会话技术

最新推荐文章于 2022-10-31 13:34:19 发布
置顶 最新推荐文章于 2022-10-31 13:34:19 发布
阅读量99 收藏
点赞数
分类专栏: Django文档 文章标签: Cooike Session Token的使用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45189038/article/details/103467570
版权

CSRF ( cross site request forgery ) 跨站点请求伪造

假如有一个恶意的网站链接指向我的网站链接,如果当前某个用户已经登录到我的网站上,那么当恶意网站的用户点击这个链接时,我的网站以为是当前用户发生的请求,但其实是恶意网站伪造的请求。django 第一次响应来自某个客户端的请求时,会在服务器随机生成一个token值,把该token值放在cookie中,然后每次POST请求都会带上这个token值,防止恶意网站请求伪造,避免发生CSRF攻击。

Django 里如何使用 CSRF 防护

  1. 首先,最基本的原则是:GET 请求不要存在副作用。也就是说任何处理 GET 请求的代码对资源的访问都一定要是“只读“的。

  2. 启用 django.middleware.csrf.CsrfViewMiddleware 这个中间件

  3. 其次,在所有的 POST 表单元素时,需要加上一个{% csrf_token %} 标签

  4. 在渲染模块时,使用 RequestContext。RequestContext 会处理 csrf_token 这个标签, 从而自动为表单添加一个csrfmiddlewaretoken 的 input标签

会话技术

HTTP被设计为”无状态”,每次请求都处于相同的空间中。在一次请求和下一次请求之间没有任何状态保持,我们无法根据请求的任何方面(IP地址,用户代理等)来识别来自同一人的连续请求。上图很明显的展示了Django的session与cookie的实现原理。服务器会生成两份相同的cookie字符串,一份保存在本地,一份发向请求的浏览器。浏览器将收到的cookie字符串保存下来,当下次再发请求时,会将信息与这段cookie一同发送到服务器,服务器得到这段cookie会与本地保存的那份判断是否相同,如果相同就表示用户已经登录成功,保存用户登录成功的状态。Django的session保存在数据库中的数据相当于一个大字典,key为cookie的字符串,value仍是一个字典,字典的key和value为用户设置的相关信息。这样就可以方便的存取session里面的信息。

  • 验证用户身份信息
  • 服务器如何识别客户端
  • Http在Web开发中基本都是短连接
  • 请求生命周期
    • 从Request开始
    • 到Response结束

种类

1. Cookie

  • 客户端会话技术,数据存储在客户端

  • 存储形式:键值对存储

  • 特性:

    • 支持过期时间
    • 默认Cookie会自动携带本网站所有的Cookie
    • Cookie不能跨域名,不能跨网站
    • 通过HttpResponse操作客户端

  • Django中使用Cookie

    # 设置cookie,从服务器返回的response中设置
response  = redirect(path)   # 重定向到某个指定的路径下
response.set_cookie(key,value,max_age=0)    # 直接设置cookie的值和value,max_age是过期时间,0是默认,None是永久,接上数字是具体时间,用s做单位。
如:response.set_cookie('name',person.name,max_age=3600)

# 获取cookie,从客户端请求中获得
name = request.COOKIES.get('name')
response = render(request,'home.index',contex=({'name':name})  
return response

# 清除cookie,从response清除
response = redirect('namespace:name')
response.delete_cookie('name')

    ~ 读取请求头中的cookie信息:request.COOKIES - [key] -> value
~ 通过响应将cookie写入浏览器:response.set_cookie(key, value, 时间)
~ 删除cookie:自动过期 / response.delete_cookie(key)
~ 如果要防范恶意的伪造或篡改cookie,可以使用带签名的cookie

- response.set_signed_cookie(key, value, salt, 时间)
- request.get_signed_cookie(key, salt)
2. Session

  • 服务端会话技术,数据存储在服务器中

  • 默认Session存储在内存中

  • Django默认把Session持久化到数据库中

  • Django中Session的默认过期时间是14天

  • Primary key 是字符串

  • 数据存储使用了数据安全

    • 使用了Base64编码:将任意的二进制数据处理成64个文字符号(0-9a-zA-Z+/)的编码方法

      Python:b64encode() 编码 / b64decode()解码

      JavaScript:btoa()编码 / atob() 解码 – 较新版本的浏览器

      百分号编码 - URL中不能出现非ASCII码字符,有些字符还有特殊含义,
      如果URL中出现了非ASCII码字符和特殊符号必须处理成百分号编码
      ~ Python - quote() 编码 / unquote() 解码
      ~ JavaScript - encodeURIComponent() / decodeURIComponent()

