好文章來自追風的小螞蟻:https://www.cnblogs.com/zhuifeng-mayi/p/9099811.html
cookie:Cookie,有時也用其復數形式 Cookies,指某些網站為了辨別用戶身份、進行 session 跟蹤而儲存在用戶本地終端上的鍵值對數據
1.什么是session?
首先引入百度百科的解釋:Session:在計算機網絡應用中,稱為“會話控制”。Session 對象存儲特定用戶會話所需的屬性及配置信息。這樣,當用戶在應用程序的 Web 頁之間跳轉時,存儲在 Session 對象中的變量將不會丟失,而是在整個用戶會話中一直存在下去。當用戶請求來自應用程序的 Web 頁時,如果該用戶還沒有會話,則 Web 服務器將自動創建一個 Session 對象。當會話過期或被放棄后,服務器將終止該會話。Session 對象最常見的一個用法就是存儲用戶的首選項。例如,如果用戶指明不喜歡查看圖形,就可以將該信息存儲在 Session 對象中。有關使用 Session 對象的詳細信息,請參閱“ASP 應用程序”部分的“管理會話”。注意 會話狀態僅在支持 cookie 的瀏覽器中保留。
我的理解: 服務器端為了保存某些數據,或實現某些必要的功能,當用戶訪問服務器時,將數據臨時保存在服務器端以供完成服務器端的其他某些功能。服務器需要保存的數據可以以cookie的方式存儲在客戶端,而session的功能就是將服務器需要保存的數據存儲在服務端。例如賬號登錄記錄的功能,可以以session的方式將登錄狀態保存在服務器端,這樣當用戶訪問其他程序時,需要用到登錄的地方,都可以從該用戶的session中取出該用戶的數據,為用戶服務。
2.session和cookie的區別
session的底層是基於cookie技術來實現的,在早器保存會話狀態一直用的cookie,cookie是保存在客戶端的明文鍵值對,但這樣直接保存重要信息是不安全的,后來衍生了session,session是加密后的cookie鍵值,加密后的值即使被人截取,也無法獲取到密碼等敏感信息,避免了重要資源信息泄露。當用戶打開瀏覽器,去訪問服務器的時候,服務器會為每個用戶的瀏覽器創建一個會話對象(session對象),並且為每個session對象創建一個Jsessionid號。當session對象創建成功后,會以cookie的方式將這個Jsessionid號回寫給瀏覽器,當用戶再次進行訪問服務器時,及帶了具有Jsessionid號的cookie數據來一起訪問服務器,服務器通過不同session的 Jsessionid號來找出與其相關聯的session對象,通過不同的session對象來為不同的用戶服務。
3.在DJango中session的使用方法
Django中默認支持Session,其內部提供了5種類型的Session供開發者使用:
·數據庫(默認)
·緩存
·文件
·緩存+數據庫
·加密cookie
(1)數據庫中的Session
Django默認支持Session,並且默認是將Session數據存儲在數據庫中,即:django_session 表中。 a. 配置 settings.py SESSION_ENGINE = 'django.contrib.sessions.backends.db' # 引擎(默認) SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字符串(默認) SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑(默認) SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默認) SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie(默認) SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸(默認) SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(默認) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期(默認) SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,默認修改之后才保存(默認) b. 使用 def index(request): # 獲取、設置、刪除Session中數據 request.session['k1'] request.session.get('k1',None) request.session['k1'] = 123 request.session.setdefault('k1',123) # 存在則不設置 del request.session['k1'] # 所有 鍵、值、鍵值對 request.session.keys() request.session.values() request.session.items() request.session.iterkeys() request.session.itervalues() request.session.iteritems() # 用戶session的隨機字符串 request.session.session_key # 將所有Session失效日期小於當前日期的數據刪除 request.session.clear_expired() # 檢查 用戶session的隨機字符串 在數據庫中是否 request.session.exists("session_key") # 刪除當前用戶的所有Session數據 request.session.delete("session_key") request.session.clear() request.session.set_expiry(value) * 如果value是個整數,session會在些秒數后失效。 * 如果value是個datatime或timedelta,session就會在這個時間后失效。 * 如果value是0,用戶關閉瀏覽器session就會失效。 * 如果value是None,session會依賴全局session失效策略。
(2)緩存Session
a. 配置 settings.py SESSION_ENGINE = 'django.contrib.sessions.backends.cache' # 引擎 SESSION_CACHE_ALIAS = 'default' # 使用的緩存別名(默認內存緩存,也可以是memcache),此處別名依賴緩存的設置 SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字符串 SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑 SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名 SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸 SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期 SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,默認修改之后才保存 b. 使用 同上
(3)文件Session
a. 配置 settings.py SESSION_ENGINE = 'django.contrib.sessions.backends.file' # 引擎 SESSION_FILE_PATH = None # 緩存文件路徑,如果為None,則使用tempfile模塊獲取一個臨時地址tempfile.gettempdir() # 如:/var/folders/d3/j9tj0gz93dg06bmwxmhh6_xm0000gn/T SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字符串 SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑 SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名 SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸 SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期 SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,默認修改之后才保存 b. 使用 同上
(4)緩存+數據庫Session
數據庫用於做持久化,緩存用於提高效率 a. 配置 settings.py SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db' # 引擎 b. 使用 同上
(5)加密Session
a. 配置 settings.py SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies' # 引擎 b. 使用 同上
(6)Session的用戶驗證
def login(func): def wrap(request, *args, **kwargs): # 如果未登陸,跳轉到指定頁面 if request.path == '/test/': return redirect('http://www.baidu.com') return func(request, *args, **kwargs) return wrap
利用sesssion做個用戶認證示例:
Views.py
from django.shortcuts import render,redirect,HttpResponse def login(request): if request.method=='GET': return render(request,'login.html') elif request.method=="POST": user=request.POST.get('username') pwd=request.POST.get('password') if user=="root" and pwd=="123": if request.POST.get('box')=="1": #checkbox被按下 request.session.set_expiry(10) #session認證時間為10s,10s之后session認證失效 request.session['username']=user #user的值發送給session里的username request.session['is_login']=True #認證為真 return redirect('/index') else: return redirect('/login') return render(request,'login.html') def index(request): if request.session.get('is_login',None): #若session認證為真 return render(request,'index.html',{'username':request.session['username']}) else: return HttpResponse('滾') def logout(request): #撤銷 request.session.clear() #刪除session里的全部內容 return redirect('/login')
login.py
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <script src="/static/js/jquery-1.12.4.js"></script> <script src="/static/js/jquery.cookie.js"></script> </head> <body> <form action="/login/" method="post"> <p> <input type="text" name="username" placeholder="username" /> </p> <!----------CSRF_TOKEN通過form表單發送到后台進行驗證----------> {% csrf_token %} <p> <input type="password" name="password" placeholder="password" /> </p> <p> <input type="checkbox" name="box" value="1" /> 10s超時 </p> <p> <input type="submit" value="提交" /> </p> <input type="button" id="btu-1" value="Ajax-1" /> </form> <script> $(function () { $.ajaxSetup({ beforeSend:function (xhr,settings) { xhr.setRequestHeader('X-CSRFtoken',$.cookie('csrftoken')) } }); $('#btu-1').click(function () { $.ajax({ url:"/login/", type:"POST", data:{'username':"root","password":"123"}, }) }) })()
index.py
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<h1>歡迎登錄:{{ username }},{{ request.session.username }}</h1>
<a href="http://127.0.0.1:8006/logout/"><input type="button" value="注銷"/></a>
</body>
</html>