Django框架(九)
cookie與session簡介
網址的發展史:
1、起初網站都沒有保存用戶功能的需求,所有用戶訪問回傳的結果都是一樣的,
比如:新聞網頁,博客網頁,小說... (這些網頁是不需要登錄后才能訪問的,每個人訪問的結果都一樣)
2、后來出現了一些需要保存用戶資訊的網站
比如:支付寶,淘寶,京東.... (用戶登錄后只要不長時間不訪問就不會退出登錄)
舉例
以登錄功能為例:
# 如果不保存用戶的登錄狀態,也就是意味著用戶每次訪問都需要重復的輸入,用戶名和密碼,甚至于如果用戶從該地址點擊某連接,跳轉到另一個子網頁,也需要重復的輸入用戶名和密碼,如果頁面卡了,重繪頁面也可能需要重新登錄,輸入用戶名和密碼,(這樣的頁面用戶還會用嗎?)
那么這時開發者們就想到了一個解決方案:
# 當用戶第一次登錄成功之后,將用戶的用戶名密碼回傳給用戶瀏覽器,讓用戶瀏覽器保存在本地,之后用戶再次訪問網站的時候瀏覽器自動將保存在瀏覽器上的用戶名和密碼發送給服務端,服務端獲取之后自動驗證
# 但是早期這種方式具有非常大的安全隱患(因為這中方式是銘文保存的,完全可以被別人找到看到)
優化:
# 當用戶登陸成功之后,服務端隨機產生一個隨機字串(在服務端保存資料,用k:v鍵值對的形式),交由客戶端瀏覽器保存,之后訪問服務端的時候,都帶著該隨機字串,服務端去資料庫中比對是否有對應的隨機字串從而獲取到對應的用戶資訊,
# 但是如果有人截獲到了某用戶的該隨機字串,那么就可以冒充他,其實也是有安全隱患的
# 在web領域是沒有絕對的安全也沒有絕對的不安全的,
什么是cookie?
cookie實際上是一小段的文本資訊,客戶端請求服務器,如果服務器需要記錄該用戶的狀態,就使用response向客戶端瀏覽器頒發一個cookie,客戶端瀏覽器會把cookie保存起來,當瀏覽器再次請求該網站時,瀏覽器就會把請求地址和cookie一同給服務器,服務器檢查該cookie,從而判斷用戶的狀態,服務器還可以根據需要修改cookie的內容,
# 表現形式:
k:v鍵值對(可以存多個)
什么是session?
session是另一種記錄客戶狀態的機制,不同的是cookie保存在客戶端瀏覽器中,而session保存在服務器上,客戶端瀏覽器訪問服務器的時候,服務器把客戶端資訊以某種形式記錄在服務器上,這就是session,客戶端瀏覽器再次訪問時只需要從該session中查找該客戶的狀態就可以了, 如果說cookie機制是通過檢查客戶身上的“通信證”,那么session機制就是通過檢查服務器上的“客戶明細表”來確認客戶身份,
# 表現形式
資料時保存在服務端的并且他的表現形式一般也是k:v鍵值對(可以有多個)
1.cookie就是保存在客戶端瀏覽器上的資訊
2.session就是保存在服務端上的資訊
3.session是基于cookie作業的,(大部分的保存用戶狀態的操作都需要使用到cookie)
了解了cookie與session的作業原理,接下來我們來看他們具體是怎么使用的,
cookie操作
# 雖然cookie是服務端告訴客戶端瀏覽器需要保存內容
# 但是如果客戶端瀏覽器可以選擇拒絕,如果客戶端瀏覽器禁止了cookie,那么客戶端瀏覽器就無法保存服務端發送過來的內容,那么只要是需要記錄用戶狀態的網站登錄功能都無法使用了,
# 如果在瀏覽器上 >> 隱私設定和安全性 >> Cookie及其他網站資料 >> 阻止了cookie
# 那么此時所有需要記錄用戶狀態的網站的登錄功能都無法使用,因為網站無法保存服務端發來的用戶名密碼,永遠無法校驗用戶名和密碼,這樣就無法登錄進去
洗掉當前頁面的cookie
# 我們可以在頁面上手動洗掉我們的cookie,這樣瀏覽器就沒有記錄我們的登錄資訊,服務端無法驗證,這樣就需要我們重新登錄,
實操
# 我們之前操作視圖函式的回傳值
return HttpResponse()
return render()
return redirect()
# 那么如果想要操作cookie就需要我們這樣撰寫:
obj1 = HttpResponse()
# 操作cookie
return obj1
obj2 = render()
# 操作cookie
return obj2
obj3 = redirect()
# 操作cookie
return obj3
# 如果你想要操作cookie,你就不得不利用obj物件
# cookie關鍵字:
設定cookie:obj.set_cookie(key,value) # 需要使用到上述提到的物件
加鹽處理:obj.set_signed_cookie(key,value,salt='鹽')
獲取cookie:request.COOKIES.get('key')
加鹽資料獲取:request.get_signed_cookie(key,salt='鹽')
示例
# 我們來看一個真正的登錄功能
def login(request):
if request.method == 'POST': # 查詢post請求資料
username = request.POST.get('username')
password = request.POST.get('password')
if username == 'gary' and password == '123':
return redirect('/home/') # 如果用戶輸入的匹配就跳轉到home頁面
return render(request,'login.html')
def home(request):
return HttpResponse('我是home頁面,只有登陸的用戶再能進來')
