正文
一 cookie 机制
Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。即用户A购买了一件商品放入购物车内,当再次购买商品时服务器已经无法判断该购买行为是属于用户A的会话还是用户B的会话了。Cookie可以弥补HTTP协议无状态的不足。在Session出现之前,基本上所有的网站都采用Cookie来跟踪会话。cookie有如下特点:
- cookie是保存在用户浏览器的已加密的键值对
- 可以被主动清除(浏览器界面、前端、后台)
- 可以被"伪造"
- 处于隐私保护的目的,禁止跨域共享:即www.googole.com和www.baidu.com各自的cookie不可被共享,因为域名对应的谷歌公司和百度公司服务器是不同的。
1. 查看cookie
2. 获取cookie
request.COOKIES.get('key')
request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None)
default: 默认值
salt: 加密盐
max_age: 后台控制过期时间
3. 设置cookie
rep = HttpResponse(...) rep = render(request, ...) #rep是Httpresponse对象 rep.set_cookie(key,value,...) rep.set_signed_cookie(key,value,salt='加密盐', max_age=None, ...)
| 属 性 名 | 描 述 |
| String name | 该Cookie的名称。Cookie一旦创建,名称便不可更改 |
| Object value | 该Cookie的值。如果值为Unicode字符,需要为字符编码。如果值为二进制数据,则需要使用BASE64编码 |
| int maxAge | 该Cookie失效的时间,单位秒。如果为正数,则该Cookie在maxAge秒之后失效。如果为负数,该Cookie为临时Cookie,关闭浏览器即失效,浏览器也不会以任何形式保存该Cookie。如果为0,表示删除该Cookie。默认为–1 |
| boolean secure | 该Cookie是否仅被使用安全协议传输。安全协议。安全协议有HTTPS,SSL等,在网络上传输数据之前先将数据加密。默认为false。当使用https式,必须要secure设置为Y=True。 |
| String path | 该Cookie的使用路径。如果设置为“/sessionWeb/”,则只有contextPath为“/sessionWeb”的程序可以访问该Cookie。如果设置为“/”,则本域名下contextPath都可以访问该Cookie。注意最后一个字符必须为“/” |
| String domain | 可以访问该Cookie的域名。如果设置为“.google.com”,则所有以“google.com”结尾的域名都可以访问该Cookie。注意第一个字符必须为“.” |
| boolean httponly | 限制在浏览器控制台获取键值对,但无法对抓包工具进行限制。 |
4. 删除cookie
def logout(request):
rep = redirect("/login/")
rep.delete_cookie("user") # 删除用户浏览器上之前设置的usercookie值
return rep
cookie验证实例
# cookie验证
def login_required(fn):
def inner(request):
if request.COOKIES.get('set_cookie') == '111':
ret = fn(request)
# 验证成功
return ret
else:
# 验证失败,获取当前点击界面,以备登录后跳转
info = request.path_info
return redirect('/mainapp/login/?next={}'.format(info))
return inner
def login(request):
if request.method == 'POST':
name = request.POST.get('name')
pwd = request.POST.get('pwd')
next = request.GET.get('next')
if name == 'matt' and pwd == '123':
if next:
ret = redirect('%s'%next)
else:
ret = redirect('/mainapp/author/')
ret.set_cookie('set_cookie', '111')
return ret
else:
return render(request, 'login.html')
return render(request, 'login.html')
二 session
session存储在数据库中
Cookie虽然在一定程度上解决了“保持状态”的需求,但是由于Cookie本身最大支持4096字节,以及Cookie本身保存在客户端,可能被拦截或窃取。
session则是在request到来时,通过SessionMiddleWare中间件,在进行视图函数执行之前,做了一些操作。它在Cookie中生成了一段随机字符串作为session id(给每个客户端的Cookie分配一个唯一的id),并且将key-value随机化处理,存储到了服务器(django默认存在django_session表里)。
总结:Cookie弥补了HTTP无状态的不足,让服务器知道来的人是“谁”;但是Cookie以文本的形式保存在本地,自身安全性较差,且文本容量下;Session可对数据进行加密,能够保存超过4096字节的文本。Cookie和Session是共通的,不限于语言和框架。
1. session方法
# 获取、设置、删除Session中数据
request.session['k1']
request.session.get('k1',None)
request.session['k1'] = 123
request.session.setdefault('k1',123) # 存在则不设置
del request.session['k1']
# 所有 键、值、键值对
request.session.keys()
request.session.values()
request.session.items()
request.session.iterkeys()
request.session.itervalues()
request.session.iteritems()
# 会话session的key
request.session.session_key
# 将所有Session失效日期小于当前日期的数据删除
request.session.clear_expired()
# 检查会话session的key在数据库中是否存在
request.session.exists("session_key")
# 删除当前会话的所有Session数据
request.session.delete()
# 删除当前的会话数据并删除会话的Cookie。
request.session.flush()
这用于确保前面的会话数据不可以再次被用户的浏览器访问
例如,django.contrib.auth.logout() 函数中就会调用它。
# 设置会话Session和Cookie的超时时间
request.session.set_expiry(value)
* 如果value是个整数,session会在些秒数后失效。
* 如果value是个datatime或timedelta,session就会在这个时间后失效。
* 如果value是0,用户关闭浏览器session就会失效。
* 如果value是None,session会依赖全局session失效策略。
2. session配置
查看全局配置
from django.conf import global_settings
session全局配置
