Django框架(九) cookie與session簡介 網址的發展史: 1、起初網站都沒有保存用戶功能的需求,所有用戶訪問返回的結果都是一樣的。 比如:新聞網頁,博客網頁,小說... (這些網頁是不需要登錄後才能訪問的,每個人訪問的結果都一樣) 2、後來出現了一些需要保存用戶信息的網站 比如:支付 ...
Django框架(九)
cookie與session簡介
網址的發展史:
1、起初網站都沒有保存用戶功能的需求,所有用戶訪問返回的結果都是一樣的。
比如:新聞網頁,博客網頁,小說... (這些網頁是不需要登錄後才能訪問的,每個人訪問的結果都一樣)
2、後來出現了一些需要保存用戶信息的網站
比如:支付寶,淘寶,京東.... (用戶登錄後只要不長時間不訪問就不會退出登錄)
舉例
以登錄功能為例:
# 如果不保存用戶的登錄狀態,也就是意味著用戶每次訪問都需要重覆的輸入,用戶名和密碼,甚至於如果用戶從該地址點擊某連接,跳轉到另一個子網頁,也需要重覆的輸入用戶名和密碼,如果頁面卡了,刷新頁面也可能需要重新登錄,輸入用戶名和密碼。(這樣的頁面用戶還會用嗎?)
那麼這時開發者們就想到了一個解決方案:
# 當用戶第一次登錄成功之後,將用戶的用戶名密碼返回給用戶瀏覽器,讓用戶瀏覽器保存在本地,之後用戶再次訪問網站的時候瀏覽器自動將保存在瀏覽器上的用戶名和密碼發送給服務端,服務端獲取之後自動驗證
# 但是早期這種方式具有非常大的安全隱患(因為這中方式是銘文保存的,完全可以被別人找到看到)
優化:
# 當用戶登陸成功之後,服務端隨機產生一個隨機字元串(在服務端保存數據,用k:v鍵值對的形式),交由客戶端瀏覽器保存。之後訪問服務端的時候,都帶著該隨機字元串,服務端去資料庫中比對是否有對應的隨機字元串從而獲取到對應的用戶信息。
# 但是如果有人截獲到了某用戶的該隨機字元串,那麼就可以冒充他,其實也是有安全隱患的
# 在web領域是沒有絕對的安全也沒有絕對的不安全的。
什麼是cookie?
cookie實際上是一小段的文本信息。客戶端請求伺服器,如果伺服器需要記錄該用戶的狀態,就使用response向客戶端瀏覽器頒發一個cookie。客戶端瀏覽器會把cookie保存起來。當瀏覽器再次請求該網站時,瀏覽器就會把請求地址和cookie一同給伺服器。伺服器檢查該cookie,從而判斷用戶的狀態。伺服器還可以根據需要修改cookie的內容。
# 表現形式:
k:v鍵值對(可以存多個)
什麼是session?
session是另一種記錄客戶狀態的機制。不同的是cookie保存在客戶端瀏覽器中,而session保存在伺服器上。客戶端瀏覽器訪問伺服器的時候,伺服器把客戶端信息以某種形式記錄在伺服器上,這就是session。客戶端瀏覽器再次訪問時只需要從該session中查找該客戶的狀態就可以了。 如果說cookie機制是通過檢查客戶身上的“通信證”,那麼session機制就是通過檢查伺服器上的“客戶明細表”來確認客戶身份。
# 表現形式
數據時保存在服務端的並且他的表現形式一般也是k:v鍵值對(可以有多個)
1.cookie就是保存在客戶端瀏覽器上的信息
2.session就是保存在服務端上的信息
3.session是基於cookie工作的。(大部分的保存用戶狀態的操作都需要使用到cookie)
瞭解了cookie與session的工作原理,接下來我們來看他們具體是怎麼使用的。
cookie操作
# 雖然cookie是服務端告訴客戶端瀏覽器需要保存內容
# 但是如果客戶端瀏覽器可以選擇拒絕,如果客戶端瀏覽器禁止了cookie,那麼客戶端瀏覽器就無法保存服務端發送過來的內容,那麼只要是需要記錄用戶狀態的網站登錄功能都無法使用了。
# 如果在瀏覽器上 >> 隱私設置和安全性 >> Cookie及其他網站數據 >> 阻止了cookie
# 那麼此時所有需要記錄用戶狀態的網站的登錄功能都無法使用,因為網站無法保存服務端發來的用戶名密碼,永遠無法校驗用戶名和密碼,這樣就無法登錄進去
刪除當前頁面的cookie
# 我們可以在頁面上手動刪除我們的cookie,這樣瀏覽器就沒有記錄我們的登錄信息,服務端無法驗證,這樣就需要我們重新登錄。
實操
# 我們之前操作視圖函數的返回值
return HttpResponse()
return render()
return redirect()
# 那麼如果想要操作cookie就需要我們這樣編寫:
obj1 = HttpResponse()
# 操作cookie
return obj1
obj2 = render()
# 操作cookie
return obj2
obj3 = redirect()
# 操作cookie
return obj3
# 如果你想要操作cookie,你就不得不利用obj對象
# cookie關鍵字:
設置cookie:obj.set_cookie(key,value) # 需要使用到上述提到的對象
加鹽處理:obj.set_signed_cookie(key,value,salt='鹽')
獲取cookie:request.COOKIES.get('key')
加鹽數據獲取:request.get_signed_cookie(key,salt='鹽')
示例
# 我們來看一個真正的登錄功能
def login(request):
if request.method == 'POST': # 查詢post請求數據
username = request.POST.get('username')
