cookie和session使用:web开发发展至今,cookiesession的使用已经出现了一些非常成熟的方案。在如今的市场或者企业里,一般有两种存储方式:

  • 存储在服务端:通过cookie存储一个sessionid,然后具体的数据则是保存在session中。如果用户已经登录,则服务器会在cookie中保存一个sessionid,下次再次请求的时候,会把该sessionid携带上来,服务器根据sessionidsession库中获取用户的session数据。就能知道该用户到底是谁,以及之前保存的一些状态信息。这种专业术语叫做server side sessionDjangosession信息默认存储到数据库中,当然也可以存储到其他地方,比如缓存中,文件系统中等。存储在服务器的数据会更加的安全,不容易被窃取。但存储在服务器也有一定的弊端,就是会占用服务器的资源,但现在服务器已经发展至今,一些session信息还是绰绰有余的。
  • session数据加密,然后存储在cookie中。这种专业术语叫做client side sessionflask框架默认采用的就是这种方式,但是也可以替换成其他形式。

在django中操作cookie和session

操作cookie

设置cookie

设置cookie是设置值给浏览器的。因此需要通过response的对象来设置,设置cookie可以通过response.set_cookie来设置,这个方法的相关参数如下:

  1. key:这个cookiekey
  2. value:这个cookievalue
  3. max_age:最长的生命周期。单位是秒。
  4. expires:过期时间。跟max_age是类似的,只不过这个参数需要传递一个具体的日期,比如datetime或者是符合日期格式的字符串。如果同时设置了expiresmax_age,那么将会使用expires的值作为过期时间。
  5. path:对域名下哪个路径有效。默认是对域名下所有路径都有效。
  6. domain:针对哪个域名有效。默认是针对主域名下都有效,如果只要针对某个子域名才有效,那么可以设置这个属性.
  7. secure:是否是安全的,如果设置为True,那么只能在https协议下才可用。

  8. httponly:默认是False。如果为True,那么在客户端不能通过JavaScript进行操作。

    1. def index(request):
    2.  response = HttpResponse("ok")
    3.  expires = datetime(year=2018, month=11, day=15, hour=16,minute=5,second=0)
    4.  # 转化为清醒时间,时区和setting.py的TIME_ZONE有关
    5.  expires = make_aware(expires)
    6.  response.set_cookie("user_id", "10086", expires=expires)
    7.  return response


  9. cookie和session - 图1

删除cookie

通过delete_cookie即可删除cookie。实际上删除cookie就是将指定的cookie的值设置为空的字符串,然后使用将他的过期时间设置为0,也就是浏览器关闭后就过期。

  1. from django.shortcuts import HttpResponse
  4. def index(request):
  5.     response = HttpResponse("ok")
  6.     response.delete_cookie("user_id")
  7.     return response

cookie和session - 图2

获取cookie

获取浏览器发送过来的cookie信息。可以通过request.COOKIES来或者。这个对象是一个字典类型。比如获取所有的cookie,那么示例代码如下:

  1. def get_cookies(request):
  2.     cookies = request.COOKIES
  3.     for key, value in cookies.items():
  4.         print(key, " ", value)
  5.     return HttpResponse("over")

操作session

django中的session默认情况下是存储在服务器的数据库中的,在表中会根据sessionid来提取指定的session数据,然后再把这个sessionid放到cookie中发送给浏览器存储,浏览器下次在向服务器发送请求的时候会自动的把所有cookie信息都发送给服务器,服务器再从cookie中获取sessionid,然后再从数据库中获取session数据。但是在操作session的时候,这些细节压根就不用管。只需要通过request.session即可操作。

首先要执行python manage.py makemigrationpython manage.py migrate创建数据库和相关的表

  1. # setting.py
  2. INSTALLED_APPS = [
  3.     'django.contrib.admin',
  4.     'django.contrib.auth',
  5.     'django.contrib.contenttypes',
  6.     'django.contrib.sessions',  # session相关
  7.     'django.contrib.messages',
  8.     'django.contrib.staticfiles',
  9. ]
  1. def index(request):
  2.    request.session.get('username')
  3.    return HttpResponse('index')

session常用的方法如下:

