Cookie、session、中间件

正文

一  cookie 机制

Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。即用户A购买了一件商品放入购物车内,当再次购买商品时服务器已经无法判断该购买行为是属于用户A的会话还是用户B的会话了。Cookie可以弥补HTTP协议无状态的不足。在Session出现之前,基本上所有的网站都采用Cookie来跟踪会话。cookie有如下特点:

  • cookie是保存在用户浏览器的已加密的键值对
  • 可以被主动清除(浏览器界面、前端、后台)
  • 可以被"伪造"
  • 处于隐私保护的目的,禁止跨域共享:即www.googole.com和www.baidu.com各自的cookie不可被共享,因为域名对应的谷歌公司和百度公司服务器是不同的。

1. 查看cookie

2. 获取cookie

request.COOKIES.get(‘key‘)
request.get_signed_cookie(key, default=RAISE_ERROR, salt=‘‘, max_age=None)
default: 默认值
salt: 加密盐
max_age: 后台控制过期时间

3. 设置cookie

rep = HttpResponse(...)
rep = render(request, ...)
#rep是Httpresponse对象

rep.set_cookie(key,value,...)
rep.set_signed_cookie(key,value,salt=‘加密盐‘, max_age=None, ...)
属  性  名 描    述
String name 该Cookie的名称。Cookie一旦创建,名称便不可更改
Object value 该Cookie的值。如果值为Unicode字符,需要为字符编码。如果值为二进制数据,则需要使用BASE64编码
int maxAge 该Cookie失效的时间,单位秒。如果为正数,则该Cookie在maxAge秒之后失效。如果为负数,该Cookie为临时Cookie,关闭浏览器即失效,浏览器也不会以任何形式保存该Cookie。如果为0,表示删除该Cookie。默认为–1
boolean secure 该Cookie是否仅被使用安全协议传输。安全协议。安全协议有HTTPS,SSL等,在网络上传输数据之前先将数据加密。默认为false。当使用https式,必须要secure设置为Y=True。
String path 该Cookie的使用路径。如果设置为“/sessionWeb/”,则只有contextPath为“/sessionWeb”的程序可以访问该Cookie。如果设置为“/”,则本域名下contextPath都可以访问该Cookie。注意最后一个字符必须为“/”
String domain 可以访问该Cookie的域名。如果设置为“.google.com”,则所有以“google.com”结尾的域名都可以访问该Cookie。注意第一个字符必须为“.”
boolean httponly 限制在浏览器控制台获取键值对,但无法对抓包工具进行限制。

4. 删除cookie

def logout(request):
    rep = redirect("/login/")
    rep.delete_cookie("user")  # 删除用户浏览器上之前设置的usercookie值
    return rep

cookie验证实例

# cookie验证
def login_required(fn):
    def inner(request):
        if request.COOKIES.get(‘set_cookie‘) == ‘111‘:
            ret = fn(request)
            # 验证成功
            return ret
        else:
            # 验证失败,获取当前点击界面,以备登录后跳转
            info = request.path_info
            return redirect(‘/mainapp/login/?next={}‘.format(info))
    return inner

def login(request):
    if request.method == ‘POST‘:
        name = request.POST.get(‘name‘)
        pwd = request.POST.get(‘pwd‘)
        next = request.GET.get(‘next‘)
        if name == ‘matt‘ and pwd == ‘123‘:
            if next:
                ret = redirect(‘%s‘%next)
            else:
                ret = redirect(‘/mainapp/author/‘)
            ret.set_cookie(‘set_cookie‘, ‘111‘)
            return ret
        else:
            return render(request, ‘login.html‘)
    return render(request, ‘login.html‘)

二  session

session存储在数据库中

Cookie虽然在一定程度上解决了“保持状态”的需求,但是由于Cookie本身最大支持4096字节,以及Cookie本身保存在客户端,可能被拦截或窃取。

session则是在request到来时,通过SessionMiddleWare中间件,在进行视图函数执行之前,做了一些操作。它在Cookie中生成了一段随机字符串作为session id(给每个客户端的Cookie分配一个唯一的id),并且将key-value随机化处理,存储到了服务器(django默认存在django_session表里)。