1. 数据库Session SESSION_ENGINE = 'django.contrib.sessions.backends.db' # 引擎(默认) 2. 缓存Session SESSION_ENGINE = 'django.contrib.sessions.backends.cache' # 引擎 SESSION_CACHE_ALIAS = 'default' # 使用的缓存别名(默认内存缓存,也可以是memcache),此处别名依赖缓存的设置 3. 文件Session SESSION_ENGINE = 'django.contrib.sessions.backends.file' # 引擎 SESSION_FILE_PATH = None # 缓存文件路径,如果为None,则使用tempfile模块获取一个临时地址tempfile.gettempdir() 4. 缓存+数据库 SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db' # 引擎 5. 加密Cookie Session SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies' # 引擎 其他公用设置项: SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认) SESSION_COOKIE_PATH = "/" # Session的cookie保存的路径(默认) SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默认) SESSION_COOKIE_SECURE = False # 是否Https传输cookie(默认) SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http传输(默认) SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(默认) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否关闭浏览器使得Session过期(默认) SESSION_SAVE_EVERY_REQUEST = False # 是否每次请求都保存Session,默认修改之后才保存(默认)
session实例验证
# session验证
def login_required(fn):
def inner(request):
# if request.COOKIES.get('set_cookie') == '111':
if request.session.get('set_session') == '111':
ret = fn(request)
# 验证成功
return ret
else:
# 验证失败,获取当前点击界面,以备登录后跳转
info = request.path_info
return redirect('/mainapp/login/?next={}'.format(info))
return inner
def login(request):
if request.method == 'POST':
name = request.POST.get('name')
pwd = request.POST.get('pwd')
next = request.GET.get('next')
if name == 'matt' and pwd == '123':
request.session['set_session'] = '111'
if next:
ret = redirect('%s' % next)
else:
ret = redirect('/mainapp/author/')
# ret.set_cookie('set_cookie', '111')
return ret
else:
return render(request, 'login.html')
return render(request, 'login.html')
@login_required
def author(request):
obj = models.Author.objects.all()
return render(request, 'author.html', {'obj': obj})
3. 补充
- csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
- csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。
from django.views.decorators.csrf import csrf_exempt, csrf_protect from django.utils.decorators import method_decorator
三 中间件
中间件是一个用来处理Django的请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。中间件是在视图函数执行之前和执行之后都可以做一些额外的操作,它本质上就是一个自定义类,类中定义了几个方法,Django框架会在请求的特定的时间去执行这些方法。
1. 作用
- IP限制,频繁登录限制
- session检测
- 缓存,客户端请求来了,中间件去缓存查看是否有数据,若有直接返回给客户端,没有再去逻辑层执行视图函数
2. 自定义中间件
中间件可以定义五个方法,分别是:(主要的是process_request和process_response)
- process_request(self,request)
- process_view(self, request, view_func, view_args, view_kwargs)
- process_template_response(self,request,response)
- process_exception(self, request, exception)
- process_response(self, request, response)
在setting.py中注册中间件
MIDDLEWARE = [
...'django.middleware.clickjacking.XFrameOptionsMiddleware',
'app01.views.CustomizeMiddleware' #创建的自定义中间件类(路径 + 类名)
]
2.1 request_process(self,request)
- 在URL解析、视图函数之前执行的。
- 正序执行
- 不同中间件之间传递的request都是同一个对象
- 若返回值时Httpresponse,直接执行当前的中间件的process_response方法。
from django.shortcuts import HttpResponse from django.utils.deprecation import MiddlewareMixin class CustomizeMiddleware(MiddlewareMixin): def process_request(self, request): allowed_ip = ['192.168.1.1',] # 允许/禁止访问的ip地址列表,判断请求ip, 放行/阻拦 if request.META.get('REMOTE_ADDR') not in allowed_ip: return HttpResponse('您的IP地址无权访问') else: return None
2.2 process_view(self, request, view_func, view_args, view_kwargs)
request是HttpRequest对象。 view_func是Django即将使用的视图函数。 (它是实际的函数对象,而不是函数的名称作为字符串。) view_args是将传递给视图的位置参数的列表. view_kwargs是将传递给视图的关键字参数的字典。 view_args和view_kwargs都不包含第一个视图参数(request)。
- 在URL解析之后,视图函数之前执行。
- 正序执行
- 若返回值时Httpresponse,直接执行最底层中间件的process_response方法。