# 但是上述存在一個問題:我們需求是必須輸入正確的用戶名密碼才可以進入home頁面,但是我們直接訪問/home/路由也可以直接進入home頁面對吧,那么這就就需要用到cookie
優化
def login(request):
if request.method == 'POST':
username = request.POST.get('username')
password = request.POST.get('password')
if username == 'gary' and password == '123':
**************************應用cookie區域*************************************
obj = redirect('/home/') # 用戶名密碼正確跳轉到home主頁
# 讓瀏覽器記錄cookie資料
obj.set_cookie('username','gary222') # 這里就可以隨便放一個鍵值對,可以直接放一個用戶的用戶名名也可以,目的是為了讓客戶端瀏覽器保存
# 瀏覽器不單單的幫你存這個鍵值對
# 每次訪問的時候還會帶著他過來進行驗證
return obj
*****************************************************************************
return render(request,'login.html')
def home(request):
# 獲取cookie資訊 判斷是否有cookie
if request.COOKIES.get('username') == 'gary222': # 只有攜帶cookie才可以進入home頁面
return HttpResponse('我是home頁面,只有登陸的用戶再能進來')
# 如果沒有登錄則跳轉到登陸頁面
return redirect('/login/')
# 這樣我們想要直接訪問home頁面就不允許了,必須登錄之后才能訪問,并且登錄之后會記錄登錄狀態,下次再次直接訪問home頁面也是可以訪問的,
不足之處
# 不足之處1:
# 現在我們只有一個home頁面,那么如果有很多頁面呢,是不是在視圖函式很多的時候都要做一次判斷,判斷是否存在cookie,判斷是否已經登陸,那么此時我們應該在每個也面前加一個校驗用戶是否已經登陸的裝飾器,
# 不足之處2:
# 比如:
用戶訪問index頁面,然后跳轉到login登錄頁面進行登錄,但是當用戶登錄后,此時跳轉的還是home頁面,這樣是不合理的,需要的是用戶訪問什么頁面,登陸后跳轉的就是用戶想要的頁面,而不是主頁面,
實作不足之處1:
# 增加驗證是否登錄的裝飾器:
def login_auth(func): # 此時func就是home函式
def inner(request,*args,**kwargs):
if request.COOKIES.get('username'): # 判斷cookie是否有值
res = func(request,*args,**kwargs) # 有值則執行對應函式
return res
else: # 沒有cookie值則跳轉登錄頁面
return redirect('/login/')
return inner
def login(request):
if request.method == 'POST':
username = request.POST.get('username')
password = request.POST.get('password')
if username == 'gary' and password == '123':
obj = redirect('/home/')
# 讓瀏覽器記錄cookie資料
obj.set_cookie('username','gary222') # 這里就可以隨便放一個鍵值對了,可以直接放一個用戶的用戶名名也可以
# 瀏覽器不單單的幫你存這個鍵值對
# 每次訪問的時候還會帶著他過來
return obj
return render(request,'login.html')
@login_auth # 添加語法糖
def home(request):
return HttpResponse('我是home頁面,只有登陸的用戶再能進來')
@login_auth
def index(request):
return HttpResponse('我是index頁面')
@login_auth
def shop(request):
return HttpResponse('我是shop頁面')
# 此時就解決了多個頁面代碼冗余的問題,
實作不足之處2:
"""
用戶如果在沒有登陸的情況下想訪問一個需要登陸的頁面
那么先跳轉到登陸頁面 當用戶輸入正確的用戶名和密碼之后
應該跳轉到用戶之前想要訪問的頁面去 而不是直接寫死
"""
# 訪問登陸頁面就兩種情況:
要么是直接訪問登陸頁面的,要么是通過裝飾器跳轉到登錄頁面的
補充:獲取當前用戶請求的url
# print(request.path_info) # 該方法不獲取路由后面的引數
# print(request.get_full_path()) # 能夠獲取到用戶上一次想要訪問的url(上一次訪問的就是跳轉到login頁面之前想要訪問的頁面)(同樣可獲取到引數)
def login_auth(func):
def inner(request,*args,**kwargs):
target_url = request.get_full_path() # 獲取用戶想要訪問的url
if request.COOKIES.get('username'):