总结:Cookie弥补了HTTP无状态的不足,让服务器知道来的人是“谁”;但是Cookie以文本的形式保存在本地,自身安全性较差,且文本容量下;Session可对数据进行加密,能够保存超过4096字节的文本。Cookie和Session是共通的,不限于语言和框架。

1. session方法

# 获取、设置、删除Session中数据
request.session[‘k1‘]
request.session.get(‘k1‘,None)
request.session[‘k1‘] = 123
request.session.setdefault(‘k1‘,123) # 存在则不设置
del request.session[‘k1‘]

# 所有 键、值、键值对
request.session.keys()
request.session.values()
request.session.items()
request.session.iterkeys()
request.session.itervalues()
request.session.iteritems()

# 会话session的key
request.session.session_key

# 将所有Session失效日期小于当前日期的数据删除
request.session.clear_expired()

# 检查会话session的key在数据库中是否存在
request.session.exists("session_key")

# 删除当前会话的所有Session数据
request.session.delete()
  
# 删除当前的会话数据并删除会话的Cookie。
request.session.flush()
    这用于确保前面的会话数据不可以再次被用户的浏览器访问
    例如,django.contrib.auth.logout() 函数中就会调用它。

# 设置会话Session和Cookie的超时时间
request.session.set_expiry(value)
    * 如果value是个整数,session会在些秒数后失效。
    * 如果value是个datatime或timedelta,session就会在这个时间后失效。
    * 如果value是0,用户关闭浏览器session就会失效。
    * 如果value是None,session会依赖全局session失效策略。

2. session配置

查看全局配置

from django.conf import global_settings

session全局配置

1. 数据库Session
SESSION_ENGINE = ‘django.contrib.sessions.backends.db‘   # 引擎(默认)

2. 缓存Session
SESSION_ENGINE = ‘django.contrib.sessions.backends.cache‘  # 引擎
SESSION_CACHE_ALIAS = ‘default‘                            # 使用的缓存别名(默认内存缓存,也可以是memcache),此处别名依赖缓存的设置

3. 文件Session
SESSION_ENGINE = ‘django.contrib.sessions.backends.file‘    # 引擎
SESSION_FILE_PATH = None                                    # 缓存文件路径,如果为None,则使用tempfile模块获取一个临时地址tempfile.gettempdir() 

4. 缓存+数据库
SESSION_ENGINE = ‘django.contrib.sessions.backends.cached_db‘        # 引擎

5. 加密Cookie Session
SESSION_ENGINE = ‘django.contrib.sessions.backends.signed_cookies‘   # 引擎

其他公用设置项:
SESSION_COOKIE_NAME = "sessionid"                       # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认)
SESSION_COOKIE_PATH = "/"                               # Session的cookie保存的路径(默认)
SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名(默认)
SESSION_COOKIE_SECURE = False                            # 是否Https传输cookie(默认)
SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http传输(默认)
SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期(2周)(默认)
SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否关闭浏览器使得Session过期(默认)
SESSION_SAVE_EVERY_REQUEST = False                       # 是否每次请求都保存Session,默认修改之后才保存(默认)

session实例验证

# session验证
def login_required(fn):
    def inner(request):
        # if request.COOKIES.get(‘set_cookie‘) == ‘111‘:
        if request.session.get(‘set_session‘) == ‘111‘:
            ret = fn(request)
            # 验证成功
            return ret
        else:
            # 验证失败,获取当前点击界面,以备登录后跳转
            info = request.path_info
            return redirect(‘/mainapp/login/?next={}‘.format(info))
    return inner

def login(request):
    if request.method == ‘POST‘:
        name = request.POST.get(‘name‘)
        pwd = request.POST.get(‘pwd‘)
        next = request.GET.get(‘next‘)
        if name == ‘matt‘ and pwd == ‘123‘:
            request.session[‘set_session‘] = ‘111‘
            if next:
                ret = redirect(‘%s‘ % next)
            else:
                ret = redirect(‘/mainapp/author/‘)
            # ret.set_cookie(‘set_cookie‘, ‘111‘)
            return ret
        else:
            return render(request, ‘login.html‘)
    return render(request, ‘login.html‘)

