簡介
由於http協議的請求是無狀態的。故為了讓用戶在瀏覽器中再次訪問該服務端時,他的登錄狀態能夠保留(也可翻譯為該用戶訪問這個服務端其他網頁時不需再重復進行用戶認證)。我們可以采用Cookie或Session這兩種方式來讓瀏覽器記住用戶。
Cookie與Session說明與實現
Cookie
說明
Cookie是一段小信息(數據格式一般是類似key-value的鍵值對),由服務器生成,並發送給瀏覽器讓瀏覽器保存(保存時間由服務端定奪)。當瀏覽器下次訪問該服務端時,會將它保存的Cookie再發給服務器,從而讓服務器根據Cookie知道是哪個瀏覽器或用戶在訪問它。(由於瀏覽器遵從的協議,它不會把該服務器的Cookie發送給另一個不同host的服務器)。
Django中實現Cookie
from django.shortcuts import render, redirect
# 設置cookie
"""
key: cookie的名字
value: cookie對應的值
max_age: cookie過期的時間
"""
response.set_cookie(key, value, max_age)
# 為了安全,有時候我們會調用下面的函數來給cookie加鹽
response.set_signed_cookie(key,value,salt='加密鹽',...)
# 獲取cookie
request.COOKIES.get(key)
request.get_signed_cookie(key, salt="加密鹽", default=None)
# 刪除cookie
reponse.delete_cookie(key)
下面就是具體的代碼實現了
views.py
# 編寫裝飾器檢查用戶是否登錄
def check_login(func):
def inner(request, *args, **kwargs):
next_url = request.get_full_path()
# 假設設置的cookie的key為login,value為yes
if request.get_signed_cookie("login", salt="SSS", default=None) == 'yes':
# 已經登錄的用戶,則放行
return func(request, *args, **kwargs)
else:
# 沒有登錄的用戶,跳轉到登錄頁面
return redirect(f"/login?next={next_url}")
return inner
# 編寫用戶登錄頁面的控制函數
@csrf_exempt
def login(request):
if request.method == "POST":
username = request.POST.get("username")
passwd = request.POST.get("password")
next_url = request.POST.get("next_url")
# 對用戶進行驗證,假設用戶名為:aaa, 密碼為123
if username === 'aaa' and passwd == '123':
# 執行其他邏輯操作,例如保存用戶信息到數據庫等
# print(f'next_url={next_url}')
# 登錄成功后跳轉,否則直接回到主頁面
if next_url and next_url != "/logout/":
response = redirect(next_url)
else:
response = redirect("/index/")
# 若登錄成功,則設置cookie,加鹽值可自己定義取,這里定義12小時后cookie過期
response.set_signed_cookie("login", 'yes', salt="SSS", max_age=60*60*12)
return response
else:
# 登錄失敗,則返回失敗提示到登錄頁面
error_msg = '登錄驗證失敗,請重新嘗試'
return render(request, "app/login.html", {
'login_error_msg': error_msg,
'next_url': next_url,
})
# 用戶剛進入登錄頁面時,獲取到跳轉鏈接,並保存
next_url = request.GET.get("next", '')
return render(request, "app/login.html", {
'next_url': next_url
})
# 登出頁面
def logout(request):
rep = redirect("/login/")
# 刪除用戶瀏覽器上之前設置的cookie
rep.delete_cookie('login')
return rep
# 給主頁添加登錄權限認證
@check_login
def index(request):
return render(request, "app/index.html")
由上面看出,其實就是在第一次用戶登錄成功時,設置cookie,用戶訪問其他頁面時進行cookie驗證,用戶登出時刪除cookie。另外附上前端的login.html部分代碼
<form action="{% url 'login' %}" method="post">
<h1>請使xx賬戶登錄</h1>
<div>
<input id="user" type="text" class="form-control" name="username" placeholder="賬戶" required="" />
</div>
<div>
<input id="pwd" type="password" class="form-control" name="password" placeholder="密碼" required="" />
</div>
<div style="display: none;">
<input id="next" type="text" name="next_url" value="{{ next_url }}" />
</div>
{% if login_error_msg %}
<div id="error-msg">
<span style="color: rgba(255,53,49,0.8); font-family: cursive;">{{ login_error_msg }}</span>
</div>
{% endif %}
<div>
<button type="submit" class="btn btn-default" style="float: initial; margin-left: 0px">登錄</button>
</div>
</form>
Session
Session說明
Session則是為了保證用戶信息的安全,將這些信息保存到服務端進行驗證的一種方式。但它卻依賴於cookie。具體的過程是:服務端給每個客戶端(即瀏覽器)設置一個cookie(從上面的cookie我們知道,cookie是一種”key, value“形式的數據,這個cookie的value是服務端隨機生成的一段但唯一的值)。
當客戶端下次訪問該服務端時,它將cookie傳遞給服務端,服務端得到cookie,根據該cookie的value去服務端的Session數據庫中找到該value對應的用戶信息。(Django中在應用的setting.py中配置Session數據庫)。
根據以上描述,我們知道Session把用戶的敏感信息都保存到了服務端數據庫中,這樣具有較高的安全性。
Django中Session的實現
# 設置session數據, key是字符串,value可以是任何值
request.session[key] = value
# 獲取 session
request.session.get[key]
# 刪除 session中的某個數據
del request.session[key]
# 清空session中的所有數據
request.session.delete()
下面就是具體的代碼實現了:
首先就是設置保存session的數據庫了。這個在setting.py中配置:(注意我這里數據庫用的mongodb,並使用了django_mongoengine庫;關於這個配置請根據自己使用的數據庫進行選擇,具體配置可參考官方教程)
SESSION_ENGINE = 'django_mongoengine.sessions'
SESSION_SERIALIZER = 'django_mongoengine.sessions.BSONSerializer'
views.py
# 編寫裝飾器檢查用戶是否登錄
def check_login(func):
def inner(request, *args, **kwargs):
next_url = request.get_full_path()
# 獲取session判斷用戶是否已登錄
if request.session.get('is_login'):