      In [1]: from urllib.parse import quote, unquote

In [2]: quote('苹果')
Out[2]: '%E8%8B%B9%E6%9E%9C'

In [3]: a = 'https://www.baidu.com'

In [4]: a + quote('苹果')
Out[4]: 'https://www.baidu.com%E8%8B%B9%E6%9E%9C'

In [5]: a = 'https://www.baidu.com/?'

In [6]: a + quote('苹果')
Out[6]: 'https://www.baidu.com/?%E8%8B%B9%E6%9E%9C'

In [7]: unquote('https://www.baidu.com/?%E8%8B%B9%E6%9E%9C')
Out[7]: 'https://www.baidu.com/?苹果'

In [8]:

    • 在前部添加了混淆串

  • Cookie和Session的关系:session依赖于cookie,cookie中保存了session的标识符,每次请求服务器,请求头都会携带cookie,这样就可以将session表示符发送给服务器,服务器通过该标识符获取到跟请求对应的session对象

  • Django中是使用session

    # 设置session,一开始需要在project中setting里的middleware中添加上'django.contrib.sessions.middleware.SessionMiddleware',
#默认是加上的,在request中设置session
request.session['name'] = person.name
request.session.set_expiry(60)   # 设置过期时间,单位是s


# 获取session,也是从request中获取
name = request.session.get('name')


# 删除session,在response中删除
response.delete_cookie('sessionid')  # 在客户端删除session
del request.session['name']       #  在服务器端删除session
request.session.flush()

  • 过期时间

    settins.py 文件中添加:

    # 配置将会话放入缓存中
SESSION_ENGINE = 'django.contrib.sessions.backends.cache'
# 配置缓存的过期时间为1天
SESSION_COOKIE_AGE = 86400
3. Token

使用Python中uuid函数来生成用户的令牌

  1. uuid1():这个是根据当前的时间戳和MAC地址生成的,最后的12个字符408d5c985711对应的就是MAC地址,因为是MAC地址,那么唯一性应该不用说了。但是生成后暴露了MAC地址这就很不好了。
  2. uuid3():里面的namespace和具体的字符串都是我们指定的,然后呢···应该是通过MD5生成的,这个我们也很少用到,莫名其妙的感觉。
  3. uuid4():这是基于随机数的uuid,既然是随机就有可能真的遇到相同的,但这就像中奖似的,几率超小,因为是随机而且使用还方便,所以使用这个的还是比较多的。
  4. uuid5():这个看起来和uuid3()貌似并没有什么不同,写法一样,也是由用户来指定namespace和字符串,不过这里用的散列并不是MD5,而是SHA1.
# 如果需要在MySQL中存储token需要建立有关token字段的表格 / redis / mongodb
import uuid

token = uuid.uuid4().hex  # 使用uuid创建token
response.set_cookie('token', token)  # 将token传给浏览器


# 获取token,在request中获取token
person.token = request.COOKIES.get('token')

# 清除token,在response中清除
response.delete_cookie('token')

在存储session,cookie,token的时候还应该对用户的信息进行加密(MD5 / SHA1)