password = request.POST.get('password')
if username == 'gary' and password == '123':
return redirect('/home/') # 如果用戶輸入的匹配就跳轉到home頁面
return render(request,'login.html')
def home(request):
return HttpResponse('我是home頁面,只有登陸的用戶再能進來')
# 但是上述存在一個問題:我們需求是必須輸入正確的用戶名密碼才可以進入home頁面,但是我們直接訪問/home/路由也可以直接進入home頁面對吧。那麼這就就需要用到cookie
優化
def login(request):
if request.method == 'POST':
username = request.POST.get('username')
password = request.POST.get('password')
if username == 'gary' and password == '123':
**************************應用cookie區域*************************************
obj = redirect('/home/') # 用戶名密碼正確跳轉到home主頁
# 讓瀏覽器記錄cookie數據
obj.set_cookie('username','gary222') # 這裡就可以隨便放一個鍵值對,可以直接放一個用戶的用戶名名也可以,目的是為了讓客戶端瀏覽器保存
# 瀏覽器不單單的幫你存這個鍵值對
# 每次訪問的時候還會帶著他過來進行驗證
return obj
*****************************************************************************
return render(request,'login.html')
def home(request):
# 獲取cookie信息 判斷是否有cookie
if request.COOKIES.get('username') == 'gary222': # 只有攜帶cookie才可以進入home頁面
return HttpResponse('我是home頁面,只有登陸的用戶再能進來')
# 如果沒有登錄則跳轉到登陸頁面
return redirect('/login/')
# 這樣我們想要直接訪問home頁面就不允許了,必須登錄之後才能訪問,並且登錄之後會記錄登錄狀態,下次再次直接訪問home頁面也是可以訪問的。
不足之處
# 不足之處1:
# 現在我們只有一個home頁面,那麼如果有很多頁面呢,是不是在視圖函數很多的時候都要做一次判斷,判斷是否存在cookie,判斷是否已經登陸,那麼此時我們應該在每個也面前加一個校驗用戶是否已經登陸的裝飾器。
# 不足之處2:
# 比如:
用戶訪問index頁面,然後跳轉到login登錄頁面進行登錄,但是當用戶登錄後,此時跳轉的還是home頁面,這樣是不合理的。需要的是用戶訪問什麼頁面,登陸後跳轉的就是用戶想要的頁面,而不是主頁面。
實現不足之處1:
# 增加驗證是否登錄的裝飾器:
def login_auth(func): # 此時func就是home函數
def inner(request,*args,**kwargs):
if request.COOKIES.get('username'): # 判斷cookie是否有值
res = func(request,*args,**kwargs) # 有值則執行對應函數
return res
else: # 沒有cookie值則跳轉登錄頁面
return redirect('/login/')
return inner
def login(request):
if request.method == 'POST':
username = request.POST.get('username')
password = request.POST.get('password')
if username == 'gary' and password == '123':
obj = redirect('/home/')
# 讓瀏覽器記錄cookie數據
obj.set_cookie('username','gary222') # 這裡就可以隨便放一個鍵值對了,可以直接放一個用戶的用戶名名也可以
# 瀏覽器不單單的幫你存這個鍵值對
# 每次訪問的時候還會帶著他過來
return obj
return render(request,'login.html')
@login_auth # 添加語法糖
def home(request):
return HttpResponse('我是home頁面,只有登陸的用戶再能進來')
@login_auth
def index(request):
return HttpResponse('我是index頁面')
@login_auth
def shop(request):
return HttpResponse('我是shop頁面')
# 此時就解決了多個頁面代碼冗餘的問題。
實現不足之處2:
"""
用戶如果在沒有登陸的情況下想訪問一個需要登陸的頁面
那麼先跳轉到登陸頁面 當用戶輸入正確的用戶名和密碼之後