2.3 process_exception(self, request, exception)
request:HttpRequest对象 exception:视图函数异常产生的Exception对象。
视图中出现异常,就会被执行,默认不执行
from django.shortcuts import HttpResponse
class CustomizeMiddleware(MiddlewareMixin):
def process_exception(self, request, exception):
return HttpResponse('在处理中间件时,抛出了异常,就会走这里哦~')
- 在URL解析、视图函数之后执行。
- 倒序执行
- 若返回值时Httpresponse,直接执行最底层中间件的process_response方法。
2.4 process_template_response(self,request,response)(很少使用)
request:HttpRequest对象 response:TemplateResponse对象(由视图函数或者中间件产生)
视图函数执行完之后,立即执行了中间件的process_template_response方法,顺序是倒序,先执行CustomizeMiddleware3的,再执行CustomizeMiddleware2的,接着执行了视图函数返回的HttpResponse对象的render方法,返回了一个新的HttpResponse对象,接着执行中间件的process_response方法。
2.5 process_response(self, request, response)
class CustomizeMiddleware(MiddlewareMixin):
def process_response(self, request, response):
print('处理一些逻辑条件等......')
return response
- 在URL解析、视图函数之后执行。
- 倒序执行
实例:
class MD1(MiddlewareMixin):
def process_request(self, request):
print("MD1里面的 process_request")
def process_response(self, request, response):
print("MD1里面的 process_response")
return response
def process_view(self, request, view_func, view_args, view_kwargs):
print("-" * 80)
print("MD1 中的process_view")
print(view_func, view_func.__name__)
def process_exception(self, request, exception):
print(exception)
print("MD1 中的process_exception")
return HttpResponse(str(exception))
def process_template_response(self, request, response):
print("MD1 中的process_template_response")
return response
class MD2(MiddlewareMixin):
def process_request(self, request):
print("MD2里面的 process_request")
pass
def process_response(self, request, response):
print("MD2里面的 process_response")
return response
def process_view(self, request, view_func, view_args, view_kwargs):
print("-" * 80)
print("MD2 中的process_view")
print(view_func, view_func.__name__)
def process_exception(self, request, exception):
print(exception)
print("MD2 中的process_exception")
def process_template_response(self, request, response):
print("MD2 中的process_template_response")
return response
views.py中:
def index(request):
print("app01 中的 index视图")
def render():
print("in index/render")
return HttpResponse("O98K")
rep = HttpResponse("OK")
rep.render = render
return rep
访问index视图,终端输出的结果:
MD2里面的 process_request MD1里面的 process_request -------------------------------------------------------------------------------- MD2 中的process_view <function index at 0x000001C111B97488> index -------------------------------------------------------------------------------- MD1 中的process_view <function index at 0x000001C111B97488> index app01 中的 index视图 MD1 中的process_template_response MD2 中的process_template_response in index/render MD1里面的 process_response MD2里面的 process_response
实例:
from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import redirect, HttpResponse, render
import time
# session验证
class MD1(MiddlewareMixin):
black_list = ['/press/']
white_list = ['/mainapp/login/']
def process_request(self, request):
info = request.path_info
if request.session.get('set_session') == '111' or info in self.white_list:
return None
else:
return redirect('/mainapp/login/?next={}'.format(info))
# 10s内请求不能超过三次
class Ipcount(MiddlewareMixin):
ip_list = {}
def process_request(self, request):
ip_name = request.META.get('REMOTA_ADDR')
if ip_name in self.ip_list:
time_list = self.ip_list[ip_name]
time_list.append(time.time())
if len(time_list) > 3:
if time_list[-1] - time_list[0] < 10:
time_list.pop()
return HttpResponse('太频繁')
else:
time_list.pop(0)
else:
self.ip_list[ip_name] = [time.time()]
3. 执行流程
4. 带有中间件Django流程
