1、将cookie,session之前,还是先说说http协议
- http协议是基于TCP/UDP之上的应用层一个标准
- 请求,响应的模式。是你必须先请求到一个服务端之后,服务端才会响应到你。他是不会无缘无故响应的
- 无状态性,意思是说你本次请求就是一个全新的请求,跟你上一次请求是没有关系的,这个和打10086人工服务一样,就算你前一分钟打了一次,后一分钟继续打一次,客服人员是记不住你是谁的
- 无连接性,你向服务端发出一个请求,服务端响应了你,那么便会关闭此次通道。
2、cookie的由来
前面说了http是无状态,无连接的,那么我想让服务端记住访问者的一个身份,就是说知道此次访问的是哪一个用户,服务端就可以把那个用户相关的一些数据进行返回回去。所以说这时需要一个标志性的东西,去代表用户的身份,这就是为什么要使用到cookie
2.1 cookie是什么呢?
它是保存在客户端上的键值对 , Key,Value的形式,浏览器会帮你标识是哪个服务端的cookie,下次你向那个服务端发出请求的话,会自动帮你带上cookie
服务端怎么通过cookie就知道你是哪位用户的?
服务端那边可以拿到你所携带的cookie,进行一系列的验证,验证成功了,就知道你是哪位用户了,所以这个cookie值必须要标识着用户,那么问题就是设计标识的cookie
// 我们可以设置将用户的id账号密码写成一个字典
user_info = {"id":1,"name":"朱宇","password":"123"}
// 然后我们可以将这个字典格式的数据进行加密,这里是伪代码
md5 = dict_to_md5(user_info)
// 设置成功后返回给浏览器
// 用户下次访问服务端,我们可以那个携带的cookie值,这是我们加密得到的
md5 = cookie值
// 再进行某种解密方法,得到加密前的数据,拿出用户的数据,再进行校验
user_info = md5_to_dict(md5)
通过cookie确实可以标志一个用户,但是也是存在一个安全隐患的。
2.2 cookie存在的不安全性
- 首先cookie它是保存在浏览器上面的,某些人可以通过某种手段就可以拿到你的cookie值,携带这个cookie向服务端发出请求,服务端它判断是哪个用户的依据只有cookie,所以就把拿着你cookie的人当成的你,对你的信息,财产带来严重危害。
- 假如你访问的服务端,他给你的返回的明文信息的话,那么你的信息就会呗泄露
3、session
3.1 session是什么
之前有了cookie他可以标识一个用户,但是cookie 它自身最大的支持4096字节,并且保存在浏览器中,相对来说不是太安全,因此出现可以自身可以支持更大字节的,且保存在服务端,这就是session。
3.2 session的流程
- 首先你向服务端发出一个请求,服务端接收到请求,会根据相关算法得到一个随机字符串,然后将你的信息进行加密,将这个随机字符串和加密之后的信息一同保存在数据库中
- 保存之后,生成一个cookie返回,cookie的key值为
session_id,这个key值你可以随意指定,value值就是那串随机的字符串。注意这个key值会用到。
4、注意
对于安全性比较的话,cookie和session都是差不多的,不存在session就比cookie安全
为什么这么说:上面说了session的一个流程,他最终返回的一个cookie值,那么攻击者就可以拿着session_id的值向你的服务端发请求,同样可以成功请求到,这样的方式难道不是和cookie不安全性的原因是差不多的吗?不一样的是攻击者获取到的cookie值会不会造成用户的信息泄露,用cookie的话,它是包含着用户一些标识的信息的,用session的话,只能得到你个加密后的字符串。要是用cookie的话,你可以将标识用户的信息进行加密,hash加密等等,这样的无法进行解密了。
5、在flask中怎么使用cookie,session
5.1 cookie的设置
from flask import Flask, Response
app = Flask(__name__)
@app.route('/index')
def index():
return "index page"
@app.route('/set_cookie')
def set_cookie():
response = Response('设置cooke')
response.set_cookie('name', '朱宇')
return response
if __name__ == "__main__":
app.run(debug=True)
# set_cookie它是Response的一个方法,里面还有其他很多参数,想了解的可以去看看源码,比如设置cookie的过期时间。
5.2 session的设置
from flask import Flask, session, Response
app = Flask(__name__)
@app.route('/index')
def index():
return "index page"
@app.route('/set_session')
def set_session():
session['name'] = '朱宇'
response = Response('设置session')
return response
if __name__ == "__main__":
app.run(debug=True)
启动上面这个flask,并向/set_session发请求,会报错,错误显示为
它的意思就是没有设置SECRET_KEY的值,为什么一定要设置呢?
我先解释下:首先sesion的数据都是放在服务端上的吧,django执行makemigrations,migrate 他会自动帮你做数据库迁移名命,默认在sqlite数据库中生成一些表,其中就有保存session的数据表,这些都是django给我们自带的,而我们flask是没有数据库的,所以这个session保存在哪里呢(前提是不安装其他数据库插件)?他会保存在浏览器,对!和cookie一样,不一样的是,这个是进行加密之后的,所有必须要先设置SECRET_KEY的值,相当于就是盐。
所以下上面代码的基础上,加上这段代码
app.config['SECRET_KEY'] = 'zhuchunyudashuaibi'
# 只可以随便写,只是一个盐
开启项目,继续发请求,下面是结果,返回了一个加密的session
6、结束
6.1 再提一点
关于对一个用户的标识,除了上面的这两种方式,出了一个jwt,可以去了解下
关于这个方面的内容更新完毕