Cookie与Session

文章目录

Cookie的介绍
- Cookie的由来
- 什么是Cookie
- Cookie原理
- Cookie覆盖
- 浏览器查看Cookie
在Django中操作Cookie
- 设置Cookie
- 查询浏览器携带的Cookie
- 删除Cookie
Cookie校验登录
session

Cookie的介绍

Cookie的由来

首先我们都应该明白HTTP协议是无连接的。

无状态的意思是每次请求都是独立的，它的执行情况和结果与前面的请求和之后的请求都无直接关系，它不会受前面的请求响应情况直接影响，也不会直接英系那个后面的请求响应情况。

所以对服务端来说，每一次请求都是全新的。

状态也就是说在于服务端进行连接的过程中产生的数据，基于HTTP无连接的特性，在下一次与服务端进行连接之后又是一次全新的状态，之前的状态不会保存丝毫。

如果说我们要保存状态的话，便于下一次或更多次于服务端进行连接都拥有之前的状态，那么Cookie就诞生在这种需求下。

什么是Cookie

其实Cookie是key-value结构，类似于一个python中的字典。随着服务器端的响应发送给客户端浏览器。然后客户端浏览器会把Cookie保存起来，当下一次再访问服务器时把Cookie再发送给服务器。Cookie是由服务器创建，然后通过响应发送给客户端的一个键值对。客户端会保存Cookie，并会标注出Cookie的来源（哪个服务器的Cookie）。当客户端向服务器发出请求时会把所有这个服务器Cookie包含在请求中发送给服务器，这样服务器就可以识别客户端了！

Cookie原理

Cookie的工作原理：在服务器产生后Cookie发送给浏览器，然后浏览器将其保存在本地；下次浏览器访问服务器时携带这个Cookie，那么服务端就能根据这个Cookie内容判断这个浏览器是谁了。

注意：不同浏览器之间是不共享Cookie的。也就是说在你使用IE访问服务器时，服务器会把Cookie发给IE，然后由IE保存起来，当你使用Chrome访问服务器时，不可能把IE保存的Cookie发送给服务器。

Cookie覆盖

服务端重复发送Cookie是会覆盖浏览器原有Cookie的，例如：浏览器第一次请求服务端返回的Cookie是：name：jack；浏览器第二次请求之后服务端又发送了Cookie给浏览器：name:tom；那么浏览器只会留下新的Cookie，也就是：name:tom；

注意：如果key不一样的话则不会覆盖，因为一个Cookie可以由好很多key-value组成

浏览器查看Cookie

window可以通过F12打开开发者选项，选择Application选项下面的Cookies
在这里插入图片描述

在已经开启的页面使用开发者选项可以看不到内容，我们再刷新一下页面就可以了。

在Django中操作Cookie

Django就是我们的服务端，浏览器向它发送请求我们可以返回一个Cookie。

设置Cookie

我们可以给基于HttpResponse类返回数据到浏览器的方法设置Cookie，如：render、redirect、JsonResponse等

	request = HttpResponse('...')data = render('...')response.set_cookie(key,value)data.set_cookie(key,value)

set_cookie可以设置的参数：

key：键
value：值
max_age=None，超时时间，cookie需要延续的时间（以秒为单位）如果参数是\None’'，这个–cookie会延续到浏览器关闭为止
expires=None，超时时间（IE requires expires,so set it if hasn’t been already.）
path=‘/’，Cookie生效的路径，/表示根路径，特殊的：根路径的cookie可以被任何url的页面访问，浏览器只会把cookie回传给带有该路径的页面，这样可以避免将cookie传给站点中的其他的应用。
domain针对哪个域名有效。默认是针对主域名下都有效，如果只要针对某一个子域名才有效，那么可以设置这个属性
secure=False，浏览器将通过HTTPS来回传cookie
httponly=False，只能http协议传输，无法被JavaScript获取（不是绝对，底层抓包可以获取到可以被覆盖）

set_signed_cookie：可以对Cookie的value值进行加盐

	def index(request):response = HttpResponse('Hello World!')response.set_cookie('name','jack')response.set_signed_cookie('sex','man',salt='加盐')return response

