Django框架之會話技術之Cookie與Session
會話(Session)跟蹤是Web程序中常用的技術,用來跟蹤用戶的整個會話。常用的會話跟蹤技術是Cookie與Session。Cookie通過在客戶端記錄信息確定用戶身份,Session通過在服務器端記錄信息確定用戶身份。
會話跟蹤技術
什么是會話跟蹤技術
我們可以把會話理解為客戶端與服務器之間的一次會晤,在一次會晤中可能會包含多次請求和響應。
例如,我們給10086打電話,我就是客戶端,而10086服務人員就是服務端。從雙方接通電話那一刻起,會話就開始了,到某一方掛斷電話標識會話結束。在通話過程中,我們會向10086發出多個請求,那么多個請求都在一個會話中。
在Web中,客戶使用瀏覽器向某一服務器發出第一個請求開始,會話就開始了,直到客戶關閉了瀏覽器會話結束。
在一個會話的多個請求中共享數據,這就是會話跟蹤技術。
例如,在一個會話中的請求如下:請求銀行主頁。
1)請求登錄(請求參數是用戶名和密碼);
2)請求轉賬(請求參數與轉賬相關的數據);
3)請求信用卡還款(請求參數與還款相關的數據)。
在上面會話中,當前用戶信息必須在這個會話中共享的,因為登錄的是張三,那么在轉賬和還款時一定是張三的轉賬和還款,這就說明我們必須在一個會話過程中共享數據的能力。
會話路徑技術使用Cookie或session完成
在Web應用中,HTTP協議是無狀態的,即每次請求都是獨立的,無法記錄前一次請求的狀態,每次請求都是一次新的請求。
無狀態原因:瀏覽器與服務器是使用Socket套接字進行通信的,服務器將請求結果返回給瀏覽器之后,會關閉當前的Socket連接,而且服務器也會在處理頁面完畢之后銷毀頁面對象。
但是,有時候我們需要知道上次請求狀態,比如用戶是否登錄過,瀏覽過哪些商品等。可以使用會話跟蹤,可以使用Cookie、Session、token(自定義的session)。
Cookie
什么叫做Cookie
Cookie,翻譯成中文小甜點,小餅干的意思。在HTTP中它表示服務器送給客戶端瀏覽器的小甜點。
Cookie是客戶端會話技術,數據都存儲在客戶端,以key-value進行存儲。支持過期時間max_age,默認請求會攜帶本網站的所有cookie,cookie不能跨域名,不能跨瀏覽器,cookie默認不支持中文,base64。
Cookie是由服務器創建,通過服務端的響應發送給客戶端瀏覽器的一個鍵值對,然后瀏覽器會把Cookie保存起來,并標注出Cookie的來源(哪個服務器的Cookie),當客戶端下一次再訪問服務器時,默認請求會攜帶本這個服務器的所有Cookie,這樣服務器就可以識別客戶端了。
設置cookie應該是服務器response,獲取cookie應該在瀏覽器request,刪除cookie應該在服務器response。
Cookie規范
- Cookie大小上限為4KB;
- 一個服務器最多在客戶端瀏覽器上保存20個Cookie;
- 一個瀏覽器最多保存300個Cookie;
上面的數據只是HTTP的Cookie規范,但是,在瀏覽器百家爭鳴的當下,一些瀏覽器為了爭奪一份份額,展現自己的優勢,可能對Cookie的規范擴展,例如每個Cookie的大小為8KB,最多可保存500個Cookie等!但也不會出現把你硬盤占滿的可能!
