一、简单的理解
session和cookie是request下的两个对象,操作他们的值就是在操作字典,设置他们的属性就是调用方法。
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。解决此问题,常用的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。
在Django中要用session一定要先执行(创建表的过程):
python manage.py makemigrations
python manage.py migrate
二、session:
*session存储机制:
(1)、当用户来访问服务端时,服务端生成一个随机字符串;
(2)、当用户登录成功后 把 {sessionID :随机字符串} 组织成键值对 加到 cookie里发送给用户;
(3)、服务器以发送给客户端 cookie中的随机字符串做键,用户信息做值,保存用户信息;
所以服务器存储的session格式应该是:
{sessionid:{‘username’:xx,‘password’:yy}}
request.session[‘username’] = ‘xx’
默认生成了随机的sessionid,并且隐含了通过sessionID找到用户信息那一步;
1.、设置值(字典):
request.session['username'] = 'Genius淼'
request.session['password'] = 'genius123'
request.session.setdefault('username','password')#username 默认值为'password'
2、设置属性:
request.session.set_expiry(value) -- 设置session过期时间,默认是两周。
value:
- 数字(单位:秒)
- datatime(具体日期)
- None(依据全局失效策略)
- timedelta(时间增量)
注意:request.session.set_expiry(timedelta(days=30))时要在setting中添加:SESSION_SERIALIZER='django.contrib.sessions.serializers.PickleSerializer'
3、查看
request.session.keys()
request.session.values()
request.session.items()
4、获取
request.session["username"] # 以字典形式读取,键不存在会报错
request.session.get("username") # 以get方法形式读取,键不存在会报错
request.session.get("username",None) # 加参,如果username不存在则读取到None
request.session.session_key # 用户session的随机字符串
5、删除
del request.session["username"] # 以字典形式删除
request.session.delete("username") # 以方法形式删除
request.session.delete('session_key') #删除所有session
request.session.clear() # 删除所有session
request.session.clear_expired() # 删除已失效session
在setting中配置session(转)
session存储位置:
数据库(默认) SESSION_ENGINE = ‘sdjango.contrib.sessions.backends.db’
缓存 SESSION_ENGINE = ‘django.contrib.sessions.backends.cache’
文件 SESSION_ENGINE = ‘django.contrib.sessions.backends.file’
缓存+数据库 SESSION_ENGINE=‘django.contrib.sessions.backends.cached_db’
加密cookie(相当于没有用session,又把敏感信息保存到客户端了) SESSION_ENGINE = ‘django.contrib.sessions.backends.signed_cookies’
#session配置文件
SESSION_ENGINE = ‘django.contrib.sessions.backends.db’ # 引擎(默认)
SESSION_FILE_PATH = 文件路径 # 缓存文件路径,如果为None,则使用tempfile模块获取一个临时地址tempfile.gettempdir()
SESSION_COOKIE_NAME = “sessionid” # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认)
SESSION_COOKIE_PATH = “/” # Session的cookie保存的路径(默认)
SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默认)
SESSION_COOKIE_SECURE = False # 是否Https传输cookie(默认)
SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http传输(默认)
SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(默认)
SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否关闭浏览器使得Session过期(默认)
SESSION_SAVE_EVERY_REQUEST = False # 是否每次请求都保存Session,默认修改之后才保存(默认)
三、cookie:
在django中,cookie是在声明一个HttpResponse之后,通过set_cookie方法来设置的。它通过在响应头里Set-Cookie设置键值对来实现在浏览器客户端保存Cookie。
res = HttpResponse() # 具体是什么响应要看自己的return
-
设置值(字典):
res.set_cookie('username','password') res.set_cookie('Genius淼','genius123') -
获取
username = request.COOKIES.get('username') -
删除
res.delete_cookie('username') -
设置属性:
查看HttpResponseBase类:def set_cookie(self, key, value='', max_age=None, expires=None, path='/', domain=None, secure=False, httponly=False): ......可传参:
key:Cookie的名称
value:Cookie的值
max_age:失效时间,单位-秒。默认是-1 ——>负数:关闭浏览器失效;0表示删除该cookie。
expires:失效日期,同session的set_expiry
path:该Cookie的使用路径,’/‘为允许所有。’/index/‘则只能在/index下可以访问,注意最后的 /
domain:可以访问该cookie的域名,以 ‘.‘开头’,如’.baidu.com’
secure:该Cookie是否仅被使用安全协议传输,默认是False。当使用https时,必须要secure设置为True
httponly:限制在浏览器控制台获取键值对,但无法对抓包工具进行限制。举例:res.set_cookie(“age”, “10”,max_age=“10”,expires=“2019-01-31”,)
-
加密
设置值:res.set_signed_cookie(‘age’, ‘10’,salt=“I’m secript”)
取值:request.get_signed_cookie(‘age’,salt=“I’m secript”)
如同多加了一条暗号