@login_required
def author(request):
    obj = models.Author.objects.all()
    return render(request, ‘author.html‘, {‘obj‘: obj})

3. 补充

  • csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
  • csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。

    from django.views.decorators.csrf import csrf_exempt, csrf_protect
    from django.utils.decorators import method_decorator

三  中间件

中间件是一个用来处理Django的请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。中间件是在视图函数执行之前和执行之后都可以做一些额外的操作,它本质上就是一个自定义类,类中定义了几个方法,Django框架会在请求的特定的时间去执行这些方法。

1. 作用

  • IP限制,频繁登录限制
  • session检测
  • 缓存,客户端请求来了,中间件去缓存查看是否有数据,若有直接返回给客户端,没有再去逻辑层执行视图函数

2. 自定义中间件

中间件可以定义五个方法,分别是:(主要的是process_request和process_response)

  • process_request(self,request)
  • process_view(self, request, view_func, view_args, view_kwargs)
  • process_template_response(self,request,response)
  • process_exception(self, request, exception)
  • process_response(self, request, response)

在setting.py中注册中间件

MIDDLEWARE = [
    ...‘django.middleware.clickjacking.XFrameOptionsMiddleware‘,
    ‘app01.views.CustomizeMiddleware‘        #创建的自定义中间件类(路径 + 类名)
]

2.1 request_process(self,request)

  • 在URL解析、视图函数之前执行的。
  • 正序执行
  • 不同中间件之间传递的request都是同一个对象
  • 若返回值时Httpresponse,直接执行当前的中间件的process_response方法。

    from django.shortcuts import HttpResponse
    from django.utils.deprecation import MiddlewareMixin
    class CustomizeMiddleware(MiddlewareMixin):
        def process_request(self, request):
            allowed_ip = [‘192.168.1.1‘,]
            # 允许/禁止访问的ip地址列表,判断请求ip, 放行/阻拦
            if request.META.get(‘REMOTE_ADDR‘) not in allowed_ip:
                return HttpResponse(‘您的IP地址无权访问‘)
            else:
                return None

2.2 process_view(self, request, view_func, view_args, view_kwargs)

request是HttpRequest对象。
view_func是Django即将使用的视图函数。 (它是实际的函数对象,而不是函数的名称作为字符串。)
view_args是将传递给视图的位置参数的列表.
view_kwargs是将传递给视图的关键字参数的字典。 view_args和view_kwargs都不包含第一个视图参数(request)。
  • 在URL解析之后,视图函数之前执行。
  • 正序执行
  • 若返回值时Httpresponse,直接执行最底层中间件的process_response方法。

2.3 process_exception(self, request, exception)

request:HttpRequest对象
exception:视图函数异常产生的Exception对象。

视图中出现异常,就会被执行,默认不执行

from django.shortcuts import HttpResponse
class CustomizeMiddleware(MiddlewareMixin):

    def process_exception(self, request, exception):
        return HttpResponse(‘在处理中间件时,抛出了异常,就会走这里哦~‘)
  • 在URL解析、视图函数之后执行。
  • 倒序执行
  • 若返回值时Httpresponse,直接执行最底层中间件的process_response方法。

2.4 process_template_response(self,request,response)(很少使用)

request:HttpRequest对象
response:TemplateResponse对象(由视图函数或者中间件产生)

视图函数执行完之后,立即执行了中间件的process_template_response方法,顺序是倒序,先执行CustomizeMiddleware3的,再执行CustomizeMiddleware2的,接着执行了视图函数返回的HttpResponse对象的render方法,返回了一个新的HttpResponse对象,接着执行中间件的process_response方法。

