驗證用戶登錄狀態

# 如果登錄成功，設置session
def login(request):
    if request.method == 'POST':
        form = LoginForm(request.POST)

        if form.is_valid():
            username = form.cleaned_data['username']
            password = form.cleaned_data['password']

            user = User.objects.filter(username__exact=username, password__exact=password)

            if user:
                # 將username寫入session，存入服務器
                request.session['username'] = username
                return HttpResponseRedirect('/index/')

            else:
                return HttpResponseRedirect('/login/')

    else:
        form = LoginForm()

    return render(request, 'users/login.html', {'form': form})


# 通過session判斷用戶是否已登錄
def index(request):

    # 獲取session中username
    username = request.session.get('username', '')
    if not username:
        return HttpResponseRedirect('/login/')
    return render(request, 'index.html', {'username': username})

 下面是通過session控制不讓用戶連續評論兩次的例子。實際應用中我們還可以通過session來控制用戶登錄時間，單位時間內連續輸錯密碼次數等等。

from django.http import HttpResponse


def post_comment(request, new_comment):
    if request.session.get('has_commented', False):
        return HttpResponse("You've already commented.")
    c = comments.Comment(comment=new_comment)
    c.save()
    request.session['has_commented'] = True
    return HttpResponse('Thanks for your comment!')