1.Cookie
平常我们在浏览网页的时候,在需要输入密码的地方,如果已经登陆了一次,并且时间间隔比较近的话,是不需要登陆的,为什么了?这就是Cookie的作用。
Cookie(或Cookies)指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)。
Cookie中不但可以确认用户,还能包含计算机和浏览器的信息,所以一个用户用不同的浏览器登录或者用不同的计算机登录,都会得到不同的cookie信息,
另一方面,对于在同一台计算机上使用同一浏览器的多用户群,cookie不会区分他们的身份,除非他们使用不同的用户名登录。
如果是从软件开发的角度来看Cookie就是保存在浏览器端的键值对。
如何理解Cookie?它是干啥的?
比如你开车回你家小区,之前没办卡每次都要停车,让别人检查进去,这就像登陆web服务器一样,
之后你办理卡,让它自动识别,以后你就不用之前的那样停下来验证身份了,Cookie就像你手中的那张卡,保存了你的信息,
而且系统能够识别,信息并且有效。如果那天系统不认了、或者换代了过期了啥的就像cookie不能用了一样。
Cookie是别人给你的身份证明,不过话说回来,身份证明只是它的一个方面。
下面是一个最简单的登陆验证:使用Cookie可以免去登陆的过程
def login(request): if request.method == "POST": user=request.POST.get("username") pwd =request.POST.get("password") #检验用户名密码是否正确 if user == "kebi" and pwd == "123": #登陆成功 #本来是直接跳转一个页面的,现在我们给它加上Cookie信息,在跳转的时候 rep = redirect("/index/") # rep.set_cookie("username",user) #这样直接传值太不安全,Django也提供了加盐的操作 rep.set_signed_cookie("username2",user,salt="haha",max_age=10) return rep return render(request,"login.html") def index(request): #当然在这里也可以获取信息 # user = request.COOKIES.get("username") # 这样取出来的是这个kebi:1eed7b:GrTaRGzDQ90BErbMqwupnLXOfko #怎样原样取出来了? #还要告诉他用什么盐解开 user=request.get_signed_cookie("username2",None,salt="haha") if not user: return redirect("/login/") return render(request,"index.html",{"username":user})
如果在web端设置Cookie信息,web服务器会在第一次请求的时候,将Cookie信息跟随响应一起发送到客户端的固定路径保存,
至于Cookie里面设置了什么信息就是程序开发者决定的了。
每次客户端的登陆,web服务器都会去固定的路径下去寻找Cookie,如果存在且在且满足条件那么就可以免登陆了。
下面对Cookie的一些操作加以说明:
(1)设置Cookie
rep = HttpResponse(...) rep = render(request, ...) #在web服务器处理请求的时候进行Cookie添加 rep.set_cookie(key,value,...) rep.set_signed_cookie(key,value,salt='加密盐',...)
除此之外,还有许多其它的参数:
- key, 键
- value='', 值
- max_age=None, 超时时间
- expires=None, 超时时间(IE requires expires, so set it if hasn't been already.)
- path='/', Cookie生效的路径,/ 表示根路径,特殊的:根路径的cookie可以被任何url的页面访问
- domain=None, Cookie生效的域名
- secure=False, https传输
- httponly=False 只能http协议传输,无法被JavaScript获取(不是绝对,底层抓包可以获取到也可以被覆盖)
(2)获取Cookie
request.COOKIES['key'] request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None)
- default: 默认值
- salt: 加密盐
- max_age: 后台控制过期时间
(3)删除Cookie
def logout(request): rep = redirect("/login/") rep.delete_cookie("user") # 删除用户浏览器上之前设置的usercookie值 return rep
不过Django自带的Cookie加盐的机制太过粗糙,所以一般不怎么使用,都是使用Cookie+Session联合使用。
def check_login(func): @wraps(func) def inner(request, *args, **kwargs): next_url = request.get_full_path() if request.get_signed_cookie("login", salt="SSS", default=None) == "yes": # 已经登录的用户... return func(request, *args, **kwargs) else: # 没有登录的用户,跳转刚到登录页面 return redirect("/login/?next={}".format(next_url)) return inner def login(request): if request.method == "POST": username = request.POST.get("username") passwd = request.POST.get("password") if username == "xxx" and passwd == "dashabi": next_url = request.GET.get("next") if next_url and next_url != "/logout/": response = redirect(next_url) else: response = redirect("/class_list/") response.set_signed_cookie("login", "yes", salt="SSS") return response return render(request, "login.html")