为什么需要使用cookie和session?
HTTP协议本身是”无状态”的,在一次请求和下一次请求之间没有任何状态保持,服务器无法识别来自同一用户的连续请求。有了cookie和session,服务器就可以利用它们记录客户端的访问状态了,这样用户就不用在每次访问不同页面都需要登录了。
什么是cookie,cookie的应用场景及缺点
cookie是一种数据存储技术, 它是将一段文本保存在客户端(浏览器或本地电脑)的一种技术,并且可以长时间的保存。当用户首次通过客户端访问服务器时,web服务器会发送给客户端的一小段信息。客户端浏览器会将这段信息以cookie形式保存在本地某个目录下的文件内。当客户端下次再发送请求时会自动将cookie也发送到服务器端,这样服务器端通过查验cookie内容就知道该客户端早访问过了。
cookie的常见应用场景包括:
-
判断用户是否已经登录
-
记录用户登录信息(比如用户名,上次登录时间)
-
记录用户搜索关键词
cookie的缺点在于其并不可靠和不安全,主要原因如下:
-
浏览器不一定会保存服务器发来的cookie,用户可以通过设置选择是否保存cookie。
-
cookie是有生命周期的(通过Expire设置),如果超过周期,cookie就会被清除。
-
HTTP数据通过明文发送,容易受到攻击,因此不能在cookie中存放敏感信息(比如信用卡号,密码等)。
-
cookie以文件形式存储在客户端,用户可以随意修改的。
利用cookie验证用户是否已经登录:
1 def login(request): 2 if request.method == 'POST': 3 form = LoginForm(request.POST) 4 5 if form.is_valid(): 6 username = form.cleaned_data['username'] 7 password = form.cleaned_data['password'] 8 9 user = User.objects.filter(username__exact=username,passowrd__exact==password) 10 11 if user: 12 response = HttpResponseRedirect('/index/') 13 #将username写入浏览器cookie,失效时间为360s 14 response.set_cookie('username',username,3600) 15 return response 16 else: 17 return HttpResponstRedirect('/login/') 18 19 else: 20 form = LoginForm() 21 return render(request,'users/login.html',{'form':form}) 22 23 #通过cookie判断用户是否已登录 24 def index(request): 25 #提取浏览器中的cookie,如果不为空,表示已经登录 26 username = request.COOKIES.get('username','') 27 if not uername: 28 return HttpResponseRedirect('/login/') 29 return render(request,'index.html',{'username':username})
什么是session及session的工作原理
session又名会话,其功能与应用场景与cookie类似,用来存储少量的数据或信息。但由于数据存储在服务器上,而不是客户端上,所以比cookie更安全。
Session工作的流程如下:
-
客户端向服务器发送请求时,看本地是否有cookie文件。如果有,就在HTTP的请求头(Request Headers)中,包含一行cookie信息。
-
服务器接收到请求后,根据cookie信息,得到sessionId,根据sessionId找到对应的session,用这个session就能判断出用户是否登录等等。
使用Session的好处在于,即使用户关闭了浏览器,session仍将保持到会话过期。
django中用session验证用户登录状态
1 # 如果登录成功,设置session 2 def login(request): 3 if request.method == 'POST': 4 form = LoginForm(request.POST) 5 6 if form.is_valid(): 7 username = form.cleaned_data['username'] 8 password = form.cleaned_data['password'] 9 10 user = User.objects.filter(username__exact=username, password__exact=password) 11 12 if user: 13 # 将username写入session,存入服务器 14 request.session['username'] = username 15 return HttpResponseRedirect('/index/') 16 17 else: 18 return HttpResponseRedirect('/login/') 19 20 else: 21 form = LoginForm() 22 23 return render(request, 'users/login.html', {'form': form}) 24 25 26 # 通过session判断用户是否已登录 27 def index(request): 28 29 # 获取session中username 30 username = request.session.get('username', '') 31 if not username: 32 return HttpResponseRedirect('/login/') 33 return render(request, 'index.html', {'username': username})
下面是通过session控制不让用户连续评论两次的例子。实际应用中我们还可以通过session来控制用户登录时间,单位时间内连续输错密码次数等等。
1 from django.http import HttpResponse 2 3 4 def post_comment(request, new_comment): 5 if request.session.get('has_commented', False): 6 return HttpResponse("You've already commented.") 7 c = comments.Comment(comment=new_comment) 8 c.save() 9 request.session['has_commented'] = True 10 return HttpResponse('Thanks for your comment!')