day71
参考:http://www.cnblogs.com/liwenzhou/p/8343243.html
xiawu项目下
Cookie的由来
大家都知道HTTP协议是无状态的。
无状态的意思是每次请求都是独立的,它的执行情况和结果与前面的请求和之后的请求都无直接关系,它不会受前面的请求响应情况直接影响,也不会直接影响后面的请求响应情况。即并并不知道浏览的网页是不是在登录成功的情况下进行的。
一句有意思的话来描述就是人生只如初见,对服务器来说,每次的请求都是全新的。
状态可以理解为客户端和服务器在某次会话中产生的数据,那无状态的就以为这些数据不会被保留。会话中产生的数据又是我们需要保存的,也就是说要“保持状态”。因此Cookie就是在这样一个场景下诞生。
什么是Cookie
Cookie具体指的是一段小信息,它是服务器发送出来存储在浏览器上的一组组键值对,下次访问服务器时浏览器会自动携带这些键值对,以便服务器提取有用信息。
Cookie的原理
cookie的工作原理是:由服务器产生内容,浏览器收到请求后保存在本地;当浏览器再次访问时,浏览器会自动带上Cookie,这样服务器就能通过Cookie的内容来判断这个是“谁”了。
Cookie的应用:
1.登录、七天免登录
2.记录用户的浏览习惯
3.简单的投票限制
Cookie是服务器设置的,我们的浏览器可以不让服务端设置Cookie(禁用Cookie)
如果不登录直接进入/home/路径,会直接进入登录页面
但是还有一个问题,即cookie永远浏览器中存在,需要给他设置一定的时效。
如果cookie不设置超时时间,默认将浏览器完全关闭后,cookie就不存在了。
通过加盐设置,cookie值变得更复杂。
装饰器版的登陆校验
以上内容主要解决未经登录就进入一些页面,还能解决比如进入/index/跳转到登录页面,登陆后直接跳到/home/下的问题,使它正确进入到/index/下。
Session
Session的由来
Cookie虽然在一定程度上解决了“保持状态”的需求,但是由于Cookie本身最大支持4096字节,以及Cookie本身保存在客户端,可能被拦截或窃取,因此就需要有一种新的东西,它能支持更多的字节,并且他保存在服务器,有较高的安全性。这就是Session。
问题来了,基于HTTP协议的无状态特征,服务器根本就不知道访问者是“谁”。那么上述的Cookie就起到桥接的作用。
我们可以给每个客户端的Cookie分配一个唯一的id,这样用户在访问时,通过Cookie,服务器就知道来的人是“谁”。然后我们再根据不同的Cookie的id,在服务器上保存一段时间的私密资料,如“账号密码”等等。
总结而言:Cookie弥补了HTTP无状态的不足,让服务器知道来的人是“谁”;但是Cookie以文本的形式保存在本地,自身安全性较差;所以我们就通过Cookie识别不同的用户,对应的在Session里保存私密的信息以及超过4096字节的文本。
另外,上述所说的Cookie和Session其实是共通性的东西,不限于语言和框架。
Session流程解析
浏览器带有id,服务器数据库中检索该id,判断有无。
cookie是给响应对象设置Cookie,从request中取,如rep = redirect("/home/"),rep.set_signed_cookie("is_login", "1", salt="s10nb", max_age=30)
而session都是从request中设置和获取。
SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否关闭浏览器使得Session过期(默认) SESSION_SAVE_EVERY_REQUEST = False # 是否每次请求都保存Session,默认修改之后才保存(默认)
session的使用
效果:
CBV中加装饰器相关
参考:http://www.cnblogs.com/liwenzhou/p/8343243.html#autoid-0-4-3