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP会话技术
chenshuov的博客
06-02 862
一、会话技术的概念 1、会话技术 是一种维护同一个浏览器与服务器之间多次请求数据状态的技术,它可以很容易地实现对用户登录的支持,记录该用户的行为,并根据授权级别和个人喜好显示相应的内容。 2、PHP中Cookie和Session是目前最常用的两种会话技术 Cookie指的是一种在浏览器端存储数据并以此来跟踪和识别用户的机制 Session指的是将信息存放在服务器端的会话技术 * *二、cookie...
Java会话技术
itzhuzhu的博客
11-06 1506
会话技术会话指的是客户端浏览器和服务端之间的度偶次请求和响应 当打开浏览器,访问网站地址后,会话开始,当关闭浏览器(或者到了过期时间),会话结束。就像打电话只要不挂电话就是一次会话会话过程中产生的数据可以通过会话技术Cookie、Session保存 会话管理作用: 最常见的就是购物车,登录成功后,把商品加入到购物车,此时我们无论再浏览什么商品,当点击购物车时,那些加入的商品都仍在购物车中,它是为我们共享数据用的,并且是在不同请求间实现数据共享。 什么时候用会话管理: 如果我们需要在多次
Java 会话技术
ssl267422的博客
09-22 1076
会话技术 概念:会话是客户端与服务器之间的一个通信过程,一次会话中可以包含多次请求和响应 一次完整的会话:客户端第一次请求服务器时建立会话,直到任何一方断开为止 作用:在一次会话中的多次请求之间共享数据 分类: 客户端会话技术:Cookie 服务器会话技术Session 一,Cookie 1.1 概念和基本用法 Cookie是客户端会话技术,它将数据存在客户端(浏览器)中 Cookie的相关方法: 创建,构造函数: Cookie c = new Coo
五、会话及其会话技术
daqi1983的博客
09-21 2970
在Web开发中,服务器跟踪用户信息的技术称为会话技术
会话技术概述
技术积累,技术分享
11-18 1804
一、会话 一次会话中包含多次请求和响应 什么是一次会话? 一次会话就是浏览器第一次给服务器资源发送请求,然后会话建立,直到有一方断开为止,这个期间都叫做一次会话 二、会话技术的功能 会话技术的功能就是在一次的会话范围内的多次请求间,共享数据。因为我们知道HTTP协议是无状态的,也就是每次请求和响应之间是互相独立的无法共享数据,为了解决这种问题我们才使用会话技术 三、会话技术的分类 1、客户端会话技术 Cookie 2、服务器端会话技术 Session 当然着两个会话技术是我们Java使用的,其他语言有它自
Servlet会话技术
jefferyfg的博客
09-21 838
会话技术 会话可以简单理解为,一个用户打开一个浏览器,在同一个WEB应用上,点击多个超链接,访问多个WEB资源,然后关闭浏览器,那这整个过程我们称之为一个会话 作用: 会话技术可以保存用户在会话过程中所产生的数据 会话技术也可以让用户在同一个会话中实现数据的共享 会话技术的分类: 1.cookie cookie是一种客户端技术,程序可以把每一个用户特有的数据,以响应头set-cookie发送给每...
php最常用的两种会话技术,会话技术(php)
weixin_36337122的博客
04-15 862
会话技术初步认识会话技术介绍web会话可简单理解为:用户开一个浏览器,访问某一个web站点,在这个站点点击多个超链接,访问服务器多个web资源,然后关闭浏览器,整个过程称之为一个会话。HTTP协议的特点是无状态/无连接,当一个浏览器连续多次请求同一个web服务器时,服务器是无法区分多个操作是否来自于同一个浏览器(用户)。会话技术就是通过HTTP协议想办法让服务器能够识别来自同一个浏览器的多次请求,...
会话技术(Session、Cookie)详细介绍
一切如你的博客
10-31 2033
会话技术(Session、Cookie)详细介绍
会话技术Cookie 和 Session
weixin_50769390的博客
10-06 545
cookie和session
Java会话技术详解.pdf
06-13
Java会话技术详解 Java会话技术是指在客户端浏览器和服务端之间,通过Cookie和Session技术实现多次请求和响应的数据共享。下面是Java会话技术的详细知识点: 一、Cookie技术 Cookie是一种客户端会话管理技术,...
会话技术1
08-03
会话技术1】知识点详解 会话跟踪技术是Web应用中用来识别用户浏览器状态的一种方法,它确保在多次请求间能够共享数据,以便提供诸如购物车、记住我功能、登录信息显示等便利。在HTTP协议中,由于其无状态特性,...
实验5 会话及其会话技术.docx
05-30
Servlet 会话技术详解 在 Web 应用程序中,会话是一种非常重要的概念,用于记录和跟踪用户的交互行为。Servlet 提供了两种类型的会话技术,即 Cookie 和 Session,下面我们将详细介绍这两种技术的实现原理和应用...