res = func(request,*args,**kwargs)
return res
else:
return redirect('/login/?next=%s'%target_url)
# 這樣跳轉到登錄頁面后,url后面會攜帶(?next='上一次用戶訪問的url頁面')的引數
return inner
# 那么此時就可以通過request.GET的方法拿到后面的引數,然后指定下一次跳轉的頁面
def login(request):
if request.method == 'POST':
username = request.POST.get('username')
password = request.POST.get('password')
if username == 'gary' and password == '123':
*****************************************************************
target_url = request.GET.get('next') # 這個結果可能是none(可能用戶直接訪問login)
if target_url: # 如果引數有指
obj = redirect(target_url) # 則跳轉到指定路由的頁面
else:
obj = redirect('/home/') # 如果用戶直接訪問的是登錄頁面則回傳指定的home頁面
*****************************************************************
obj.set_cookie('username','gary222')
return obj
return render(request,'login.html')
引數補充
1、# 可以設定超時時間:cookie可以存在多長時間,過了時間就自動清除cookie,不保存登錄狀態則下次需要重新登錄,
引數:
max_age=時間限制(以秒為單位)
expires=時間限制(以秒位單位)
兩者區別:
在設定cookie的時候可以添加一個超時時間
obj.set_cookie('username', 'jason666',max_age=3,expires=3)
max_age
expires
兩者都是設定超時時間的 并且都是以秒為單位
需要注意的是 針對IE瀏覽器需要使用expires
2、主動洗掉cookie(類似于退出登錄/注銷功能)
@login_auth # 注意退出登錄也是登錄后才能操作的所以需要添加裝飾器
def logout(request):
obj = redirect('/login/')
obj.delete_cookie('username')
return obj
session操作
# 設定session
request.session['key'] = value
# 獲取session
request.session.get('key')
# session資料是保存在服務端的,給客戶端回傳的是一個隨機字串的形式,
# 不是(key:value)的形式
# 而(sessionid:隨機字串)的形式
設定session
urls.py
# 設定session
url(r'set_session',views.set_session)
views.py
def set_session(request):
request.session['hobby'] = 'girl' # 設定session給前端回傳一個隨機字串
return HttpResponse('hello 小姐姐!')
# 訪問:
# 上述情況是因為什么呢?
# 這是因為,上述提到session的資料是保存在服務端的,那保存到那里了呢?
所以需要給session一個保存資料的地方,在默認情況下操作session的時候需要django默認的一張django_session表,
我們是否還記得,在做資料庫遷移命令的時候,會自動創建出很多我們不認識的表,那么這里就有我們需要的django_session表,
# 資料庫遷移命令:
makemigrations
migrate
再次訪問
# 過期時間:
django默認的session過期時間是14天,但是也可以認為的修改它,
獲取session
def get_session(request):
print(request.session.get('hobby'))
return HttpResponse('下次再見!')
# 設定session內部發生了那些事:
1.django內部會自動幫你生成一個隨機字串
2.django內部自動將隨機字串和對應的資料村粗帶django_session表中
3.將產生的隨機字串回傳給客戶端瀏覽器保存
# 獲取session內部發生的那些事:
1.自動從瀏覽器請求中獲取sessionid對應的隨機字串
2.拿著該隨機字串去django_session表中查找對應的資料
3.如果比對上了,則將對應的資料(session_data)取出并以字典的形式封裝到request.session中
如果比對不上,則request.session.get()回傳None
研究:如果設定多個session
def set_session(request):
request.session['hobby'] = 'girl'
request.session['hobby1'] = 'girl1'
request.session['hobby2'] = 'girl2'
request.session['hobby3'] = 'girl3'
return HttpResponse('hello 小姐姐!')