應該跳轉到用戶之前想要訪問的頁面去 而不是直接寫死
"""
# 訪問登陸頁面就兩種情況:
要麼是直接訪問登陸頁面的,要麼是通過裝飾器跳轉到登錄頁面的
補充:獲取當前用戶請求的url
# print(request.path_info) # 該方法不獲取路由後面的參數
# print(request.get_full_path()) # 能夠獲取到用戶上一次想要訪問的url(上一次訪問的就是跳轉到login頁面之前想要訪問的頁面)(同樣可獲取到參數)
def login_auth(func):
def inner(request,*args,**kwargs):
target_url = request.get_full_path() # 獲取用戶想要訪問的url
if request.COOKIES.get('username'):
res = func(request,*args,**kwargs)
return res
else:
return redirect('/login/?next=%s'%target_url)
# 這樣跳轉到登錄頁面後,url後面會攜帶(?next='上一次用戶訪問的url頁面')的參數
return inner
# 那麼此時就可以通過request.GET的方法拿到後面的參數,然後指定下一次跳轉的頁面
def login(request):
if request.method == 'POST':
username = request.POST.get('username')
password = request.POST.get('password')
if username == 'gary' and password == '123':
*****************************************************************
target_url = request.GET.get('next') # 這個結果可能是none(可能用戶直接訪問login)
if target_url: # 如果參數有指
obj = redirect(target_url) # 則跳轉到指定路由的頁面
else:
obj = redirect('/home/') # 如果用戶直接訪問的是登錄頁面則返回指定的home頁面
*****************************************************************
obj.set_cookie('username','gary222')
return obj
return render(request,'login.html')
參數補充
1、# 可以設置超時時間:cookie可以存在多長時間,過了時間就自動清除cookie,不保存登錄狀態則下次需要重新登錄。
參數:
max_age=時間限制(以秒為單位)
expires=時間限制(以秒位單位)
兩者區別:
在設置cookie的時候可以添加一個超時時間
obj.set_cookie('username', 'jason666',max_age=3,expires=3)
max_age
expires
兩者都是設置超時時間的 並且都是以秒為單位
需要註意的是 針對IE瀏覽器需要使用expires
2、主動刪除cookie(類似於退出登錄/註銷功能)
@login_auth # 註意退出登錄也是登錄後才能操作的所以需要添加裝飾器
def logout(request):
obj = redirect('/login/')
obj.delete_cookie('username')
return obj
session操作
# 設置session
request.session['key'] = value
# 獲取session
request.session.get('key')
# session數據是保存在服務端的,給客戶端返回的是一個隨機字元串的形式。
# 不是(key:value)的形式
# 而(sessionid:隨機字元串)的形式
設置session
urls.py
# 設置session
url(r'set_session',views.set_session)
views.py
def set_session(request):
request.session['hobby'] = 'girl' # 設置session給前端返回一個隨機字元串
return HttpResponse('hello 小姐姐!')
# 訪問:
# 上述情況是因為什麼呢?
# 這是因為,上述提到session的數據是保存在服務端的,那保存到那裡了呢?
所以需要給session一個保存數據的地方,在預設情況下操作session的時候需要django預設的一張django_session表。
我們是否還記得,在做資料庫遷移命令的時候,會自動創建出很多我們不認識的表,那麼這裡就有我們需要的django_session表。
# 資料庫遷移命令:
makemigrations
migrate
再次訪問
# 過期時間:
django預設的session過期時間是14天,但是也可以認為的修改它。
獲取session
def get_session(request):
print(request.session.get('hobby'))
return HttpResponse('下次再見!')
