(轉)python 全棧開發,Day76(Django元件-cookie,session)
昨日內容回顧
1 json 輕量級的資料交換格式 在python 序列化方法:json.dumps() 反序列化方法:json.loads() 在JS中: 序列化方法:JSON.stringfy() 反序列化方法:JSON.parse() 2 ajax $.ajax({ url:"", type:"", data:{}, // 預設contentType="urlencoded" success:function(data){ } })View Code
一、Django元件-cookie
會話跟蹤技術
1. 什麼是會話跟蹤技術
我們需要先了解一下什麼是會話!可以把會話理解為客戶端與伺服器之間的一次會晤,在一次會晤中可能會包含多次請求和響應。例如你給10086打個電話,你就是客戶端,而10086服務人員就是伺服器了。從雙方接通電話那一刻起,會話就開始了,到某一方結束通話電話表示會話結束。在通話過程中,你會向10086發出多個請求,那麼這多個請求都在一個會話中。
在JavaWeb中,客戶向某一伺服器發出第一個請求開始,會話就開始了,直到客戶關閉了瀏覽器會話結束。
在一個會話的多個請求中共享資料,這就是會話跟蹤技術。例如在一個會話中的請求如下: 請求銀行主頁;
- 請求登入(請求引數是使用者名稱和密碼);
- 請求轉賬(請求引數與轉賬相關的資料);
- 請求信譽卡還款(請求引數與還款相關的資料)。
在這上會話中當前使用者資訊必須在這個會話中共享的,因為登入的是張三,那麼在轉賬和還款時一定是相對張三的轉賬和還款!這就說明我們必須在一個會話過程中有共享資料的能力。
會話一定是反覆的溝通,至於多少次,沒有上限!
HTTP是無狀態儲存
簡單來講,HTTP要求瀏覽器對伺服器的請求,每一個請求,對於伺服器而言,都是新的請求
伺服器,並不知道瀏覽器是誰。
2. 會話路徑技術使用Cookie或session完成
我們知道HTTP協議是無狀態協議,也就是說每個請求都是獨立的!無法記錄前一次請求的狀態。但HTTP協議中可以使用Cookie來完成會話跟蹤!在Web開發中,使用session來完成會話跟蹤,session底層依賴Cookie技術.
Cookie概述
什麼叫Cookie
Cookie翻譯成中文是小甜點,小餅乾的意思。在HTTP中它表示伺服器送給客戶端瀏覽器的小甜點。其實Cookie是key-value結構,類似於一個python中的字典。隨著伺服器端的響應傳送給客戶端瀏覽器。然後客戶端瀏覽器會把Cookie儲存起來,當下一次再訪問伺服器時把Cookie再發送給伺服器。 Cookie是由伺服器建立,然後通過響應傳送給客戶端的一個鍵值對。客戶端會儲存Cookie,並會標註出Cookie的來源(哪個伺服器的Cookie)。當客戶端向伺服器發出請求時會把所有這個伺服器Cookie包含在請求中傳送給伺服器,這樣伺服器就可以識別客戶端了!
Cookie規範
- Cookie大小上限為4KB;
- 一個伺服器最多在客戶端瀏覽器上儲存20個Cookie;
- 一個瀏覽器最多儲存300個Cookie;
上面的資料只是HTTP的Cookie規範,但在瀏覽器大戰的今天,一些瀏覽器為了打敗對手,為了展現自己的能力起見,可能對Cookie規範“擴充套件”了一些,例如每個Cookie的大小為8KB,最多可儲存500個Cookie等!但也不會出現把你硬碟佔滿的可能!
注意,不同瀏覽器之間是不共享Cookie的。也就是說在你使用IE訪問伺服器時,伺服器會把Cookie發給IE,然後由IE儲存起來,當你在使用FireFox訪問伺服器時,不可能把IE儲存的Cookie傳送給伺服器。
每一個客戶端瀏覽器,都有一個cookie容器。
cookie:針對一個伺服器,儲存在客戶端某一個瀏覽器上的key-value儲存的資料結構中
伺服器有權利向瀏覽器寫入cookie
一旦寫入cookie,那麼下次訪問,會帶著cookie去訪問伺服器
比如電腦的谷歌瀏覽器和火狐瀏覽器,各自有獨立的cookie容器,不能相互訪問!