# 可同時設定多個session,但是只占用一條記錄
# 并且取得時候都可以取到,
def get_session(request):
print(request.session.get('hobby'))
print(request.session.get('hobby1'))
print(request.session.get('hobby2'))
print(request.session.get('hobby3'))
return HttpResponse('下次再見!')
總結
django_session表中資料條數是取決于瀏覽器的
同一個計算機上(同一個ip地址)同一個瀏覽器只會有一條資料有效(當session過期的時候,可能會出現多條資料對應一個瀏覽器,但是該現象不會持續很久,內部會自動識別過期得資料并清除,也可以手動清除或通過代碼清除,)
# 這么做的目的:
主要是為了節省服務端資料庫資源
設定過期時間
# 格式:request.session.set_expiry()
括號內可以放四種型別的引數
1.整數 多少秒
2.日期物件 到指定日期就失效
3.0 一旦當前瀏覽器視窗關閉立刻失效
4.不寫 失效時間就取決于django內部全域session默認的失效時間
清除session
# 清除session
request.session.delete() # 只刪服務端的 客戶端的不刪
request.session.flush() # 瀏覽器和服務端都清空(推薦使用)
session型別
1. 資料庫Session
SESSION_ENGINE = 'django.contrib.sessions.backends.db' # 引擎(默認)
2. 快取Session
SESSION_ENGINE = 'django.contrib.sessions.backends.cache' # 引擎
SESSION_CACHE_ALIAS = 'default' # 使用的快取別名(默認記憶體快取,也可以是memcache),此處別名依賴快取的設定
3. 檔案Session
SESSION_ENGINE = 'django.contrib.sessions.backends.file' # 引擎
SESSION_FILE_PATH = None # 快取檔案路徑,如果為None,則使用tempfile模塊獲取一個臨時地址tempfile.gettempdir()
4. 快取+資料庫
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db' # 引擎
5. 加密Cookie Session
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies' # 引擎
其他公用設定項:
SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字串(默認)
SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑(默認)
SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默認)
SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie(默認)
SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸(默認)
SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(默認)
SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期(默認)
SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,默認修改之后才保存(默認)
Django中間件
什么是Django中間件
Django中間件相當于Django得門戶:
1.請求來的時候需要先經過中間件才能到達真正的django后端
(瀏覽器給后端發送請求必須經過中間件)
2.回應走的時候最后也需要經過中間件才能發送出去
(后端給瀏覽器回傳資料的時候也需要經過中間件)
# Django自帶7個中間件
Django中間件代碼
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
# 我們來看這7個中間件:他們其實并不是一個字串,他們其實是一個模塊的路徑
'django.contrib.sessions.middleware.SessionMiddleware'
相當于:
from django.contrib.sessions.middleware import SessionMiddleware
我們來看一下這幾個中間件有什么規律:
Django支持程式員自定義中間件而且暴露給程式員五個可以自定義得方法:
1.常用:
process_request
process_response
2.了解:
process_view
process_template_response
process_exception
如何自定義中間件
第一步:在專案名或者應用名下創建一個任意名稱的檔案夾
第二步:在該檔案夾內創建一個任意名稱的py檔案
第三步:在該py檔案內需要書寫類(這個類必須繼承MiddlewareMixin)
然后在這個類里面就可以自定義五個方法了
(這五個方法并不是全部都需要書寫,用幾個寫幾個)
第四步:需要將類的路徑以字串的形式注冊到組態檔中才能生效
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
'你自己寫的中間件的路徑1',
'你自己寫的中間件的路徑2',
'你自己寫的中間件的路徑3',
]
我們根據上面的步驟來自定義中間件來研究這5個方法
process_request
自定義的mymidd.py
# 需要匯入模塊來繼承該模塊
from django.utils.deprecation import MiddlewareMixin
class MyMiddleware1(MiddlewareMixin):
def process_request(self,request):
print('我是第一個自定義中間件里得process_request方法')
class MyMiddleware2(MiddlewareMixin):
def process_request(self,request):
print('我是第二個自定義中間件里得process_request方法')
setting.py
