• cookie和session


    ​ 基于HTTP协议的无状态特征,服务器根本就不知道访问者是“谁”,Cookie弥补了HTTP无状态的不足,让服务器知道来的人是“谁”

    1.cookie是什么?

    	存储在客户端浏览器上的键值对
    

    2.原理:

    	是服务器产生发给客户端浏览器,浏览器保存起来,下次发请求,会携带这个键值对到服务器
    

    3.cookie的使用

    ​ 1.生成cookie必须写在Httpresponse,render, redirect生成的对象上

    res = HttpResponse(json.dumps('s'))
    res.set_cookie('user',user)
    return res
    

    ​ 2.取cookie:从request对象中取,取出来是个字典request.COOKIES

    user = request.COOKIES.get('user')
    

    ​ 3.删除cookie也必须在Httpresponse,render, redirect的对象上删除(由于cookie是存在于客户端的,所以只是想客户端发送一个响应然后删除)

    res = HttpResponse(json.dumps('s'))
    res.delete_cookie('user')
    return res
    

    ​ 4.cookie的其他属性

    #加盐salt
    object.set_signed_cookie('name','lqz',salt='123')
    
    #过期时间max_age(单位是秒)
    #三天后失效
    object.set_cookie('name','lqz',max_age=60*60*24*3)
    
    #超时时间expires(指的是页面在没有被操作的情况下,一定时间cookie失效)
    object.set_cookie('name','lqz',expires=3)
    
    #path, Cookie生效的路径,/ 表示根路径,特殊的:根路径的cookie可以被任何url的页面访问,浏览器只会把cookie回传给带有该路径的页面,这样可以避免将cookie传给站点中的其他的应用。
    object.set_cookie('name','lqz',path='/')
    
    #domain=None, Cookie生效的域名 你可用这个参数来构造一个跨站cookie。如, domain=".example.com"所构造的cookie对下面这些站点都是可读的:www.example.com 、 www2.example.com 和an.other.sub.domain.example.com 。如果该参数设置为 None ,cookie只能由设置它的站点读取
    
    #secure=False, 浏览器将通过HTTPS来回传cookie
    
    #httponly=False 只能http协议传输,无法被JavaScript获取(不是绝对,底层抓包可以获取到也可以被覆盖)
    

    session

    ​ 由于Cookie本身已明文的方式保存在客户端,可能被拦截或窃取,由此就产生了session

    ​ session是存在服务器上的键值对{'sdaf随机字符串':{name:lqz,pwd:123}}(存在于一张django_session的表中)

    ​ 用session必须跟cookie连用

    1.session的使用

    ​ 1.生成session

    ​ (如果设置多个,它会以字典的形式存储到session表中的session_data中)

    request.session['name']='lqz'
    

    ​ 生成session的本质原理

    ​ 1 生成随机字符串:dfasfasdfa
    ​ 2 去数据库存储
    ​ 3 写入cookie(set_cookie('sessionid','dfasfasdfa'))

    ​ 2.获取session中的值

    name=request.session['name']
    

    ​ 取值过程中的执行流程

    ​ 1.取到cookie的随机字符串
    ​ 2.取session表中根据随机字符串查询,查询出session_data这个字典,然后把字典中name返回

    ​ 3.删除session

    ​ (session是存在于服务器的,要删除时必须从前端的request中获取信息才可以删除)

    #取出cookie,随机字符串,去数据库删除随机字符串是当前值的记录(客户端的cookie没有删除)
    		request.session.delete()
    #既删除cookie,又删除数据库
    		request.session.flush()
    

    ​ 4.session其他属性

    request.session.setdefault('k1',123) # 存在则不设置
    取到随机字符串,浏览器带过来的cookie的值
    	request.session.session_key
    		内部
    	request.COOKIES.get('sessionid')
    清空失效的session
    	request.session.clear_expired()
    校验sessionid是否存在
    	request.session.exists("session_key")
    

    ​ 5.session的配置(不但能放到数据库,还能放到文件中,redis(内存数据库))

    1. 数据库Session
    SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎(默认)
    
    2. 缓存Session
    SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
    SESSION_CACHE_ALIAS = 'default'                            # 使用的缓存别名(默认内存缓存,也可以是memcache),此处别名依赖缓存的设置
    
    3. 文件Session
    SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎
    SESSION_FILE_PATH = None                                    # 缓存文件路径,如果为None,则使用tempfile模块获取一个临时地址tempfile.gettempdir() 
    
    4. 缓存+数据库
    SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'        # 引擎
    
    5. 加密Cookie Session
    SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'   # 引擎
    
    其他公用设置项:
    SESSION_COOKIE_NAME = "sessionid"                       # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认)
    SESSION_COOKIE_PATH = "/"                               # Session的cookie保存的路径(默认)
    SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名(默认)
    SESSION_COOKIE_SECURE = False                            # 是否Https传输cookie(默认)
    SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http传输(默认)
    SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期(2周)(默认)
    SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否关闭浏览器使得Session过期(默认)
    SESSION_SAVE_EVERY_REQUEST = False                       # 是否每次请求都保存Session,默认修改之后才保存(默认)
    
  • 相关阅读:
    sqlserver用windows方式验证登录踩过的坑
    jdk8对象集合转map集合
    监听程序当前无法识别连接描述符中请求的服务解决方案
    Java上传文件至SFTP服务器
    记一次学习kibaba踩过的坑(Windows环境)
    CSRF跨站请求伪造与XSS跨域脚本攻击讨论
    LVS简单搭建(一)
    LVS+keepalived简单搭建(二)
    JZ2440开发板学习 1. 刚接触开发板, 安装驱动
    用STM32CubeMX创建FreeRTOS项目
  • 原文地址:https://www.cnblogs.com/jianhaozhou/p/10003168.html
Copyright © 2020-2023  润新知