Cookie與HTTP頭
Cookie是通過HTTP請求和響應頭在客戶端和伺服器端傳遞的:
- Cookie:請求頭,客戶端傳送給伺服器端;
- 格式:Cookie: a=A; b=B; c=C。即多個Cookie用分號離開; Set-Cookie:響應頭,伺服器端傳送給客戶端;
- 一個Cookie物件一個Set-Cookie: Set-Cookie: a=A Set-Cookie: b=B Set-Cookie: c=C
Cookie的覆蓋
如果伺服器端傳送重複的Cookie那麼會覆蓋原有的Cookie,例如客戶端的第一個請求伺服器端傳送的Cookie是:Set-Cookie: a=A;第二請求伺服器端傳送的是:Set-Cookie: a=AA,那麼客戶端只留下一個Cookie,即:a=AA。
django中的cookie語法
設定cookie:
rep = HttpResponse(...) 或 rep = render(request, ...) 或 rep = redirect() rep.set_cookie(key,value,...) rep.set_signed_cookie(key,value,salt='加密鹽',...)View Code
原始碼:
class HttpResponseBase: def set_cookie(self, key, 鍵 value='', 值 max_age=None, 超長時間 cookie需要延續的時間(以秒為單位) 如果引數是\ None`` ,這個cookie會延續到瀏覽器關閉為止。 expires=None, 超長時間 expires預設None ,cookie失效的實際日期/時間。 path='/', Cookie生效的路徑, 瀏覽器只會把cookie回傳給帶有該路徑的頁面,這樣可以避免將 cookie傳給站點中的其他的應用。 / 表示根路徑,特殊的:根路徑的cookie可以被任何url的頁面訪問 domain=None, Cookie生效的域名 你可用這個引數來構造一個跨站cookie。 如, domain=".example.com" 所構造的cookie對下面這些站點都是可讀的: www.example.com 、 www2.example.com 和an.other.sub.domain.example.com 。 如果該引數設定為 None ,cookie只能由設定它的站點讀取。 secure=False, 如果設定為 True ,瀏覽器將通過HTTPS來回傳cookie。 httponly=False 只能http協議傳輸,無法被JavaScript獲取 (不是絕對,底層抓包可以獲取到也可以被覆蓋) ): passView Code
獲取cookie:
request.COOKIESView Code
刪除cookie:
response.delete_cookie("cookie_key",path="/",domain=name)
登入頁面案例
新建一個專案
修改urls.py,增加2個路徑
from app01 import views urlpatterns = [ path('admin/', admin.site.urls), path('index/', views.index), path('login/', views.login), ]View Code
修改views.py,增加2個檢視函式
from django.shortcuts import render,HttpResponse,redirect # Create your views here. def index(request): return render(request,"index.html") def login(request): if request.method == "POST": user = request.POST.get("user") pwd = request.POST.get("pwd") if user == "xiao" and pwd == "123": return redirect("/index/") return render(request,"login.html")View Code
templates目錄增加2個html檔案
index.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <h3>個人首頁</h3> </body> </html>View Code
login.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <form action="" method="post"> {% csrf_token %} <lable>使用者名稱</lable><input type="text" name="user"/> <lable>密碼</lable><input type="password" name="pwd"/> <input type="submit"> </form> </body> </html>View Code
啟動django專案,訪問url: http://127.0.0.1:8000/login/
開啟瀏覽器控制檯-->network。點選提交按鈕!它經歷了2次請求
檢視login的cookie
檢視index的cookie
處理2次都帶了csrftoken,關於使用者名稱的資訊,都是空的。
直接訪問url: http://127.0.0.1:8000/index/
也是可以訪問的,這樣的登入頁面是沒有意義的!
設定cookie
修改2個檢視函式
def index(request): print(request.COOKIES) # 列印cookie is_login = request.COOKIES.get("is_login") # 從cookie中獲取登入狀態 if not is_login: # 判斷登入狀態為False return redirect("/login/") # 302重定向到登入頁面 return render(request,"index.html") def login(request): if request.method == "POST": user = request.POST.get("user") pwd = request.POST.get("pwd") if user == "xiao" and pwd == "123": obj = redirect("/index/") # 302重定向到登入頁面 obj.set_cookie("is_login",True) # cookie設定登入狀態 obj.set_cookie("username",user) # cookie設定使用者名稱 return obj return render(request,"login.html")View Code
先直接訪問index頁面,它會跳轉到login頁面
訪問登入頁面,輸出正確的使用者名稱和密碼,它就會跳轉到首頁
request是客戶端請求,response是服務端響應。
讀取客戶端的cookies要用request的,但是要寫入客戶端cookies就要用response
登入驗證成功後,伺服器使用response 寫入cookie到客戶端瀏覽器
此時的cookie,只有csrftoken
瀏覽器訪問index頁面時,使用request讀取cookie
此時的cookie,不光有csrftoken,還有userxiao和is_login
是因為響應體中有Set-Cookie,所以瀏覽器cookie中才會增加sessionid的值。
它才能通過index檢視函式的cookie判斷,成功訪問到首頁!
