一、 Cookie

1、Cookie的由来

因为HTTP协议是无状态的，无状态的意思就是每次请求都是独立的，它的执行情况和结果与前面的请求和之后的请求都无直接关系，也不会受前后请求响应情况直接影响。简而言之，对服务器来说，每一次请求都是全新的。

状态可以理解为客户端和服务器在某次会话中产生的数据，那无状态就是这些数据不会被保存；但是我们又需要保存会话中产生的数据，也就是报讯状态。因此Cookie就来了。

2、什么是Cookie

Cookie具体指一小段信息，它是服务器发送出来存储在浏览器上的一组键值对，下次访问服务器时浏览器会自动携带这些键值对，以便服务器提取有用信息。

3、Cookie的原理

由服务器产生内容，浏览器收到请求后保存在本地，当浏览器再次访问的时候，浏览器会自动带上cookie，这样服务器就能通过Cookie的内容来验证身份。

4、Cookie的特性

1、服务器让浏览器进行设置的

2、保存在浏览器本地，浏览器也可以不保存

3、下次访问自动携带cookie保存的信息

5、Cookie的用途

1、登陆

2、保存用户的浏览习惯

3、投票

6、查看Cookie

使用浏览器打开开发者工具

7、在Django中操作Cookie

1、设置Cookie，本质是响应头，set-cookie: key=value

ret = redirect('/home/')
​
ret.set_cookie(key,value,...) # 普通的cookie
 #ret = set_cookie('is_login','1')  
    
ret.set.signed_cookie(key,value,salt='加密盐'，...) # 加密的cookie
# ret = set_signed_cookie('is_login','1','miyao') 

参数：

• key，键

• value=‘’，值

• max_age=None,超时时间

• expires=None，超时时间（IE requires expires，so set it if hasn't been already）

• path=‘/’，Cookie生效的路径。/表示根路径，特殊的：根路径的页面可以被任何url的页面访问

• domain=None，Cookie生效的域名

• secure=False,https传输

• httponly=False 智能http协议传输，无法被JavaScript获取（不是绝对，底层抓包可以获取到可以被覆盖）

2、获取 本质 请求头 cookie 好多个键值对

request.COOKIE   # 普通的cookie
request.get_signed_cookie('is_login',salt='miyao',default='') # 加密的cookie

get_signed_cookie 方法的参数：

• default：默认值

• salt：加密盐

• max_age:后台控制过期时间

3、删除

ret = redirect('/login/')
ret.delete_cookie('is_login')
​
del request.COOKIES[key]

cookie版的登陆校验

def login_required(func):
    def inner(request,*args, **kwargs):
        # is_login = request.COOKIES.get('is_login')
        is_login = request.get_signed_cookie('is_login',salt='miyao',default='')
        if is_login == '1':
            ret = func(request, *args, **kwargs)
        else:
            # 获取当前访问的页面，拼接到login地址后
            return_url = request.path_info
            ret = redirect('/login/?return_url={}'.format(return_url))
        return ret
    return inner
​
​
class Login(View):
​
    def get(self,request):
        return render(request,'login.html')
​
    def post(self,request):
​
        user = request.POST.get('user')
        pwd = request.POST.get('pwd')
        path_info = request.path_info
        print(path_info)
        if user == 'hu' and pwd == '1234':
            return_url = request.GET.get('return_url')
            # 有地址，跳转到url，没有跳转到home
            if return_url:
                ret=redirect(return_url)
            else:
                ret=redirect(reverse('home'))
            # ret.set_cookie('is_login','1')
            ret.set_signed_cookie('is_login','1','miyao')
            return ret
​
        else:
            return render(request, 'login.html',{'error':'用户名或者密码错误，整啥呢'})
​
​
@login_required
def home(request):
    return render(request, 'home.html')

登陆校验

二、session

1、session的由来

Cookie虽然在一定程度上解决了保存状态的需求，但是由于Cookie本身最大支持4096字节，以及Cookie本身保存在客户端，可能被拦截或者窃听，因此就需要一种新的东西，他能支持跟多的字节，并且它保存在服务器，有较高的安全性，这就是Session。

Cookie在其中就起到桥接作用。我们可以给每个客户端的Cookie分配一个我i一的id，这样用户在访问的时候，通过Cookie，服务器就知道来的人是谁，然后我么再根据不同的Cookieid，在服务器上保存一段时间的私密资料，如账号密码等。

总而言之，Cookie弥补HTTP无状态的不足，让服务器知道来者是谁，但是Cookie以文本的形式保存在本地，自身安全性较差；所以我们就通过Cookie识别不同的用户，对应的Session里保存私密的信息以及超过4096字节的文本。

另外，上述的Cookie和Session是共通的东西，不限于语言和框架。

什么是Session

保存在服务器上的一组组键值对，必须依赖于Cookie

为什么要使用Session

1、cookie保存在浏览器本地不安全，

2、cookie的大小收到限制

Django中操作session

1、设置

request.session[key] = value
request.session.setdefault('k1'，123)  # 若存在，则不设置

2、获取

request.session[key]
request.session.get(key)
request.session.get(key,None)

3、删除

del request.session[key]
request.session.clear_expired()  #清除已过期的数据
request.session.delete()  # 删除所有的session数据， 不删除cookie
request.session.flush()   # 删除所有的session数据。删除cookie    django.contrib.auth.logout() 函数中会调用它

所有的键，值，键值对

request.session.keys()
request.session.values()
request.session.items()

会话session的key

request.session.session_key

检查所有session的key在数据库中是否存在

request.session.exists("session_key")

设置会话session和cookie的超时时间

request.session.set.expiry(value)

• 如果value是整数。session会在这些秒数后失效

• 如果value是个datatime或timedelta，session会在这个时间后失效

• 如果value是0，用户关闭浏览器session就会失效

• 如果value是None。session会依赖全局session失效策略

查看session的一些方法

from django.conf import global_setting

session的流程解析

session版的登陆校验

from django.shortcuts import render,redirect,reverse,HttpResponse
from django.views import View

def login_required(func):
    def inner(request,*args, **kwargs):
        # 获取session的值,
        is_login = request.session.get('is_login')
        print(is_login)
        if is_login == '1':
            ret = func(request, *args, **kwargs)
        else:
            # 获取当前访问的页面，拼接到login地址后
            return_url = request.path_info
            ret = redirect('/login/?return_url={}'.format(return_url))
        return ret
    return inner

class Login(View):

    def get(self,request):
        return render(request,'login.html')

    def post(self,request):

        user = request.POST.get('user')
        pwd = request.POST.get('pwd')
        path_info = request.path_info
        print(path_info)
        if user == 'hu' and pwd == '1234':
            return_url = request.GET.get('return_url')
            # 有地址，跳转到url，没有跳转到home
            if return_url:
                ret=redirect(return_url)
            else:
                ret=redirect(reverse('home'))
            # 设置session的值。
            request.session['is_login'] = '1'
            return ret

        else:
            return render(request, 'login.html',{'error':'用户名或者密码错误，整啥呢'})
        
@login_required
def home(request):
    return render(request, 'home.html')

@login_required
def index(request):
    return render(request, 'index.html')

def loginout(request):
    ret = redirect(reverse('login'))
    request.session.flush()
    return ret

校验登陆