2.5 process_response(self, request, response)

class CustomizeMiddleware(MiddlewareMixin):

    def process_response(self, request, response):
        print(‘处理一些逻辑条件等......‘)
        return response
  • 在URL解析、视图函数之后执行。
  • 倒序执行

实例:

class MD1(MiddlewareMixin):

    def process_request(self, request):
        print("MD1里面的 process_request")

    def process_response(self, request, response):
        print("MD1里面的 process_response")
        return response

    def process_view(self, request, view_func, view_args, view_kwargs):
        print("-" * 80)
        print("MD1 中的process_view")
        print(view_func, view_func.__name__)

    def process_exception(self, request, exception):
        print(exception)
        print("MD1 中的process_exception")
        return HttpResponse(str(exception))

    def process_template_response(self, request, response):
        print("MD1 中的process_template_response")
        return response

class MD2(MiddlewareMixin):
    def process_request(self, request):
        print("MD2里面的 process_request")
        pass

    def process_response(self, request, response):
        print("MD2里面的 process_response")
        return response

    def process_view(self, request, view_func, view_args, view_kwargs):
        print("-" * 80)
        print("MD2 中的process_view")
        print(view_func, view_func.__name__)

    def process_exception(self, request, exception):
        print(exception)
        print("MD2 中的process_exception")

    def process_template_response(self, request, response):
        print("MD2 中的process_template_response")
        return response

views.py中:

def index(request):
    print("app01 中的 index视图")

    def render():
        print("in index/render")
        return HttpResponse("O98K")
    rep = HttpResponse("OK")
    rep.render = render
    return rep

访问index视图,终端输出的结果:

MD2里面的 process_request
MD1里面的 process_request
--------------------------------------------------------------------------------
MD2 中的process_view
<function index at 0x000001C111B97488> index
--------------------------------------------------------------------------------
MD1 中的process_view
<function index at 0x000001C111B97488> index
app01 中的 index视图
MD1 中的process_template_response
MD2 中的process_template_response
in index/render
MD1里面的 process_response
MD2里面的 process_response

实例:

from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import redirect, HttpResponse, render
import time
# session验证
class MD1(MiddlewareMixin):
    black_list = [‘/press/‘]
    white_list = [‘/mainapp/login/‘]

    def process_request(self, request):
        info = request.path_info
        if request.session.get(‘set_session‘) == ‘111‘ or info in self.white_list:
            return None
        else:
            return redirect(‘/mainapp/login/?next={}‘.format(info))
# 10s内请求不能超过三次
class Ipcount(MiddlewareMixin):
    ip_list = {}
    def process_request(self, request):
        ip_name = request.META.get(‘REMOTA_ADDR‘)
        if ip_name in self.ip_list:
            time_list = self.ip_list[ip_name]
            time_list.append(time.time())
            if len(time_list) > 3:
                if time_list[-1] - time_list[0] < 10:
                    time_list.pop()
                    return HttpResponse(‘太频繁‘)
                else:
                    time_list.pop(0)
        else:
            self.ip_list[ip_name] = [time.time()]

3. 执行流程

4. 带有中间件Django流程

原文地址:https://www.cnblogs.com/FangYi0328/p/11746353.html

时间: 2024-11-14 12:29:26

Cookie、session、中间件的相关文章

1204 中间件以及cookie,session

目录 一 .cookie与session原理 1.cookie 操作 1.1 设置cookie set_cookie 1.2 获取cookie request.COOKIES.get('k1') 1.3 设置cookie的超时时间 max_age = num 1.4 删除cookie delete_cookie('k1') 代码 2.session 相关方法 2.1 设置session session[k]=v 2.2 获取session session.get 2.3 删除session se

