大綱

二、session
1、session與cookie對比
2、session基本原理及流程
3、session伺服器操作（獲取值、設定值、清空值）
4、session通用配置（在配置檔案中）
5、session引擎配置（db、cache、file、cookie加密）
三、CSRF
1、csrf原理-form提交及ajax提交
2、csrf全域性與區域性應用配置
四、中介軟體生命週期
1、process_request、process_response
下面自己建立一箇中間件
2、process_view
3、其他
一、內容回顧

二、session

1、session與cookie對比

Cookie：儲存在使用者瀏覽器端的鍵值對

本地可以修改；如果有敏感資訊，可以被看到。

基於cookie做使用者驗證時，敏感資訊不適合放在cookie中
把儲存壓力放到每個客戶端上，對於伺服器端壓力小了。

Session：儲存在伺服器端的鍵值對

服務端：儲存鍵值對{'隨機字串':{……使用者資訊……}}，通過cookie儲存隨機字串到客戶端上。

使用session前：先執行python manage.py makemigrations python manage.py migrate，因為預設Django session 儲存在資料庫中的django_session表中。

2、session基本原理及流程

• session 設定值

  • request.session['is_login'] = True Django會執行一下操作

   # 生成隨機字串
   # 寫到使用者瀏覽器cookie
   # 儲存到session中
   # 在隨機字串對應的字典中設定相關內容……

• session 獲取值

  • request.session['is_login']: 執行以下操作

  # 獲取當前使用者的隨機字串
  # 根據隨機字串獲取對應資訊

• 使用session前，別忘了先生成資料庫

urls.py

    url(r'^login/'
 
, views.login),
    url(r'^index/', views.index),
    url(r'^logout/$', views.logout),

views.py

def login(request):
    if request.method == "GET":
        return render(request,'login.html')
    elif request.method == "POST":
        user = request.POST.get('user')
        pwd = request.POST.get('pwd')
        if user == 'root' and pwd == "123":
        # session中設定值
            # 生成隨機字串
            # 寫到使用者瀏覽器cookie
            # 儲存到session中
            # 在隨機字串對應的字典中設定相關內容……
            request.session['username'] = user
            request.session['is_login'] = True
            if request.POST.get('rmb',None) == '1':
                # 超時時間
                request.session.set_expiry(10)
            return redirect('/index/')
        else:
            return render(request,'login.html')

def index(request):
    # 獲取當前使用者的隨機字串
    # 根據隨機字串獲取對應資訊
    if request.session.get('is_login',None):
        return HttpResponse(request.session['username'])
    else:
        return HttpResponse("請登入……")

def logout(request):
    # del request.session['username']
    request.session.clear()    # 清除session，登出
    return redirect('/login/')

login.html

<body>
    <form action="/login/" method="POST">
        <input type="text" name="user" />
        <input type="text" name="pwd" />
        <input type="checkbox" name="rmb" value="1" /> 10秒免登入
        <input type="submit" value="提交" />
    </form>
</body>>  

index.html

<body>
    <h1>歡迎登入：{{ username }}, {{ request.session.username }}</h1>
<!----------  這裡不用使用後臺模板傳值，使用session也能獲取到使用者名稱  -------------->
    <a href="/logout/">登出</a>
</body>

3、session伺服器操作（獲取值、設定值、清空值）

    # 獲取、設定、刪除Session中資料
        request.session['k1']               # 獲取
        request.session.get('k1',None)
        request.session['k1'] = 123         # 設定
        request.session.setdefault('k1',123) # 存在則不設定
        del request.session['k1']           # 刪除

    # 所有 鍵、值、鍵值對
        request.session.keys()
        request.session.values()
        request.session.items()
        request.session.iterkeys()
        request.session.itervalues()
        request.session.iteritems()

    # 獲取使用者session的隨機字串
        request.session.session_key
    # 將所有Session失效日期小於當前日期的資料刪除
        request.session.clear_expired()
    # 檢查 使用者session的隨機字串 在資料庫中是否存在
        request.session.exists("session_key")
    # 刪除當前使用者的所有Session資料
        request.session.delete("session_key")
        request.session.clear()     # 比delete用法更簡單，登出的時候可以使用

