【Django5】会话管理（Cookies&Session）

系列文章目录

第一章 Django使用的基础知识
第二章 setting.py文件的配置
第三章 路由的定义与使用
第四章 视图的定义与使用
第五章 二进制文件下载响应
第六章 Http请求&HttpRequest请求类
第七章 会话管理（Cookies&Session）
第八章 文件上传实现
第九章 多种视图view
第十章 Django5模板引擎
第十一章 模型定义与使用
第十二章 ORM执行SQL语句和事务
第十三章 表单定义与使用
第十四章 内置Admin系统
第十五章 内置Auth认证系统

---

---

前言

HTTP是一种无状态协议，每次客户端访问web页面时，客户端打开一个单独的浏览器窗口连接到web服务器，由于服务器不会自动保存之前客户端请求的相关信息，所有无法识别一个HTTP请求是否为第一次访问。这就引进了web客户端和服务器端之间的会话，这就是会话管理。

常用的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份，Session通过在服务器端记录信息确定用户身份。

---

一、关于Cookie

cookie是某些网站为了辨别用户身份，进行Session跟踪而储存在用户本地终端上的数据（通常经过加密），由用户客户端计算机暂时或永久保存的信息。

Cookie定义了一些HTTP请求头和HTTP响应头，通过这些HTTP头信息使服务器可以与客户进行状态交互。

客户端请求服务器后，如果服务器需要记录用户状态，服务器会在响应信息中包含一个Set-Cookie的响应头，客户端会根据这个响应头存储Cookie信息。再次请求服务器时，客户端会在请求信息中包含一个Cookie请求头，而服务器会根据这个请求头进行用户身份、状态等较验。

二、关于session

Session是另一种记录客户状态的机制，不同的是Cookie保存在客户端浏览器中，而Session保存在服务器上。客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。

当程序需要为某个客户端的请求创建一个session的时候，服务器首先检查这个客户端的请求里是否已包含了一个session标识，称为session id，如果已包含一个session id则说明以前已经为此客户端创建过session，服务器就按照session id把这个session检索出来使用（如果检索不到，可能会新建一个），如果客户端请求不包含session id，则为此客户端创建一个session并且生成一个与此session相关联的session id，session id的值应该是一个既不会重复，又不容易被找到规律以仿造的字符串，这个session id将被在本次响应中返回给客户端保存。

三、Session和Cookie的区别

1、数据存储位置：cookie 数据存放在客户的浏览器上，session 数据放在服务器上。

2、安全性：cookie不是很安全，别人可以分析存放在本地的cookie并进行cookie欺骗，考虑到安全应当使用session。

3、服务器性能：session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能，考虑到减轻服务器性 能方面，应当使用cookie。

4、数据大小：单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie。

5、信息重要程度：可以考虑将用户信息等重要信息存放为session，其他信息如果需要保留，可以放在cookie中。

四，Cookies&Session再Django中使用实例

获取 cookie

request.COOKIES['key']
request.COOKIES.get('key')
这俩个方法可以获取指定键名的cookie
 
request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None)
 
default: 默认值
salt: 	 加密盐
max_age: 后台控制过期时间，默认是秒数
expires: 专门针对IE浏览器设置超时时间

设置 cookie

# 获取HttpResponse对象
# rep = HttpResponse(...)
rep ＝ render(request, ...)
# 设置 cookie
rep.set_cookie(key,value,...)
rep.set_signed_cookie(key,value,salt='加密盐', max_age=None, ...)
 
参数
 
key, 	  	   键
value='', 	   值
max_age=None,  超时时间
expires=None,  超时时间(IE requires expires, so set it if hasn't been already.)
path='/', 	   Cookie生效的路径，/ 表示根路径，特殊的：根路径的cookie可以被任何url的页面访问
domain=None,   Cookie生效的域名
secure=False,  https传输
httponly=False 只能http协议传输，无法被JavaScript获取（不是绝对，底层抓包可以获取到也可以被覆盖）

删除 cookie

# 获取HttpResponse对象
# rep = HttpResponse(...)
rep ＝ render(request, ...)
# 删除 cookie
rep.delete_cookie(key)
 
此方法会删除用户浏览器上之前设置的cookie值

Django 操作 session

1. 获取、设置、删除Session中数据
 
		request.session['k1'] 					# 没有值会报错				
		request.session.get('k1',None)			# 可以获取多组
		request.session['k1'] = 123				# 可以设置多组
		request.session.setdefault('k1',123) 	# 存在则不设置
		del request.session['k1']
 
 
2. 所有 键、值、键值对
 
		request.session.keys()
		request.session.values()
		request.session.items()
		request.session.iterkeys()
		request.session.itervalues()
		request.session.iteritems()
 