否則會調轉到login頁面!
這個時候,使用火狐瀏覽器,訪問index頁面,它會跳轉到首頁
因為每一個瀏覽器有獨立的cookie容器,不能相互訪問!
設定cookie有效期
預設的有效期為3600*24*14秒。也就是2個星期的時間!
設定為5秒鐘,cookie失效
修改login檢視函式
def login(request): if request.method == "POST": user = request.POST.get("user") pwd = request.POST.get("pwd") if user == "xiao" and pwd == "123": obj = redirect("/index/") # 302重定向到登入頁面 obj.set_cookie("is_login",True,5) # cookie設定登入狀態 obj.set_cookie("username",user,5) # cookie設定使用者名稱 return obj return render(request,"login.html")View Code
修改settings.py,允許所有IP訪問
ALLOWED_HOSTS = ['*']
關閉django專案,使用命令,啟動django
python manage.py runserver 0.0.0.0:8000
使用另外一臺電腦訪問登入頁面,輸入正確的使用者名稱和密碼。
跳轉首頁後,瘋狂的重新整理頁面。5秒後,會自動調轉到登入頁面
效果如下:
登入成功後,顯示登入使用者名稱
修改index檢視函式
def index(request): print(request.COOKIES) # 列印cookie is_login = request.COOKIES.get("is_login") # 從cookie中獲取登入狀態 if not is_login: # 判斷登入狀態為False return redirect("/login/") # 302重定向到登入頁面 username = request.COOKIES.get("username") # 獲取cookie中的使用者名稱 return render(request,"index.html",{"username":username})View Code
還原cookie的有效期為預設值
def login(request): if request.method == "POST": user = request.POST.get("user") pwd = request.POST.get("pwd") if user == "xiao" and pwd == "123": obj = redirect("/index/") # 302重定向到登入頁面 obj.set_cookie("is_login",True) # cookie設定登入狀態 obj.set_cookie("username",user) # cookie設定使用者名稱 return obj return render(request,"login.html")View Code
修改index.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <h3>個人首頁</h3> <p>Hi, {{ username }}</p> </body> </html>View Code
重新訪問登入頁面,輸入正確的使用者名稱,重新提交
主頁顯示登入使用者名稱
增加上次登入時間
修改2個檢視函式,完整程式碼如下:
from django.shortcuts import render,HttpResponse,redirect import datetime # Create your views here. def index(request): print(request.COOKIES) # 列印cookie is_login = request.COOKIES.get("is_login") # 從cookie中獲取登入狀態 if not is_login: # 判斷登入狀態為False return redirect("/login/") # 302重定向到登入頁面 username = request.COOKIES.get("username") # 獲取cookie中的使用者名稱 login_time = request.COOKIES.get("login_time") # 獲取cookie中的登入時間 return render(request,"index.html",{"username":username,"login_time":login_time}) def login(request): if request.method == "POST": user = request.POST.get("user") pwd = request.POST.get("pwd") if user == "xiao" and pwd == "123": obj = redirect("/index/") # 302重定向到登入頁面 obj.set_cookie("is_login",True) # cookie設定登入狀態 obj.set_cookie("username",user) # cookie設定使用者名稱 #獲取當前時間 now = datetime.datetime.now().strftime("%Y-%m-%d %H:%I:%S") obj.set_cookie("login_time", now) # cookie設定登入時間 return obj return render(request,"login.html")View Code
修改index.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <h3>個人首頁 上次登入時間: {{ login_time }}</h3> <p>Hi, {{ username }}</p> </body> </html>View Code
重新訪問登入頁面,輸入正確的使用者名稱和密碼,效果如下:
二、session
Session是伺服器端技術,利用這個技術,伺服器在執行時可以 為每一個使用者的瀏覽器建立一個其獨享的session物件,由於 session為使用者瀏覽器獨享,所以使用者在訪問伺服器的web資源時 ,可以把各自的資料放在各自的session中,當用戶再去訪問該伺服器中的其它web資源時,其它web資源再從使用者各自的session中 取出資料為使用者服務。
session要比cookie用的更多,因為cookie不安全!