# 設定超時時間 （預設session超時時間是兩週）
    request.session.set_expiry(value)
        # * 如果value是個整數，session會在些秒數後失效。
        # * 如果value是個datatime或timedelta，session就會在這個時間後失效。
        # * 如果value是0,使用者關閉瀏覽器session就會失效。
        # * 如果value是None,session會依賴全域性session失效策略。

4、session通用配置（在配置檔案中）

settings.py

SESSION_ENGINE = 'django.contrib.sessions.backends.db'  # 引擎（預設）

SESSION_COOKIE_NAME ＝ "sessionid"       # Session的cookie儲存在瀏覽器上時的key，即：sessionid＝隨機字串（預設）
SESSION_COOKIE_PATH ＝ "/"               # Session的cookie儲存的路徑（預設）
SESSION_COOKIE_DOMAIN = None             # Session的cookie儲存的域名（預設）
SESSION_COOKIE_SECURE = False            # 是否Https傳輸cookie（預設）
SESSION_COOKIE_HTTPONLY = True           # 是否Session的cookie只支援http傳輸（預設）
SESSION_COOKIE_AGE = 1209600             # Session的cookie失效日期（2周）（預設）
SESSION_EXPIRE_AT_BROWSER_CLOSE = False  # 是否關閉瀏覽器使得Session過期（預設）
SESSION_SAVE_EVERY_REQUEST = False       # 是否每次請求都儲存Session，預設修改之後才儲存（預設）
# 這個好。settings裡設為true，超時時間按照最後一次客戶端請求計算，如上按照最後一次請求之後10秒失效。

5、session引擎配置（db、cache、file、cookie加密）

Django中預設支援Session，其內部提供了5種類型的Session供開發者使用：

• 資料庫（預設）
• 快取
• 檔案
• 快取+資料庫
• 加密cookie

# 資料庫Session
    SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎（預設）

# 快取Session    
    SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
    SESSION_CACHE_ALIAS = 'default'  # 使用的快取別名（預設記憶體快取，也可以是memcache），此處別名依賴快取的設定
    # 連線memcache 的配置，快取部分會提到。不支援redis，連它需要安裝外掛

# 檔案Session
    SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎
    SESSION_FILE_PATH = os.path.join(BASE_DIR, 'cache')  # 放到cache目錄下
    SESSION_FILE_PATH = None   # 快取檔案路徑，如果為None，則使用tempfile模組獲取一個臨時地址tempfile.gettempdir()
    # 如：/var/folders/d3/j9tj0gz93dg06bmwxmhh6_xm0000gn/T

# 快取+資料庫Session
    SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'  # 引擎

# 加密cookie Session （都放到cookie裡面，只是做了加密處理）
    SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'  # 引擎

三、CSRF

之前提到的xss攻擊：網站評論裡等允許別人寫js的時候，別人進行的惡意操作。csrf類似。

CSRF的防護通常有兩種方式，一個是通過Challenge-Response的方式，例如通過Captcha和重新輸入密碼等方式來驗證請求是否偽造，但這會影響使用者體驗，類似銀行付款會採用這樣的方式。另一種是通過隨機Token的方式，多數Web系統都會採用這種方式，Django也是用的這種。

1、csrf原理-form提交及ajax提交

客戶端get請求時，django會生成隨機字串給客戶，當客戶端提交form表單的時候，如果沒有隨機字串，則django不允許，報403錯誤。

form提交資料需要帶隨機字串過去，Ajax提交也需要帶著過去。ajax帶哪的值？

加上{% csrf_token %}在html form裡生成了一個，在也生成了一份。瀏覽器審查元素 –> Network –> Cookies 裡也能找到隨機字串。

所以ajax提交的時候，只需要把cookie裡的隨機字串拿到，放到請求頭裡面發過去就可以了

後臺獲取隨機字串的key，key是什麼值？ x-CSRFtoken

login.html

<body>
    <!-- form 提交 -->
    <form action="/login/" method="POST">
        <!-- 生成 csrf 的隨機字串 -->
        <!-- {{ csrf_token }} -->
        {% csrf_token %}  <!--html裡會自動生成隱藏input框-->
        <input type="text" name="user" />
        <input type="text" name="pwd" />
        <input type="checkbox" name="rmb" value="1" /> 10秒免登入
        <input type="submit" value="提交" />
        <input id="btn" type="button" value="Ajax提交" />
    </form>