4. 会话session的key
		
		request.session.session_key
 
5. 将所有Session失效日期小于当前日期的数据删除
		
		request.session.clear_expired()
 
6. 检查会话session的key在数据库中是否存在
		
		request.session.exists("session_key")
 
7. 删除当前会话的所有Session数据
		
		request.session.delete()	# 只删客户端
　　
8. 删除当前的会话数据并删除会话的Cookie。
		
		request.session.flush() 	# 服务端、客户端都删
	    这用于确保前面的会话数据不可以再次被用户的浏览器访问
	    例如，django.contrib.auth.logout() 函数中就会调用它。
 
9. 设置会话Session和Cookie的超时时间
		
		'django默认的session失效时间是14天'
		request.session.set_expiry(value)
	    * 如果value是个整数，session会在些秒数后失效。
	    * 如果value是个datatime或timedelta，session就会在这个时间后失效。
	    * 如果value是0,用户关闭浏览器session就会失效。
	    * 如果value是None,session会依赖全局session失效策略。

Django中的Session配置

1. 数据库Session
SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎（默认）
 
2. 缓存Session
SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
SESSION_CACHE_ALIAS = 'default'                            # 使用的缓存别名（默认内存缓存，也可以是memcache），此处别名依赖缓存的设置
 
3. 文件Session
SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎
SESSION_FILE_PATH = None                                    # 缓存文件路径，如果为None，则使用tempfile模块获取一个临时地址tempfile.gettempdir() 
 
4. 缓存+数据库
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'        # 引擎
 
5. 加密Cookie Session
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'   # 引擎
 
其他公用设置项：
SESSION_COOKIE_NAME ＝ "sessionid"        # Session的cookie保存在浏览器上时的key，即：sessionid＝随机字符串（默认）
SESSION_COOKIE_PATH ＝ "/"                # Session的cookie保存的路径（默认）
SESSION_COOKIE_DOMAIN = None              # Session的cookie保存的域名（默认）
SESSION_COOKIE_SECURE = False             # 是否Https传输cookie（默认）
SESSION_COOKIE_HTTPONLY = True            # 是否Session的cookie只支持http传输（默认）
SESSION_COOKIE_AGE = 1209600              # Session的cookie失效日期（2周）（默认）
SESSION_EXPIRE_AT_BROWSER_CLOSE = False   # 是否关闭浏览器使得Session过期（默认）
SESSION_SAVE_EVERY_REQUEST = False        # 是否每次请求都保存Session，默认修改之后才保存（默认）

实例

views.py

def to_login(request):
    """
     跳转登录页面
    :param request:
    :return:
    """
    return render(request, 'login.html')

def login(request):
    """
    登录
    :param request:
    :return:
    """
    # return render(request, 'main.html')
    if request.method == 'POST':
        username = request.POST.get('username')
        password = request.POST.get('password')
        print(username)
        print(password)
        if username == 'admin' and password == '123456':
            request.session['currentUserName'] = username  # session存储用户名
            print('session获取用户名:'+request.session['currentUserName'])
            response = render(request, 'main.html')  # 获取HttpResponse对象
            response.set_cookie('setCookie', 7860)  # 设置cookie
            return response
        else:
            context_values = {"error_info":"用户名或密码错误"}
            return render(request, 'login.html',context=context_values)

urls.py里定义映射：

urlpatterns = [
    path('toLogin/',helloWorld.views.to_login),
    path('login',helloWorld.views.login),
    ]

这里有个疑问，为什么toLogin后面要加斜杠，而login后面不加。可能是跳转的页面后面不加斜杠？

templates下新建login.html和main.html

login.html:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登录页面</title>
</head>
<body>
<form action="/login" method="post">
    {% csrf_token %}
    <table>
        <tr>
            <th>用户登录</th>
        </tr>
        <tr>
            <td>用户名：</td>
            <td><input type="text" name="username"></td>
        </tr>
        <tr>
            <td>密码：</td>
            <td><input type="password" name="password"></td>
        </tr>
        <tr>
            <td><input type="submit" value="登录"></td>
            <td><input type="reset" value="重置"></td>
        </tr>
        <tr>
            <td colspan="2"><font color="red">
                {{ error_info }}
            </font>
            </td>
        </tr>
    </table>
</form>
</body>
</html>

main.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登录成功</title>
</head>
<body>
欢迎光临,{{ request.session.currentUserName }}
</body>
</html>

运行测试

访问http://127.0.0.1:8000/login



输入了错误密码会报错



输入正确账号和密码



浏览器中的cookie里保存了sessionid和我自己设置的cookie




存储session和设置cookie的相关代码如下：

总结

还有很多功能没有用在实例上，后续有需要用到的时候可以来翻阅。