在这里插入图片描述

signed_cookie 只是加了签名的cookie，而不是被加密的cookie，在客户端还是可以看到没有加密的value的

注解作用：

单纯的记录uid或者用户名在cookie中很容易被篡改(也是不建议将用户敏感信息记录在cookie中的原因)，万一攻击者把uid=1换成uid=2岂不是可以访问uid=2用户的资源了吗？而如果换成uid=2r5khk:5Qi0PuFkFQxAFkDnM-UsSljHHxM那么服务端不仅检验uid，还检验uid=2后面的签名字段，即是调用HttpRequest.get_signed_cookie(key=key，sait=sait)，这样即使用户把cookie中的value换成uid=2，但是没有签名，服务端照样拒绝访问资源。

查询浏览器携带的Cookie

当我们响应给客户端Cookie保存以后，下次客户端访问我们的服务端就会携带这个Cookie来访问。

在这里插入图片描述
我们可以在视图接收到客户端的请求里面提取出Cookie的键值对，针对正常设置的Cookie和加盐的Cookie取值方式有所不同

def index(request):print(request.COOKIES['name'])  # 方式一：不推荐使用此方式，如果key不存在则会抛出异常：KeyErrorprint(request.COOKIES.get('name'))  # 方式二：获取name键对应的value，如果key不存在则返回Noneprint(request.get_signed_cookie('sex',salt='加盐')) # 获取加盐过的cookie键值，salt必须要对上不然报错return HttpResponse('Hello World!')

在这里插入图片描述

删除Cookie

删除浏览器请求里携带的某个Cookie

	def index(request):response = HttpResponse('Hello World!')response.delete_cookie('sex')return response

在这里插入图片描述

Cookie校验登录

通过登录之后在浏览器添加Cookie，只有携带该Cookie才能访问home页面。

视图层代码

from app import models
def login(request,*arg,**kwargs):if request.method == 'POST':username = request.POST.get('username')password = request.POST.get('password')'''查询数据库中的用户数据比对'''obj = models.UserInfo.objects.filter(username=username,password=password).first()if obj:response = HttpResponse('login success!')response.set_cookie('name', username, max_age=30)response.set_cookie('msg','True',max_age=30)  # 定义过期时间# 它们分别都在30秒后过期，也就是浏览器只有30秒使用这个Cookie的时间，过了30秒以后再次访问将不能携带该Cookiereturn responseelse:return HttpResponse('账号或密码错误！')return render(request,'login.html')def home(request):try:name = request.COOKIES['name']msg = request.COOKIES['msg']if name and msg == 'True':  # 判断浏览器携带的Cookie是否合格return render(request,'home.html')return redirect('/login/') # 不合格重定向到登录页面except: # 没有获取到指定Cookie的话，则说明Cookie过期了，重定向到登录页面return redirect('/login/')

在这里插入图片描述
进入home页面是在请求里头携带了服务端在浏览器登录时响应的Cookie，再次将该Cookie发送给服务端才能得到home页面的响应。

待我们30秒后再次刷新home页面时，就会被重定向到登录界面，因为Cookie过期了

如果需要有多个视图函数需要使用时，这种的每次都需要写重复的代码，这样代码的重复性就太高了，所以我们可以做一个装饰器用来存储这些重复的代码

'''检验用户登录的状态的装饰器'''
def login_auth(xxx):def inner(request, *args, **kwargs):'''获取到用户上一次想要访问的urlpath_info ----只有路由地址get_full_path ----可以访问到浏览器后携带的get参数'''if request.COOKIES.get('name'):return xxx(request,*args, **kwargs)else:return redirect('/login/') # 通过后缀的方式告知跳转那一个return innerfrom app import models
def login(request):if request.method == 'POST':username = request.POST.get('username')password = request.POST.get('password')'''查询数据库中的用户数据比对'''obj = models.UserInfo.objects.filter(username=username,password=password).first()if obj:response = HttpResponse('login success!')response.set_cookie('name', username, max_age=30)response.set_cookie('msg','True',max_age=30)  # 定义过期时间# 它们分别都在30秒后过期，也就是浏览器只有30秒使用这个Cookie的时间，过了30秒以后再次访问将不能携带该Cookiereturn responseelse:return HttpResponse('账号或密码错误！')return render(request,'login.html')@login_out
def func(request):return HttpResponse('from func')def home(request):try:# name = request.COOKIES['name']# msg = request.COOKIES['msg']name = request.COOKIES.get('name')msg = request.COOKIES.get('msg')if name and msg == 'True':  # 判断浏览器携带的Cookie是否合格return render(request, 'home.html')return redirect('/login/')  # 不合格重定向到登录页面except:  # 没有获取到指定Cookie的话，则说明Cookie过期了，重定向到登录页面return redirect('/login/')