# 已經登錄的用戶...
return func(request, *args, **kwargs)
else:
# 沒有登錄的用戶,跳轉剛到登錄頁面
return redirect(f"/login?next={next_url}")
return inner
@csrf_exempt
def login(request):
if request.method == "POST":
username = request.POST.get("username")
passwd = request.POST.get("password")
next_url = request.POST.get("next_url")
# 若是有記住密碼功能
# remember_sign = request.POST.get("check_remember")
# print(remember_sign)
# 對用戶進行驗證
if username == 'aaa' and passwd == '123':
# 進行邏輯處理,比如保存用戶與密碼到數據庫
# 若要使用記住密碼功能,可保存用戶名、密碼到session
# request.session['user_info'] = {
# 'username': username,
# 'password': passwd
# }
request.session['is_login'] = True
# 判斷是否勾選了記住密碼的復選框
# if remember_sign == 'on':
# request.session['is_remember'] = True
# else:
# request.session['is_remember'] = False
# print(f'next_url={next_url}')
if next_url and next_url != "/logout/":
response = redirect(next_url)
else:
response = redirect("/index/")
return response
else:
error_msg = '登錄驗證失敗,請重新嘗試'
return render(request, "app/login.html", {
'login_error_msg': error_msg,
'next_url': next_url,
})
next_url = request.GET.get("next", '')
# 檢查是否勾選了記住密碼功能
# password, check_value = '', ''
# user_session = request.session.get('user_info', {})
# username = user_session.get('username', '')
# print(user_session)
#if request.session.get('is_remember'):
# password = user_session.get('password', '')
# check_value = 'checked'
# print(username, password)
return render(request, "app/login.html", {
'next_url': next_url,
# 'user': username,
# 'password': password,
# 'check_value': check_value
})
def logout(request):
rep = redirect("/login/")
# request.session.delete()
# 登出,則刪除掉session中的某條數據
if 'is_login' in request.session:
del request.session['is_login']
return rep
@check_login
def index(request):
return render(request, "autotest/index.html")
另附login.html部分代碼:
<form action="{% url 'login' %}" method="post">
<h1>請使xxx賬戶登錄</h1>
<div>
<input id="user" type="text" class="form-control" name="username" placeholder="用戶" required="" value="{{ user }}" />
</div>
<div>
<input id="pwd" type="password" class="form-control" name="password" placeholder="密碼" required="" value="{{ password }}" />
</div>
<div style="display: none;">
<input id="next" type="text" name="next_url" value="{{ next_url }}" />
</div>
{% if login_error_msg %}
<div id="error-msg">
<span style="color: rgba(255,53,49,0.8); font-family: cursive;">{{ login_error_msg }}</span>
</div>
{% endif %}
// 若設置了記住密碼功能
// <div style="float: left">
// <input id="rmb-me" type="checkbox" name="check_remember" {{ check_value }}/>記住密碼
// </div>
<div>
<button type="submit" class="btn btn-default" style="float: initial; margin-right: 60px">登錄</button>
</div>
</form>
總的來看,session也是利用了cookie,通過cookie生成的value的唯一性,從而在后端數據庫session表中找到這value對應的數據。session的用法可以保存更多的用戶信息,並使這些信息不易被暴露。
總結
session和cookie都能實現記住用戶登錄狀態的功能,如果為了安全起見,還是使用session更合適
參考文章:https://blog.csdn.net/qq_34755081/article/details/82808537