注意,不同瀏覽器之間是不共享Cookie的。也就是說在你使用IE訪問服務器時,服務器會把Cookie發給IE,然后由IE保存起來,當你在使用FireFox訪問服務器時,不可能把IE保存的Cookie發送給服務器
Cookie與HTTP頭
Cookie是通過HTTP請求頭和響應頭在客戶端和服務器端傳遞的:
Set-Cookie:響應頭,服務器端發送給客戶端;
Cookie:請求頭,客戶端發送給服務器端;格式:Cookie: a=A; b=B; c=C。即多個Cookie用分號隔開;
一個Cookie對象一個Set-Cookie:Set-Cookie: a=A Set-Cookie: b=B Set-Cookie: c=C;
Cookie的覆蓋
如果服務器端發送重復的Cookie那么會覆蓋原有的Cookie,例如客戶端的第一個請求服務器端發送的Cookie是:Set-Cookie: a=A;第二請求服務器端發送的是:Set-Cookie: a=AA,那么客戶端只留下一個Cookie,即:a=AA。
請求流程
第一次請求:
① 瀏覽器第一次請求服務器的時候,不會攜帶任何cookie信息,,請求頭中沒有任何cookie信息;
② 當服務器接受到這個請求之后,會做一些驗證,例如進行用戶名和密碼的驗證,驗證沒有問題則可以設置cookie信息。
③ 服務器會為響應設置cookie信息,響應頭中有set_cookie信息。
③ 我們的瀏覽器接收到這個響應之后,發現響應中有cookie信息,瀏覽器會將cookie信息保存起來。
后續請求:① 第二次或之后的請求都會攜帶cookie信息,請求頭中有cookie信息;
② 服務器接受到請求之后,會發現請求中攜帶cookie信息,這樣就認識是誰的請求了。
代碼實現
login.html文件:
- <!DOCTYPE html>
- <html lang="en">
- <head>
- <meta charset="UTF-8">
- <title>登錄界面</title>
- <style>
- #loginbox{
- width: 350px;
- height: 200px;
- border: 1px solid red;
- margin: 90px auto;
- text-align: center;
- }
- </style>
- </head>
- <body>
- <div id="loginbox">
- <h2>登錄界面</h2>
- <form action="" method="post">
- {% csrf_token %}
- 帳 號:<input type="text" name="username">
- <br/>
- 密 碼:<input type="password" name="password">
- <br/>
- <br/>
- <input type="submit" value="登錄">
- <input type="button" value="注冊">
- </form>
- </div>
- </body>
home.html文件:
- <!DOCTYPE html>
- <html lang="en">
- <head>
- <meta charset="UTF-8">
- <title>首頁</title>
- </head>
- <body>
- 歡迎
- {% if username %}
- {{ username }}
- {% else %}
- 游客
- {% endif %}
- 訪問~~
- <br>
- <a href="{% url 'user:logout' %}">退出</a>
- </body>
- </html>
views.py:
- def login(request):
- if request.method == 'GET':
- return render(request, 'login.html')
- elif request.method == 'POST':
- username = request.POST.get('username')
- password = request.POST.get('password')
- if username and password: # 此處為了方便測試,沒有去數據庫進行校驗,實際的需要去數據庫校驗用戶名和密碼之類的
- '''
- 響應體:
- return HttpResponse()
- return render()
- return redirect()
- 都可以
- '''
- response = redirect(reverse('user:home'))
- # 設置cookie信息
- response.set_cookie('username', username)
- is_login = True
- response.set_cookie('is_login', is_login)
- return response
- return render(request, 'login.html')
- def home(request):
- # 獲取cookie信息
- is_login = request.COOKIES.get('is_login')
- username = request.COOKIES.get('username')
- if is_login:
- return render(request, 'home.html', {'username': username})
- return redirect(reverse('user:login'))
- def logout(request):
- response = redirect(reverse('user:login'))
- # 刪除cookie信息
- response.delete_cookie('is_login')
- response.delete_cookie('username') # 注銷,最好都刪除,避免注冊之后下次還會攜帶未刪除的信息
- return response
我們可以看到第一次打開登錄頁面的時候,不攜帶Cookie信息(csrf暫忽略):
我們再登錄,即提交表單之后,服務器設置了Cookie(可參考上面設置Cookie信息代碼):
退出,即刪除Cookie信息,這里只刪除is_login的信息
上面是以明文的方式顯示,我們可以進行加鹽設置,以加密形式顯示:
- def login(request):
- if request.method == 'GET':
- return render(request, 'login.html')
- elif request.method == 'POST':
- username = request.POST.get('username')
- response = redirect(reverse('user:home'))
- #response.set_cookie('username', username)
- #set_signed_cookie(key,value,salt='加密鹽',...)