# 設置session內部發生了那些事:
1.django內部會自動幫你生成一個隨機字元串
2.django內部自動將隨機字元串和對應的數據村粗帶django_session表中
3.將產生的隨機字元串返回給客戶端瀏覽器保存
# 獲取session內部發生的那些事:
1.自動從瀏覽器請求中獲取sessionid對應的隨機字元串
2.拿著該隨機字元串去django_session表中查找對應的數據
3.如果比對上了,則將對應的數據(session_data)取出並以字典的形式封裝到request.session中
如果比對不上,則request.session.get()返回None
研究:如果設置多個session
def set_session(request):
request.session['hobby'] = 'girl'
request.session['hobby1'] = 'girl1'
request.session['hobby2'] = 'girl2'
request.session['hobby3'] = 'girl3'
return HttpResponse('hello 小姐姐!')
# 可同時設置多個session,但是只占用一條記錄
# 並且取得時候都可以取到。
def get_session(request):
print(request.session.get('hobby'))
print(request.session.get('hobby1'))
print(request.session.get('hobby2'))
print(request.session.get('hobby3'))
return HttpResponse('下次再見!')
總結
django_session表中數據條數是取決於瀏覽器的
同一個電腦上(同一個ip地址)同一個瀏覽器只會有一條數據有效(當session過期的時候,可能會出現多條數據對應一個瀏覽器,但是該現象不會持續很久,內部會自動識別過期得數據並清除,也可以手動清除或通過代碼清除。)
# 這麼做的目的:
主要是為了節省服務端資料庫資源
設置過期時間
# 格式:request.session.set_expiry()
括弧內可以放四種類型的參數
1.整數 多少秒
2.日期對象 到指定日期就失效
3.0 一旦當前瀏覽器視窗關閉立刻失效
4.不寫 失效時間就取決於django內部全局session預設的失效時間
清除session
# 清除session
request.session.delete() # 只刪服務端的 客戶端的不刪
request.session.flush() # 瀏覽器和服務端都清空(推薦使用)
session類型
1. 資料庫Session
SESSION_ENGINE = 'django.contrib.sessions.backends.db' # 引擎(預設)
2. 緩存Session
SESSION_ENGINE = 'django.contrib.sessions.backends.cache' # 引擎
SESSION_CACHE_ALIAS = 'default' # 使用的緩存別名(預設記憶體緩存,也可以是memcache),此處別名依賴緩存的設置
3. 文件Session
SESSION_ENGINE = 'django.contrib.sessions.backends.file' # 引擎
SESSION_FILE_PATH = None # 緩存文件路徑,如果為None,則使用tempfile模塊獲取一個臨時地址tempfile.gettempdir()
4. 緩存+資料庫
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db' # 引擎
5. 加密Cookie Session
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies' # 引擎
其他公用設置項:
SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字元串(預設)
SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑(預設)
SESSION_COOKIE_DOMAIN = None # Session的cookie保存的功能變數名稱(預設)
SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie(預設)
SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸(預設)
SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(預設)
SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期(預設)
SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,預設修改之後才保存(預設)
Django中間件
什麼是Django中間件
Django中間件相當於Django得門戶:
1.請求來的時候需要先經過中間件才能到達真正的django後端
(瀏覽器給後端發送請求必須經過中間件)
2.響應走的時候最後也需要經過中間件才能發送出去
(後端給瀏覽器返回數據的時候也需要經過中間件)
# Django自帶7個中間件
Django中間件代碼
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
# 我們來看這7個中間件:他們其實並不是一個字元串,他們其實是一個模塊的路徑
'django.contrib.sessions.middleware.SessionMiddleware'
相當於:
from django.contrib.sessions.middleware import SessionMiddleware
我們來看一下這幾個中間件有什麼規律:
Django支持程式員自定義中間件而且暴露給程式員五個可以自定義得方法:
1.常用:
process_request
process_response
2.瞭解:
process_view
process_template_response
process_exception
如何自定義中間件
第一步:在項目名或者應用名下創建一個任意名稱的文件夾
第二步:在該文件夾內創建一個任意名稱的py文件
第三步:在該py文件內需要書寫類(這個類必須繼承MiddlewareMixin)
然後在這個類裡面就可以自定義五個方法了
(這五個方法並不是全部都需要書寫,用幾個寫幾個)
第四步:需要將類的路徑以字元串的形式註冊到配置文件中才能生效
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
'你自己寫的中間件的路徑1',
'你自己寫的中間件的路徑2',
'你自己寫的中間件的路徑3',
]
我們根據上面的步驟來自定義中間件來研究這5個方法
process_request
自定義的mymidd.py