session是基於cookie開發的。思路和cookie是不一樣的
它們之間最大的不同在於,session存在伺服器。而cookie儲存在瀏覽器中!
session給cookie一把鑰匙,
cookie只存鑰匙。通過鑰匙,進入session倉庫,取東西。
request.session['session_name'] = "admin"
上面一行程式碼執行是,會生成鑰匙給瀏覽器,並存儲在伺服器上
儲存在django_session表中
執行2個命令,生成django需要的表
python manage.py makemigrations
python manage.py migrate
開啟django_session表,它只有3個欄位
session_key:這個是客戶端儲存的鑰匙
session_data: 這個是session資料,比如{"username":"xiao"}。它會將資料加密後儲存!
expire_date:有效期
session_key是隨機的。這個session是django封裝的,
在表中,能通過key取到session_data,說明是登入過的。否則沒有登入!
django中session語法
1、設定Sessions值 request.session['session_name'] ="admin" 2、獲取Sessions值 session_name = request.session["session_name"] 3、刪除Sessions值 del request.session["session_name"] 4、flush() 刪除當前的會話資料並刪除會話的Cookie。 這用於確保前面的會話資料不可以再次被使用者的瀏覽器訪問View Code
下面部分僅做了解
5、get(key, default=None) fav_color = request.session.get('fav_color', 'red') 6、pop(key) fav_color = request.session.pop('fav_color') 7、keys() 8、items() 9、setdefault() 10 使用者session的隨機字串 request.session.session_key # 將所有Session失效日期小於當前日期的資料刪除 request.session.clear_expired() # 檢查 使用者session的隨機字串 在資料庫中是否 request.session.exists("session_key") # 刪除當前使用者的所有Session資料 request.session.delete("session_key") request.session.set_expiry(value) * 如果value是個整數,session會在些秒數後失效。 * 如果value是個datatime或timedelta,session就會在這個時間後失效。 * 如果value是0,使用者關閉瀏覽器session就會失效。 * 如果value是None,session會依賴全域性session失效策略。View Code
session配置
Django預設支援Session,並且預設是將Session資料儲存在資料庫中,即:django_session 表中。 a. 配置 settings.py SESSION_ENGINE = 'django.contrib.sessions.backends.db' # 引擎(預設) SESSION_COOKIE_NAME = "sessionid" # Session的cookie儲存在瀏覽器上時的key,即:sessionid=隨機字串(預設) SESSION_COOKIE_PATH = "/" # Session的cookie儲存的路徑(預設) SESSION_COOKIE_DOMAIN = None # Session的cookie儲存的域名(預設) SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie(預設) SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支援http傳輸(預設) SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(預設) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期(預設) SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都儲存Session,預設修改之後才儲存(預設)View Code
登入案例
建立資料庫cs
mysql> CREATE DATABASE cs DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;
Query OK, 1 row affected (0.01 sec)
修改settings.py,註冊app
INSTALLED_APPS = [ 'django.contrib.admin', 'django.contrib.auth', 'django.contrib.contenttypes', 'django.contrib.sessions', 'django.contrib.messages', 'django.contrib.staticfiles', 'app01.apps.App01Config', ]View Code
修改settings.py,設定資料引擎為mysql
DATABASES = { 'default': { 'ENGINE': 'django.db.backends.mysql', # 資料庫引擎mysql 'NAME': 'cs', # 你要儲存資料的庫名,事先要建立之 'USER': 'root', # 資料庫使用者名稱 'PASSWORD': '', # 密碼 'HOST': 'localhost', # 主機 'PORT': '3306', # 資料庫使用的埠 } }View Code
修改和views.py同級目錄下的__init__.py檔案,指定為pymysql
import pymysql pymysql.install_as_MySQLdb()
修改urls.py,增加2個路徑
urlpatterns = [ path('admin/', admin.site.urls), path('index/', views.index), path('login/', views.login), path('login_session/', views.login_session), path('index_session/', views.index_session), ]View Code
修改views.py,增加2個檢視函式
def login_session(request): if request.method == "POST": user = request.POST.get("user") pwd = request.POST.get("pwd") if user == "xiao" and pwd == "123": # 寫session request.session['is_login'] = True # session設定登入狀態 request.session['username'] = user # session設定使用者名稱 now = datetime.datetime.now().strftime("%Y-%m-%d %H:%I:%S") request.session['login_time'] = now return redirect("/index_session/") # 302重定向到首頁 return render(request,"login.html") def index_session(request): is_login = request.session.get("is_login") # 從session中獲取登入狀態 if not is_login: # 判斷狀態不是True時 return redirect("/login_session/") # 302重定向到登入頁面 username = request.session.get("username") # 從session中獲取使用者名稱 login_time = request.session.get("login_time") # 從session中獲取登入時間 return render(request, "index.html", {"username": username, "login_time": login_time})View Code
清理cookie
訪問新的url: http://192.168.11.31:8000/login_session/
跳轉到首頁,
查看錶django_session,發現多了一條記錄
執行步驟1
那麼在login_session檢視函式中,認證成功之後,它執行了哪些步驟呢?