    <script src="/static/jquery-1.12.4.js"></script>
    <script src="/static/jquery.cookie.js"></script>
    <script>
        $(function(){
            // ajax 提交
            $.ajaxSetup({  // 對整個頁面所有的ajax操作做個配置
                beforeSend: function(xhr,settings){  // 傳送ajax前的操作
                    xhr.setRequestHeader('X-CSRFtoken', $.cookie('csrftoken'));
                }
            });

            $('#btn').click(function () {
                $.ajax({
                    url: '/login/',
                    type:"POST",
                    data: {'user': 'root', 'pwd': '123'},
        // 這種方式加請求頭，每個操作都加麻煩一些，所以使用上面的  ajaxSetup 里加
                    // headers: {'X-CSRFtoken': $.cookie('csrftoken')},
                    success:function(arg){

                    }
                })
            });
        })
    </script>
</body>

這裡ajax提交，在瀏覽器審查元素、network裡看效果。

2、csrf全域性與區域性應用配置

settings裡面，允許csrf驗證，那麼就是對全域性都進行驗證。如果個別的方法不需要使用，怎麼單一配置？

django為使用者實現防止跨站請求偽造的功能，通過中介軟體 django.middleware.csrf.CsrfViewMiddleware 來完成。而對於django中設定防跨站請求偽造功能有分為全域性和區域性。

全域性：

　　中介軟體 django.middleware.csrf.CsrfViewMiddleware

區域性：

• @csrf_protect，為當前函式強制設定防跨站請求偽造功能，即便settings中沒有設定全域性中介軟體。
• @csrf_exempt，取消當前函式防跨站請求偽造功能，即便settings中設定了全域性中介軟體。

注：from django.views.decorators.csrf import csrf_exempt,csrf_protect

對於ajax中，採用ajaxSetup方式也是全域性都加，比如get方式是不需要的，可以如下配置

        var csrftoken = $.cookie('csrftoken');

        function csrfSafeMethod(method) {
            // these HTTP methods do not require CSRF protection
            return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
        }
        $.ajaxSetup({
            beforeSend: function(xhr, settings) {
                // settings 會獲取到ajax裡面的所有配置
                if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
                    xhr.setRequestHeader("X-CSRFToken", csrftoken);
                }
            }
        });
        function Do(){

            $.ajax({
                url:"/app01/test/",
                data:{id:1},
                type:'POST',
                success:function(data){
                    console.log(data);
                }
            });

        }

四、中介軟體生命週期

settings裡的 MIDDLEWARE 都是一個一個的中介軟體。客戶端請求，先經過一排一排的中介軟體到達views，之後再通過中介軟體返回給客戶端。而通過中介軟體都是呼叫中介軟體的某個方法、

1、process_request、process_response

• process_request：客戶端請求，經過中介軟體的方法
• process_response：返回客戶端，經過中介軟體的方法

下面自己建立一箇中間件

隨便建立一個目錄middle，

middle/m.py

from django.utils.deprecation import MiddlewareMixin

class Row1(MiddlewareMixin):
    def process_request(self, request):
        print("中介軟體1")
    def process_response(self, request, response):
        print("中介軟體1返回")
        return response
# 引數裡的 response ：就是views裡面返回的值，所以要繼續返回一下，否則客戶端收不到資料
from django.shortcuts import HttpResponse
class Row2(MiddlewareMixin):
    def process_request(self, request):
        print("中介軟體2")
        # return HttpResponse("禁止你訪問")
    def process_response(self, request, response):
        print("中介軟體2返回")
        return response

class Row3(MiddlewareMixin):
    def process_request(self, request):
        print("中介軟體3")
    def process_response(self, request, response):
        print("中介軟體3返回")
        return response

settings.py

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'middle.m.Row1',
    'middle.m.Row2',
    'middle.m.Row3',
]

views.py

def test(request):
    print("最終返回資訊")
    return HttpResponse("OK")