- response.set_signed_cookie('username', username, 'qmpython')
- return response
- def home(request):
- username = request.COOKIES.get('username')
- # 解密
- #username = request.get_signed_cookie('username', 'qmpython')
- response = HttpResponse(f'{username}登錄成功')
- return response
Cookie:具體一個瀏覽器針對一個服務器存儲key-value。
注意,不同瀏覽器之間是不共享Cookie的。也就是說在你使用IE訪問服務器時,服務器會把Cookie發給IE,然后由IE保存起來,當你在使用Chrome訪問服務器時,不可能把IE保存的Cookie發送給服務器。
同一個瀏覽器訪問A網站,又去訪問B網站,不可能將A的cookie信息攜帶發送給B服務器。
默認情況下,Cookie只在瀏覽器的內存中存活,也就是說,當你關閉瀏覽器后,Cookie就會消失!
問題一:如果只是關閉網站(關閉標簽頁),沒有退出瀏覽器呢?
A:并不會,如果在不關閉瀏覽器,只關閉頁面時,清除cookie。可以使用js事件處理:
- <script>
- window.onunload = function(){
- //窗口關閉
- //在這發一個ajax請求,后臺清除cookie
- }
- </script>
set_cookie參數:
- class HttpResponseBase:
- def set_cookie(self,
- key, # 鍵
- value='', # 值
- max_age=None, # cookie有效時長,單位為秒,默認為None表示關閉瀏覽器失效,指定 為有效數值100表示100秒后自動失效
- expires=None, # 支持一個datetime或timedelta,可以指定一個具體的日期, expires=timedelta(days=10)表示十天后過期。
- # max-age和exepires兩個指定一個。
- path='/', # Cookie生效的路徑,瀏覽器只會把cookie回傳給帶有該路徑的頁面,這樣可以避免將;cookie傳給站點中的其他的應用。;/ 表示根路徑,特殊的:根路徑的cookie可以被任何url的頁面訪問
- domain=None, ''' Cookie生效的域名;你可用這個參數來構造一個跨站cookie。
- 如, domain=".example.com"
- 所構造的cookie對下面這些站點都是可讀的:
- www.example.com 、 www2.example.com
- 和an.other.sub.domain.example.com 。
- 如果該參數設置為 None ,cookie只能由設置它的站點讀取。
- '''
- secure=False, # 如果設置為True,瀏覽器將通過HTTPS來回傳cookie
- httponly=False, # 只能http協議傳輸,無法被js獲取(不是絕對的,底層抓包可以獲取到也可以被覆蓋)
- samesite=None
- ):pass
練習:使用cookie實現上次登錄時間
- def home(request):
- # 獲取cookie信息
- username = request.COOKIES.get('username')
- last_login_time = request.COOKIES.get('last_login_time', '')
- response = render(request, 'home.html', {'username': username, 'last_login_time': last_login_time})
- from datetime import datetime
- now = datetime.now().strftime('%Y-%m-%d %H:%M:%S')
- response.set_cookie('last_login_time', now)
- return response
Session
前面介紹了Cookie,為什么還需要Session呢?其實很多情況下,只使用Cookie便能完成大部分需求。但是,只使用Cookie往往是不夠的,考慮用戶登錄信息或一些重要的敏感信息,用Cookie存儲的話會帶來一些問題,最明顯的是由于Cookie會把信息保存到本地,因此信息的安全性可能受到威脅。Session的出現很好地解決的這個問題,Session與Cookie類似。
Session是服務器端技術,利用這個技術,服務器在運行時可以為每一個用戶的瀏覽器創建一個其獨享的session對象,由于session為用戶瀏覽器獨享,所以用戶在訪問服務器的web資源時,可以把各自的數據放在各自的session中,當用戶再去訪問該服務器中的其他web資源時,其他WEB資源再從用戶各自session中取出數據為用戶服務。
Session是服務端會話技術,依賴于Cookie,如果在瀏覽器中**禁用cookie**的話,那么session就失效了,因為它需要瀏覽器的cookie值去session里做對比。
1. 啟用Session
Django默認啟用Session,可以在設置文件settings.py:
- MIDDLEWARE = [
- 'django.contrib.sessions.middleware.SessionMiddleware',
- ]
如果禁用session,則注釋即可。
2. 存儲方式
在settings.py文件中,可以設置session數據的存儲方式,可以保存在數據庫、本地緩存等。
2.1 數據庫
默認是存儲在數據庫中的。
- SESSION_ENGINE='django.contrib.sessions.backends.db'
如果存儲在數據庫中,則需要安裝Session應用,默認已設置:
- INSTALLED_APPS = [
- 'django.contrib.sessions',
- ]