1. 生成隨機字串 1s813eub... 2. django-session表中生成一條記錄 +-------------+--------------+----------------------------+ | session_key | session_data | expire_date | +-------------+--------------+----------------------------+ | 1s813eub... | ZWU0MD... | 2018-07-18 12:49:52.143483 | +-------------+--------------+----------------------------+ session_data原始資料是這樣的{"is_login":True,"username":"xiao","login_time":"2018-07-04 11:49:52"} 存表時,做了加密儲存 3. 響應體.set_cookie("sessionid","1s813eub...")View Code
解釋:
1.django通過隨機演算法,計算一個隨機字串。
2. request.session,這裡面儲存是的字典。在login_session中,它儲存了3個鍵值。
比如:{"is_login":True,"username":"xiao","login_time":"2018-07-04 12:49:52"}
儲存表時:
session_key對應隨機字串,它表示一個鑰匙,用來從django-session表中取值!
session_data 它是將字典序列化後,加密後進行儲存。注意:key的值,必須是字串,否則無法序列化
expire_date 它是在當前時間的基礎上,加了14天。
比如登入日期是2018-07-04,那麼expire_date的值就是2018-07-18
3.響應體,就是伺服器返回給瀏覽器的。響應體.set_cookie,表示設定一條cookie。
sessionid這個名字是固定的,它對應django-session表中的session_key。
一臺電腦的一個瀏覽器,對應django-session表中的唯一一條記錄,它不會重複!
最後一步,就是重定向頁面
執行步驟2
在index_session檢視函式中,認證成功之後,它是如何渲染頁面的?它執行了哪些步驟呢?
1. 獲取隨機字串sessionid 1s813eub... 2. 在伺服器的django-session表中查詢session_key=1s813eub... 的記錄 使用ORM查詢 obj=django-session.objects.filter(session-key=1s813eub...).first() 3. 獲取session值 request.session.get("username") request.session.get("username")View Code
解釋:
1. 瀏覽器傳送請求時,將cookie傳送給伺服器,伺服器獲取key為sessionid的值
2. 在伺服器的django-session表中查詢session_key=sessionid值。
3. 查詢到一條記錄後,擷取session_data中的值。將session_data的值解密,取得username和login_time。
並由render渲染頁面!
瀏覽器驗證
刪除瀏覽器的cookie,清空django-session表記錄。
開啟瀏覽器控制檯,檢視網路,重新登入頁面!
第一次傳送認證請求時,本地沒有sessionid
檢視請求頭的cookie,沒有sessionid
認證成功後,訪問inde_session時,本地有了sessionid
檢視請求頭,帶了sessionid
上面是用谷歌瀏覽器驗證的。使用谷歌瀏覽器再開一個視窗,登入另外一個賬號,觀察django-session表,是否有新的記錄?
修改models.py,增加一個模型表
class Users(models.Model): user=models.CharField(max_length=32) pwd=models.CharField(max_length=32)View Code
使用2個命令,生成表
python manage.py makemigrations
python manage.py migrate
新增2條記錄
修改views.py,匯入Users
from app01.models import Users
修改login_session檢視函式,修改if判斷
def login_session(request): if request.method == "POST": user = request.POST.get("user") pwd = request.POST.get("pwd") if Users.objects.filter(user=user,pwd=pwd): # 寫session request.session['is_login'] = True # session設定登入狀態 request.session['username'] = user # session設定使用者名稱 now = datetime.datetime.now().strftime("%Y-%m-%d %H:%I:%S") request.session['login_time'] = now return redirect("/index_session/") # 302重定向到首頁 return render(request,"login.html")View Code
重新訪問網頁,登入另外一個賬號
頁面效果如下:
檢視django-session表記錄,發現只有一條記錄
這是為什麼呢?因為一臺電腦的一個瀏覽器,對應django-session表中的唯一一條記錄,它不會重複!
使用火狐瀏覽器登入另外一個賬戶
提示登入成功
檢視django-session表記錄,發現多了一條記錄
如果不刪除表