HTTP协议本身是”无状态”的,在一次请求和下一次请求之间没有任何状态保持,服务器无法识别来自同一用户的连续请求。有了cookie和session,服务器就可以利用它们记录客户端的访问状态了
1. Cookie
1. 流程
- 当用户首次通过客户端访问服务器时,web服务器会发送给客户端的一小段信息。客户端浏览器会将这段信息以cookie形式保存在本地某个目录下的文件内。当客户端下次再发送请求时会自动将cookie发送到服务器端,服务器端通过查验cookie内容就知客户端之前访问过
2. 应用场景
- 判断用户是否已经登录
- 记录用户登录信息(比如用户名,上次登录时间)
- 记录用户搜索关键词
3. 缺点
- 用户可以通过设置禁用cookie, 从而浏览器不一定会保存服务器发来的cookie,
- cookie是有生命周期的(通过Expire设置),如果超过周期,cookie就会被清除。
- HTTP数据通过明文发送,容易受到攻击,因此不能在cookie中存放敏感信息(比如信用卡号,密码等)。
- cookie以文件形式存储在客户端,用户可以随意修改的。
4. 使用
# 1. 视图默认返回的response是不包含cookie的,需手动调用set_cookie方法,为response设置cookie(保存到客户端)
response.set_cookie(cookie_name, value, max_age = None, expires = None)
# key : cookie的名称
# value : 保存的cookie的值
# max_age: 保存的时间,以秒为单位
# expires: 过期时间,为datetime对象或时间字符串
# 例如: response.set_cookie('username','John',600)
# 2. 从request读取出cookies信息
# 检查一个cookie是否已存在
request.COOKIES.has_key('cookie_name')
# 获取COOKIES中的数据
request.COOKIES.get('username','')
# 3. 删除cookies方法
response.delete_cookie('username')
5. 示例
# 如果登录成功,设置cookie
def login(request):
if request.method == 'POST':
form = LoginForm(request.POST)
if form.is_valid():
username = form.cleaned_data['username']
password = form.cleaned_data['password']
user = User.objects.filter(username__exact=username, password__exact=password)
if user:
response = HttpResponseRedirect('/index/')
# 将username写入浏览器cookie,有效时间为360秒
response.set_cookie('username', username, 360)
return response
else:
return HttpResponseRedirect('/login/')
else:
form = LoginForm()
return render(request, 'users/login.html', {'form': form})
# 通过cookie判断用户是否已登录
def index(request):
# 读取客户端请求携带的cookie,如果不为空,表示为已登录帐号
username = request.COOKIES.get('username', '')
if not username:
return HttpResponseRedirect('/login/')
return render(request, 'index.html', {'username': username})
2. Session
1. 说明
- Session可以存储少量的数据或信息。但由于数据存储在服务器上,而不是客户端上,所以比cookie更安全,但用户量大时也会增加服务器压力
2. 配置
- 开启SessionMiddleware中间件,‘django.contrib.sessions.middleware.SessionMiddleware’
- INSTALLED_APPS中包含session的app,‘django.contrib.sessions’
- SESSION_ENGINE设置
3. 使用
# 1. 设置session的值
request.session['key'] = value
request.session.set_expiry(time): 设置过期时间,以秒为单位,0表示浏览器关闭则失效
# 2. 判断一个key是否在session里
'fav_color' in request.session
# 3. 获取session的值
request.session.get('key',None)
# 4. 获取所有session的key和value
request.session.keys()
request.session.values()
request.session.items()
# 5. 删除session的值, 如果key不存在会报错
del request.session['key']
4. 示例
# 如果登录成功,设置session
def login(request):
if request.method == 'POST':
form = LoginForm(request.POST)
if form.is_valid():
username = form.cleaned_data['username']
password = form.cleaned_data['password']
user = User.objects.filter(username__exact=username, password__exact=password)
if user:
# 将username写入session,存入服务器
request.session['username'] = username
return HttpResponseRedirect('/index/')
else:
return HttpResponseRedirect('/login/')
else:
form = LoginForm()
return render(request, 'users/login.html', {'form': form})
# 通过session判断用户是否已登录
def index(request):
# 获取session中username
username = request.session.get('username', '')
if not username:
return HttpResponseRedirect('/login/')
return render(request, 'index.html', {'username': username})
# 退出登录
def logout(request):
try:
del request.session['username']
except KeyError:
pass
return HttpResponse("You're logged out.")
# 通过session控制不让用户连续评论两次
from django.http import HttpResponse
def post_comment(request, new_comment):
if request.session.get('has_commented', False):
return HttpResponse("You've already commented.")
c = comments.Comment(comment=new_comment)
c.save()
request.session['has_commented'] = True
return HttpResponse('Thanks for your comment!')
1063
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