Cookie Session 分页

cookie Cookie的由来 大家都知道HTTP协议是无状态的. 无状态的意思是每次请求都是独立的,它的执行情况和结果与前面的请求和之后的请求都无直接关系,它不会受前面的请求响应情况直接影响,也不会直接影响后面的请求响应情况. 一句有意思的话来描述就是人生只如初见,对服务器来说,每次的请求都是全新的. 状态可以理解为客户端和服务器在某次会话中产生的数据,那无状态的就以为这些数据不会被保留.会话中产生的数据又是我们需要保存的,也就是说要"保持状态".因此cookie就是在这样一个场景

cookie&amp;session及自定义分页

cookie&session和自定义分页 cookie由何而来? 由于HTTP协议是无状态的,即每次请求都是独立的,如:人生只如初见. 状态可以理解为客户端和服务器在某次会话中产生的数据,无状态的就是这些数据不会被保留.但在实际中,会话中产生的数据又是我们需要保存的.因此Cookie就是在这样一个场景下诞生. 什么是Cookie? Cookie具体指的是一段小信息,它是服务器发送出来存储在浏览器上的一组组键值对,下次访问服务器时浏览器会自动携带这些键值对,以便服务器提取有用信息. Cookie的

【转】学习总结--Cookie &amp; Session总结

转载地址:http://www.phperzone.cn/portal.php?aid=718&mod=view 一.状态管理1)什么是状态管理?   将浏览器与web服务器之间多次交互过程当做一个整体来处理,并且将多次交互所涉及的数据进行管理.2)状态管理技术cookie:    a,什么是cookie?   是一种客户端(浏览器)的状态管理技术.   浏览器在访问web服务器的时候,服务器会将少量的数据以set-cookie消息头的方式发送给浏览器,浏览器会将这结数据保存下来:当浏览器再次访

Cookie&amp;&amp;Session会话技术之再体验

1.转发与重定向[****]    * 重定向:重新确定请求方向        * 发送者:服务器 --> 响应(response)浏览器        * 执行者:浏览器 --> 重新请求        * 跳转        * response.sendRedirect("/day04/1.html");        * //完全等价,隐藏了HTTP协议的具体要求        * response.setStatus(302);        * response

cookie,session,sessionid

http协议是无状态的,意思是每次请求的状态不会保存.因此,产生了cookie,session之类保存会话状态的机制.1.什么是cookiecookie将信息存储在客户端浏览器中.cookie的内容主要包括:key,value,expire_time,path(路径),domain(域)浏览器发送请求是会查找对应的path,domain,把符合的cookie自动发送给服务器. 2.什么是sessionsession在服务器端生成,然后会将对应的sessionid在浏览器端使用cookie保存起来

Cookie &amp; Session &amp; CSRF

新blog地址:http://hengyunabc.github.io/cookie-and-session-and-csrf/ 在线幻灯片地址:Cookie & Session & CSRF

cookie,session,token的定义及区别

参考了很多文章总结的. 1.cookie(储存在用户本地终端上的数据) 服务器生成,发送给浏览器,浏览器保存,下次请求同一网站再发送给服务器. 2.session(会话) a.代表服务器与浏览器的一次会话过程,这个过程是连续的,也可以时断时续的. b.cookie中存放着一个sessionID.请求时会发送这个ID. c.session因为请求(request对象)而产生. d.session是一个容器,可以存放会话过程中的任何对象. e.session的创建和使用总在服务端,而浏览器从来都没得

Django9 Cookie&amp;Session

Cookie 获取Cookie request.COOKIES["key"] request.get_signed_cookie(key, default=RAISE_ERROR, salt="", max_age=None) # 参数 # default:默认值 # salt:加密盐 # max_age:后台控制过期时间 设置Cookie rep = HttpResponse(...) 或 rep = render(request, ...) rep.set_co

cookie session token 之间的区别

cookie 和session的区别 1.cookie数据存放在客户的浏览器上,session数据放在服务器上. 2.cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗 考虑到安全应当使用session. 3.session会在一定时间内保存在服务器上.当访问增多,会比较占用你服务器的性能 考虑到减轻服务器性能方面,应当使用COOKIE. 4.单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie. token 和session