  1. get():用来从session中获取指定值。
  2. pop():从session中返回key对应的值,且置数据库中django_session表的session_data字段为加密后的空
  3. keys():从session中获取所有的键。
  4. items():从session中获取所有的值。
  5. clear():清除当前这个用户的session数据。且置数据库中django_session表的session_data字段为加密后的空
  6. flush():删除session并且删除在数据库中存储的session_id,一般在注销的时候用得比较多。
  7. set_expiry(value):设置过期时间。
    • 整形:代表秒数,表示多少秒后过期。
    • 0:代表只要浏览器关闭,session就会过期。
    • None:会使用全局的session配置。
      • settings.py中可以设置SESSION_COOKIE_AGE来配置全局的过期时间。
      • 如果没有设置,则默认是1209600秒,也就是2周的时间。
  8. clear_expired():清除过期的sessionDjango并不会清除过期的session,需要定期手动的清理,或者是在终端,使用命令行python manage.py clearsessions来清除过期的session
    • 实例 ```python

      views.py

def session_index(request): request.session[“user_id”] = 10086 request.session[“user_name”] = “jack” print(request.session.get(“user_id”)) print(request.session.get(“user_name”))

  1. # request.session.flush()
  2. return HttpResponse("ok")
  2.    - 运行
  3. <br />![](https://cdn.nlark.com/yuque/0/2019/png/367873/1559640430712-d258d38a-8ba1-45db-99fa-83618cdeb4cf.png#align=left&display=inline&height=435&originHeight=435&originWidth=421&size=0&status=done&width=421)
  4. <br />![](https://cdn.nlark.com/yuque/0/2019/png/367873/1559640430712-8f37616d-dd5b-4971-979e-6b8104b49e53.png#align=left&display=inline&height=94&originHeight=94&originWidth=510&size=0&status=done&width=510)
  6. <a name="257a3470"></a>
  7. ### 修改session的存储机制
  9. 默认情况下,`session`数据是存储到数据库中的。当然也可以将`session`数据存储到其他地方。可以通过设置`SESSION_ENGINE`来更改`session`的存储位置,这个可以配置为以下几种方案:
  11. 1. `django.contrib.sessions.backends.db`:使用数据库。默认就是这种方案。
  12. 2. `django.contrib.sessions.backends.file`:使用文件来存储session
  13. 3. `django.contrib.sessions.backends.cache`:使用缓存来存储session。想要将数据存储到缓存中,前提是你必须要在`settings.py`中配置好`CACHES`,并且是需要使用`Memcached`,而不能使用纯内存作为缓存。
  14. 4. `django.contrib.sessions.backends.cached_db`:在存储数据的时候,会将数据先存到缓存中,再存到数据库中。这样就可以保证万一缓存系统出现问题,session数据也不会丢失。在获取数据的时候,会先从缓存中获取,如果缓存中没有,那么就会从数据库中获取。
  15. ```python
  16. # setting.py
  18. CACHES = {
  19.     'default': {
  20.         'BACKEND': 'django.core.cache.backends.memcached.MemcachedCache',
  21.         'LOCATION': [
  22.             '127.0.0.1:11211',
  23.         ]
  24.     }
  25. }
  27. SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'
  1. # views.py
  2. from django.shortcuts import HttpResponse
  4. def session_index(request):
  5.     request.session["user_id"] = 10086
  6.     request.session["user_name"] = "jack"
  7.     print(request.session.get("user_id"))
  8.     print(request.session.get("user_name"))
  9.     return HttpResponse("ok")
  • 运行
    cookie和session - 图3
    cookie和session - 图4
    cookie和session - 图5
    1. django.contrib.sessions.backends.signed_cookies:将session信息加密后存储到浏览器的cookie中。这种方式要注意安全,建议设置SESSION_COOKIE_HTTPONLY=True,那么在浏览器中不能通过js来操作session数据,并且还需要对settings.py中的SECRET_KEY进行保密,因为一旦别人知道这个SECRET_KEY,那么就可以进行解密。另外还有就是在cookie中,存储的数据不能超过4k