Servlet会话技术基础解析
08-28
Servlet 会话技术基础解析 Servlet 会话技术基础解析是指在 Web 应用程序中,服务器端和客户端之间的会话管理机制。它允许服务器端存储和检索与用户相关的信息,以便于提供个性化服务和追踪用户行为。本文将从 ...
Cookie和Session会话技术笔记
10-07
会话技术简单介绍,会话可以简单的理解为:用户开一个浏览器,点击多个超链接,访问服务器多个web资源,然后关闭浏览器,整个过程称之为一个会话会话过程中要解决的一些问题?每个用户与服务器进行交互的过程中,...
基于卷积神经网络的食物识别及实现.pdf
最新发布
07-22
在超市无人结算服务中,使用电子标签对部分货物如水果、蔬菜等进行结算的成本过高、便捷性不高,至今依然采用人工结算的方式。 针对这一问题,本文提出了基于卷积神经网络的食物识别方法。 通过自建水果数据集来训练卷积神经网络分类模型;基于训练后的模型构建可视化平台进行食物识别。 实验结果表明,利用卷积神经网络的食物识别的预测准确率 为 96.34%。
使用 Javascript 编写的 ToDo List 应用程序及其源代码.zip
07-22
项目:使用 JavaScript 编写的 ToDo List 应用程序及其源代码 ToDo List App 是一个使用 JavaScript、CSS 和 HTML 开发的简单项目。这个项目很有趣。在这里,用户可以添加待办事项详细信息的数量,您可以看到以列表形式存储的详细信息,如便签。此外,如果用户想删除列表项,也可以删除它。   项目制作 ToDo List App 项目仅包含 HTML、CSS 和 JavaScript。谈到该系统的功能,用户可以列出他们必须完成的日常工作并将其作为记录保存。您只需在文本字段中输入工作信息,然后按 Enter 键即可将信息添加到记录中。该项目包含大量 JavaScript,用于使项目正常运行。 如何运行该项目? 要运行此项目,您不需要任何类型的本地服务器,但需要浏览器。我们建议您使用现代浏览器,如 Google Chrome 和 Mozilla Firefox。要运行此系统,首先,通过单击 index.html 文件在浏览器中打开项目。 演示: 该项目为国外大神项目,可以作为毕业设计的项目,也可以作为大作业项目,不用担心代码重复,设计重复等,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。
MobaXterm-Installer-v24.2.zip(windows版本),41M
07-22
MobaXterm_Installer_v24.2解压之后,执行MobaXterm_installer_24.2.msi安装程序,无脑安装即可。 目前个人觉得最好用的一款远程连接工具,支持SSH、Telnet、Rsh、Xdmcp、RDP、VNC、FTP、SFTP、Serial、File、Shell、Browser、Mosh、Aws S3、WSL等多种连接,并且可以提供可视化linux的文件夹系统,可以直接点击查看、创建、删除、修改等可视化操作,十分方便,传输文件直接拖动到对应的文件夹即可快速传输!速度吊打scp命令传输!
毕业设计,基于Python+Django+Vue+MySql开发的前后端分离的足球青训俱乐部系统,内含完整源代码,视频教程
07-22
毕业设计,基于Python+Django+Vue+MySql开发的前后端分离的足球青训俱乐部系统,内含完整源代码,数据库脚本,视频教程 随着社会经济的快速发展,人们对足球俱乐部的需求日益增加,加快了足球健身俱乐部的发展,足球俱乐部管理工作日益繁忙,传统的管理方式已经无法满足足球俱乐部管理需求,因此,为了提高足球俱乐部管理效率,足球俱乐部管理后台系统应运而生。 本文重点阐述了足球青训俱乐部管理后台系统的开发过程,以实际运用为开发背景,基于Django框架,运用了Python技术和MySQL数据库进行开发设计,充分保证系统的安全性和稳定性。本系统界面良好,操作简单方便,通过系统概述、系统分析、系统设计、数据库设计、系统测试这几个部分,详细的说明了系统的开发过程,最后并对整个开发过程进行了总结,实现了俱乐部相关信息管理的重要功能。 本系统经过测试,运行效果稳定,操作方便、快捷,是一个功能全面、实用性好、安全性高,并具有良好的可扩展性、可维护性的足球青训俱乐部管理后台系统。 关键字:俱乐部管理;Django框架;Python技术;MySQL数据库 本基于Web的足球青训俱乐部管理后台
session会话技术
05-05
Session会话技术是一种在Web应用程序中存储和跟踪用户数据的方法。在Web应用程序中,HTTP协议是无状态的,这意味着每个请求都是独立的,服务器无法知道该请求与之前的请求是否相关联。因此,为了跟踪用户在Web应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值