在進行數據庫遷移的時候,Django自動幫我們生成了django_session表,有3個字段,分別為session_key,session_data,expris_date,Django中session的默認過期時間是14天。
遷移數據庫后,就會生成django_session表:
3. 請求流程
第一次請求:
① 我們第一次請求的時候可能會攜帶一些信息(例如用戶名/密碼),cookie中沒有任何信息。
② 當服務器接受到這個請求之后,會做一些驗證,例如進行用戶名和密碼的驗證,驗證沒有問題則可以設置session信息。
③ 在設置session信息的同時(session信息保存在服務器端),服務器會在響應頭中設置一個sessionid的cookie信息。
④ 客戶端(瀏覽器)在接收到響應之后,會將cookie信息保存起來(保存sessionid的信息)。
后續請求:
① 第二次或之后的請求都會攜帶sessionid的cookie信息
② 當服務器接收到這個請求之后,獲取到sessionid信息,然后進行驗證,驗證成功,則可以獲取session信息(session信息保存在服務器端)
4. 代碼實現
- def login(request):
- if request.method == 'GET':
- return render(request, 'login.html')
- elif request.method == 'POST':
- '''
- 響應體:
- return HttpResponse()
- return render()
- return redirect()
- 都可以
- '''
- username = request.POST.get('username')
- password = request.POST.get('password')
- if username and password: # 此處為了方便測試,沒有去數據庫進行校驗,實際的需要去數據庫校驗用戶名和密碼之類的
- # 設置session信息
- request.session['is_login'] = True
- request.session['username'] = username
- '''
- 以上設置,實際執行以下操作:
- 1、生成隨機字符串,例如:123abc!@#
- 2、response.set_cookie("sessionid", 123abc!@#)
- 3、在django_session表中創建一條記錄:
- session_key session_data
- 123abc!@# {"is_login":True, "username": "admin"}
- '''
- return redirect(reverse('user:home'))
- def home(request):
- is_login = request.session['is_login']
- username = request.session['username']
- '''
- 以上執行以下操作:
- 1) request.COOKIES.get('sessionid'),獲得session_key
- 2) 通過上面得到的session_key,在django_session表中獲取對應的session_data
- 3) 從session_data獲取is_login值。
- '''
- if is_login:
- return render(request, 'home.html', {'username': username})
- return redirect(reverse('user:login'))
- def logout(request):
- response = redirect(reverse('user:login'))
- # 刪除session數據,即刪除了session_data字段值中對應鍵和值,但是cookie信息還存在,請求還會攜帶cookie信息,也就成了臟數據,通過cookie再找session,已經找不到了。
- #del request.session['is_login']
- # 清除所有session,禁用!!!
- request.session.clear()
- # 清除當前的會話數據并刪除會話的cookie,session,cookie一起干掉,刪除session表中session的整條數據。
- request.session.flush()
- '''
- 執行以下操作:
- 1) request.COOKIE.get('sessionid'),獲得session_key
- 2) django_session表中刪除session_key對應的記錄
- 3) response.delete_cookie('sessionid')
- '''
- return response
打開登錄頁面,沒有攜帶任何cookie信息(csrf那個先不管)
發起登錄請求,設置session信息,其中會生成隨機字符串比如mjx9gsq47ofwmcg2ubxtg28uk6idbq2a,然后以這個sessionid為key,這個字符串為value,設置cookie信息。
并且在django_session插入記錄,其中session_key字段的值就是sessionid的值,session_data字段的值就是上面設置的session鍵值對。
然后跳轉到home頁,就會攜帶cookie信息,獲取sessionid的值,在數據庫django_session表中查找是否有相關記錄。
如果退出,則刪除session信息
從DJANGO角度來看:
第一次請求:
① 第一次請求,在請求頭中沒有攜帶任何cookie信息。
② 我們在設置session的時候,session會做2件事。
第一件:將數據保存在數據庫中。
第二件:設置一個cookie信息,這個cookie信息是以sessionid為key,value為xxxx,cookie肯定會以響應的形式在響應頭中出現。
第二次以及之后的請求:
③ 都會攜帶cookie信息,特別是sessionid。
如果換了瀏覽器,還能獲取到session信息嗎?
解:不可以,因為session依賴于cookie,換了瀏覽器,都沒有cookie信息了。