# 注冊自己的中間件(在應用下創建的,路徑會有提示,但是如果在專案下創建的就沒有提示了)
MIDDLEWARE = [
'app01.mymiddleware.mymidd.MyMiddleware1',
'app01.mymiddleware.mymidd.MyMiddleware2'
]
views.py
def index(request):
print('我是視圖函式index')
return HttpResponse('index')
我們在把中間件注冊位置換一下看看列印是什么結果:
MIDDLEWARE = [
'app01.mymiddleware.mymidd.MyMiddleware2',
'app01.mymiddleware.mymidd.MyMiddleware1'
]
# 我們給自定義的中間件回傳一個HttpResponse物件:
class MyMiddleware1(MiddlewareMixin):
def process_request(self,request):
print('我是第1個自定義中間件里得process_request方法')
return HttpResponse('我是第1個自定義中間件里得process_request方法的回傳值')
總結process_request:
1.請求來的時候需要經過每一個中間件里面的process_request方法
結果的順序是按照組態檔中注冊的中間件從上往下的順序依次執行
2.如果中間件里面沒有定義該方法,那么直接跳過執行下一個中間件
3.如果該方法回傳了HttpResponse物件,那么請求將不再繼續往后執行
而是直接原路回傳(校驗失敗不允許訪問...)
# process_request方法就是用來做全域相關的所有限制功能
process_response
class MyMiddleware1(MiddlewareMixin):
def process_request(self,request):
print('我是第1個自定義中間件里得process_request方法')
def process_response(self,request,response):
print('我是第1個自定義中間件里得process_response方法')
return response
class MyMiddleware2(MiddlewareMixin):
def process_request(self,request):
print('我是第2個自定義中間件里得process_request方法')
def process_response(self,request,response):
print('我是第2個自定義中間件里得process_response方法')
return response
1.回應走的時候需要結果每一個中間件里面的process_response方法
該方法有兩個額外的引數request,response
2.該方法必須回傳一個HttpResponse物件
1.默認回傳的就是形參response
2.你也可以自己回傳自己的
3.順序是按照組態檔中注冊了的中間件從下往上依次經過
如果你沒有定義的話 直接跳過執行下一個
研究如果response回傳自己的HttpResponse回事怎樣的結果:
class MyMiddleware1(MiddlewareMixin):
def process_request(self,request):
print('我是第1個自定義中間件里得process_request方法')
def process_response(self,request,response):
print('我是第1個自定義中間件里得process_response方法')
return HttpResponse('我是中間件1')
class MyMiddleware2(MiddlewareMixin):
def process_request(self,request):
print('我是第2個自定義中間件里得process_request方法')
def process_response(self,request,response):
print('我是第2個自定義中間件里得process_response方法')
return response
# 結果:
# 研究如果在第一個process_request方法就已經回傳了HttpResponse物件,那么回應走的時候是經過所有的中間件里面的process_response還是有其他情況
class MyMiddleware1(MiddlewareMixin):
def process_request(self,request):
print('我是第1個自定義中間件里得process_request方法')
return HttpResponse('中間件1request') # 回傳HttpResponse
def process_response(self,request,response):
print('我是第1個自定義中間件里得process_response方法')
return response
class MyMiddleware2(MiddlewareMixin):
def process_request(self,request):
print('我是第2個自定義中間件里得process_request方法')
def process_response(self,request,response):
print('我是第2個自定義中間件里得process_response方法')
return response
process_view
# 具體使用:
def process_view(self,request,view_name,*args,**kwargs):
print(view_name,args,kwargs)
print('我是第二個自定義中間件中的process_view方法')
# 執行順序:
路由匹配成功之后執行視圖函式之前,會自動執行中間件里面的該方法
順序是按照組態檔中注冊的中間件從上往下的順序依次執行
# 所以在視圖函式提交之前需要添加額外的操作可以在這個方法里做,
process_template_response
回傳的HttpResponse物件有render屬性的時候才會觸發
順序是按照組態檔中注冊了的中間件從下往上依次經過
process_exception
當視圖函式中出現例外的情況下觸發
順序是按照組態檔中注冊了的中間件從下往上依次經過
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/506115.html
標籤:Python