# 需要導入模塊來繼承該模塊
from django.utils.deprecation import MiddlewareMixin
class MyMiddleware1(MiddlewareMixin):
def process_request(self,request):
print('我是第一個自定義中間件里得process_request方法')
class MyMiddleware2(MiddlewareMixin):
def process_request(self,request):
print('我是第二個自定義中間件里得process_request方法')
setting.py
# 註冊自己的中間件(在應用下創建的,路徑會有提示,但是如果在項目下創建的就沒有提示了)
MIDDLEWARE = [
'app01.mymiddleware.mymidd.MyMiddleware1',
'app01.mymiddleware.mymidd.MyMiddleware2'
]
views.py
def index(request):
print('我是視圖函數index')
return HttpResponse('index')
我們在把中間件註冊位置換一下看看列印是什麼結果:
MIDDLEWARE = [
'app01.mymiddleware.mymidd.MyMiddleware2',
'app01.mymiddleware.mymidd.MyMiddleware1'
]
# 我們給自定義的中間件返回一個HttpResponse對象:
class MyMiddleware1(MiddlewareMixin):
def process_request(self,request):
print('我是第1個自定義中間件里得process_request方法')
return HttpResponse('我是第1個自定義中間件里得process_request方法的返回值')
總結process_request:
1.請求來的時候需要經過每一個中間件裡面的process_request方法
結果的順序是按照配置文件中註冊的中間件從上往下的順序依次執行
2.如果中間件裡面沒有定義該方法,那麼直接跳過執行下一個中間件
3.如果該方法返回了HttpResponse對象,那麼請求將不再繼續往後執行
而是直接原路返回(校驗失敗不允許訪問...)
# process_request方法就是用來做全局相關的所有限制功能
process_response
class MyMiddleware1(MiddlewareMixin):
def process_request(self,request):
print('我是第1個自定義中間件里得process_request方法')
def process_response(self,request,response):
print('我是第1個自定義中間件里得process_response方法')
return response
class MyMiddleware2(MiddlewareMixin):
def process_request(self,request):
print('我是第2個自定義中間件里得process_request方法')
def process_response(self,request,response):
print('我是第2個自定義中間件里得process_response方法')
return response
1.響應走的時候需要結果每一個中間件裡面的process_response方法
該方法有兩個額外的參數request,response
2.該方法必須返回一個HttpResponse對象
1.預設返回的就是形參response
2.你也可以自己返回自己的
3.順序是按照配置文件中註冊了的中間件從下往上依次經過
如果你沒有定義的話 直接跳過執行下一個
研究如果response返回自己的HttpResponse回事怎樣的結果:
class MyMiddleware1(MiddlewareMixin):
def process_request(self,request):
print('我是第1個自定義中間件里得process_request方法')
def process_response(self,request,response):
print('我是第1個自定義中間件里得process_response方法')
return HttpResponse('我是中間件1')
class MyMiddleware2(MiddlewareMixin):
def process_request(self,request):
print('我是第2個自定義中間件里得process_request方法')
def process_response(self,request,response):
print('我是第2個自定義中間件里得process_response方法')
return response
# 結果:
# 研究如果在第一個process_request方法就已經返回了HttpResponse對象,那麼響應走的時候是經過所有的中間件裡面的process_response還是有其他情況
class MyMiddleware1(MiddlewareMixin):
def process_request(self,request):
print('我是第1個自定義中間件里得process_request方法')
return HttpResponse('中間件1request') # 返回HttpResponse
def process_response(self,request,response):
print('我是第1個自定義中間件里得process_response方法')
return response
class MyMiddleware2(MiddlewareMixin):
def process_request(self,request):
print('我是第2個自定義中間件里得process_request方法')
def process_response(self,request,response):
print('我是第2個自定義中間件里得process_response方法')
return response
process_view
# 具體使用:
def process_view(self,request,view_name,*args,**kwargs):
print(view_name,args,kwargs)
print('我是第二個自定義中間件中的process_view方法')
# 執行順序:
路由匹配成功之後執行視圖函數之前,會自動執行中間件裡面的該方法
順序是按照配置文件中註冊的中間件從上往下的順序依次執行
# 所以在視圖函數提交之前需要添加額外的操作可以在這個方法里做。
process_template_response
返回的HttpResponse對象有render屬性的時候才會觸發
順序是按照配置文件中註冊了的中間件從下往上依次經過
process_exception
當視圖函數中出現異常的情況下觸發
順序是按照配置文件中註冊了的中間件從下往上依次經過
