一、cookie与session简介
1. cookie
由于http协议是无状态协议,即每次浏览器发来的请求,对于服务端来说,都是一个全新的请求,无法辨别该客户端之前做过哪些操作。
于是,就有了cookie来弥补这一缺点。cookie是由服务端产生并发送给客户端,然后保存在客户端的,其表现形式为一个个的键值对。之后客户端每次发送请求时,都会将cookie附带在请求头的Cookie字段中发给服务器。服务端就可以通过这些cookie信息实现对客户端状态的识别。
举例来说,如果没有cookie,我们每次登录某个网站后,每打开一个需要登录的页面,就需要重新登陆一次,因为服务端并不知道你登陆过。而有了cookie之后,当我们第一次登录某个网站时,浏览器就会将服务端发过来的cookie保存,之后的请求带上这些cookie,服务端就可以通过cookie信息,辨别出目前的用户已经登陆。
ps:cookie是按照源(协议+域名+端口)保存的,不同的源之间无法访问对方的cookie。
2. session
因为cookie是保存在客户端的,所以很容易被骇客窃取或篡改。针对这个问题,就出现了基于cookie的session技术。和cookie类似,session通常也是键值对的形式,但保存在服务器端。
cookie保存一些不重要的数据;session则保存重要的数据,并将键(通常是一串随机字符串)发送一份到客户端保存为cookie(cookie键名通常为sessionid),作为和session对接的凭证。二者配合使用,实现了状态的保存,并提升了安全性。
ps:从第一次请求服务器开始,一直到关闭浏览器,这中间的过程被称之为会话。
二、django操作cookie
视图最终要返回一个HttpResponse
及其子类的对象,而操作cookie则需要通过这些对象来进行处理,处理完之后再由视图返回。
# 以 HttpResponse 为例
obj = HttpResponse()
# 设置 cookie
obj.set_cookie('key', valie)
# 获取 cookie
request.COOKIES.get('key')
# 删除 cookie
obj.delete_cookie('key')
# 设置有效时长为3秒
obj.set_cookie('key', valie, max_age=3)
三、django操作session
django操作session,默认会将session信息保存到数据库中,有效期为14天。
# 设置 session
request.session['key'] = value
# 获取 session
request.session.get('key')
# 删除 session
request.session.delete()
# 删除当前 session 和客户端会话 cookie
request.session.flush()
# 设置有效时长为3秒
request.session.set_expiry(3)
# 设置到规定时间后失效
request.session.set_expiry(python时间对象)
# 设置有效时长为全局会话过期策略,默认为14天
request.session.set_expiry(None)
# 设置有效时长为会话时长,浏览器关闭,session 失效
request.session.set_expire(0)
-
设置session时,django的内部操作:
1 django自动生成一个随机字符串;
2 将字符串和对应的数据保存到django_session表中;
3 将随机字符串发送给客户端,保存为cookie,键名为sessionid。
-
获取session时,django的内部操作:
1 从浏览器请求中获取sessionid对应的随机字符串;
2 使用该字符串到django_session表中获取对应的数据;
3 如果找到,就将数据以字典形式封装到
request.session
中;如果没找到,就将None
以字典形式封装到request.session
中。
django中的Session配置
-
数据库Session:
SESSION_ENGINE = 'django.contrib.sessions.backends.db' # 引擎(默认)
-
缓存Session:
SESSION_ENGINE = 'django.contrib.sessions.backends.cache' # 引擎 SESSION_CACHE_ALIAS = 'default' # 使用的缓存别名(默认内存缓存,也可以是memcache),此处别名依赖缓存的设置
-
文件Session:
SESSION_ENGINE = 'django.contrib.sessions.backends.file' # 引擎 SESSION_FILE_PATH = None # 缓存文件路径,如果为None,则使用tempfile模块获取一个临时地址tempfile.gettempdir()
-
缓存+数据库:
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db' # 引擎`
-
加密Cookie Session:
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies' # 引擎`
-
其他公用设置项:
SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认) SESSION_COOKIE_PATH = "/" # Session的cookie保存的路径(默认) SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默认) SESSION_COOKIE_SECURE = False # 是否Https传输cookie(默认) SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http传输(默认) SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(默认) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否关闭浏览器使得Session过期(默认) SESSION_SAVE_EVERY_REQUEST = False # 是否每次请求都保存Session,默认修改之后才保存(默认)