中介軟體裡面的引數request裡接受的資料和views裡接受的資料是一樣的，所以從裡面取值可以做相應的判斷處理，允不允許資料通過。

比如上面的示例：中介軟體row2，process_request，裡返回資料，則會在同級的process_response裡開始返回資料給客戶端了。

注意：這是在Django1.10版本才這樣的，之前版本：row2返回資料，會在最底部的response開始網上返回資料，這裡是row3。

所以中介軟體是對所有的請求做統一操作，比如資料校驗、黑名單過濾

2、process_view

如下：每個中介軟體類中中加入如下方法：

class Row1(MiddlewareMixin):
    def process_request(self, request):
        print("中介軟體1")
    def process_view(self, request, view_func, view_func_args, view_func_kwargs):
        # view_func 對應 views函式，view_func_args、kwargs 對應 views裡的引數、
        print("中介軟體1view")
    def process_response(self, request, response):
        print("中介軟體1返回")
        return response

請求順序如下：使用者請求 –> 每個中介軟體的request –> 到達urls路由匹配，匹配成功後 –> 折回每個中介軟體的view –> views –> 通過response返回

3、其他

def process_exception(self, request, exception):
    if isinstance(exception, ValueError):
        return HttpResponse("出現異常")
# 異常處理 views函式裡出錯了，執行這裡，如views裡 int('fgf')

views函式如果出現異常，返回會找exception方法，一級一級往上找，如果有處理返回，如果都沒有處理就直接返回報錯了。

process_template_response(self,request,response)
# 如果views中的函式返回的物件中，具有render方法，執行這個方法。

一、內容回顧

1、基本生命週期

2、URL

    /index/                 index
    /list/(\d+)             index
    /list/(\d+) name='li'   index
    /list/(\d+) include     index

3、views

# 所有內容的原生值
request.body        # 所有的post請求，都會放到body裡面傳過去
    request.POST        # 從request.body中提取
    request.GET         # 從request.body中提取
    request.FILES
    request.xxxx.getlist
# 請求頭內容
request.Meta
    request.method(POST,GET,PUT)
    request.path_info
    request.COOKIES
    ……

# 返回資料 #########
    return HttpResponse # 支援返回字串 和 bytes型別
    return render       # 渲染頁面
    return redirect     # 跳轉

    # 返回cookie ##
    response = HttpResponse('ok')
    response.set_cookie()
    return response
    # 把cookie，放到響應頭裡面，客戶端瀏覽器去響應頭裡面獲取。。所以也能設定響應頭內容
    response['name'] = 'fgf'

4、Model操作（原生Sql也可以）

# 表內容操作：
    models.TB.objects.create()
    obj = models.TB(..)
    obj.save()
    models.TB.objects.all()[7:10]  # 切片
    models.TB.objects.update()
    models.TB.objects.filter()
    models.TB.objects.delete
    models.TB.objects.values
    models.TB.objects.values_list
    models.TB.objects.get
    models.TB.objects.filter().update()
    models.TB.objects.filter().first()
    models.TB.objects.filter(**{}).count()
    models.TB.objects.filter(雙下劃線跨表)
    models.TB.objects.filter(id__gte=1)
    models.TB.objects.exclude(id__lt=1)

    models.TB.objects.filter(id_in=[1,2,3]) # id__in

    # 多對多
        obj.set
        obj.add([1,2,3])
        obj.add(1,2,3)
        obj.remove([1,2,3])
        obj.clear()


    models.TB.objects.all()
    [obj,obj]
    obj.fk.name
    models.TB.objects.all().order_by('')
    models.TB.objects.distinct()

    ## 跨表操作 ###########
    class A:
        name ...
        # 而A表操作B表，通過表名+‘_set’ --> b_set
    class B:
        caption ...
        fk = ForignKey(A)   # B表操作A表，通過 fk.

5、模板語言

# 基本操作
    def func(request):
        return render(request,'index.html',{'val':[1,2,3]})
    # index.html 裡
    <h1>{{ val.0 }}</h1>
# 繼承    
    extends "layout.html"
# include
    元件
# simpli_tag, filter