[Python知识库]django2.2-操作cookie与session

一、cookie与session简介

1. cookie

由于http协议是无状态协议，即每次浏览器发来的请求，对于服务端来说，都是一个全新的请求，无法辨别该客户端之前做过哪些操作。

于是，就有了cookie来弥补这一缺点。cookie是由服务端产生并发送给客户端，然后保存在客户端的，其表现形式为一个个的键值对。之后客户端每次发送请求时，都会将cookie附带在请求头的Cookie字段中发给服务器。服务端就可以通过这些cookie信息实现对客户端状态的识别。

举例来说，如果没有cookie，我们每次登录某个网站后，每打开一个需要登录的页面，就需要重新登陆一次，因为服务端并不知道你登陆过。而有了cookie之后，当我们第一次登录某个网站时，浏览器就会将服务端发过来的cookie保存，之后的请求带上这些cookie，服务端就可以通过cookie信息，辨别出目前的用户已经登陆。

ps：cookie是按照域名保存的，不同的域名之间无法访问对方的cookie。

2. session

因为cookie是保存在客户端的，所以很容易被骇客窃取或篡改。针对这个问题，就出现了基于cookie的session技术。和cookie类似，session通常也是键值对的形式，但保存在服务器端。

cookie保存一些不重要的数据；session则保存重要的数据，并将键（通常是一串随机字符串）发送一份到客户端保存为cookie（cookie键名通常为sessionid），作为和session对接的凭证。二者配合使用，实现了状态的保存，并提升了安全性。

ps：从第一次请求服务器开始，一直到关闭浏览器，这中间的过程被称之为会话。

二、django操作cookie

视图最终要返回一个HttpResponse及其子类的对象，而操作cookie则需要通过这些对象来进行处理，处理完之后再由视图返回。

# 以 HttpResponse 为例
obj = HttpResponse()

# 设置 cookie 
obj.set_cookie('key', valie)

# 获取 cookie
request.COOKIES.get('key')

# 删除 cookie
obj.delete_cookie('key')

# 设置有效时长为3秒
obj.set_cookie('key', valie, max_age=3)

三、django操作session

django操作session，默认会将session信息保存到数据库中，有效期为14天。

# 设置 session
request.session['key'] = value

# 获取 session
request.session.get('key')

# 删除 session
request.session.delete()
# 删除当前 session 和客户端会话 cookie
request.session.flush()

# 设置有效时长为3秒
request.session.set_expiry(3)
# 设置到规定时间后失效
request.session.set_expiry(python时间对象)
# 设置有效时长为全局会话过期策略，默认为14天
request.session.set_expiry(None)
# 设置有效时长为会话时长，浏览器关闭，session 失效
request.session.set_expire(0)

• 设置session时，django的内部操作：

  1 django自动生成一个随机字符串；

  2 将字符串和对应的数据保存到django_session表中；

  3 将随机字符串发送给客户端，保存为cookie，键名为sessionid。

• 获取session时，django的内部操作：

  1 从浏览器请求中获取sessionid对应的随机字符串；

  2 使用该字符串到django_session表中获取对应的数据；

  3 如果找到，就将数据以字典形式封装到request.session中；如果没找到，就将None以字典形式封装到request.session中。

Django中的Session配置

• 数据库Session：

  SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎（默认）
  

• 缓存Session：

  SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
  
  SESSION_CACHE_ALIAS = 'default'                            # 使用的缓存别名（默认内存缓存，也可以是memcache），此处别名依赖缓存的设置
  

• 文件Session：

  SESSION_ENGINE = 'django.contrib.sessions.backends.file'
  # 引擎
  
  SESSION_FILE_PATH = None
  # 缓存文件路径，如果为None，则使用tempfile模块获取一个临时地址tempfile.gettempdir()
  

• 缓存+数据库：

  SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'        # 引擎`
  

• 加密Cookie Session：

  SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'   # 引擎`
  

• 其他公用设置项：

  SESSION_COOKIE_NAME ＝ "sessionid"                       
  # Session的cookie保存在浏览器上时的key，即：sessionid＝随机字符串（默认）
  SESSION_COOKIE_PATH ＝ "/"                              
   # Session的cookie保存的路径（默认）
  SESSION_COOKIE_DOMAIN = None                            
   # Session的cookie保存的域名（默认）
  SESSION_COOKIE_SECURE = False                            
  # 是否Https传输cookie（默认）
  SESSION_COOKIE_HTTPONLY = True                           
  # 是否Session的cookie只支持http传输（默认）
  SESSION_COOKIE_AGE = 1209600                             
  # Session的cookie失效日期（2周）（默认）
  SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  
  # 是否关闭浏览器使得Session过期（默认）
  SESSION_SAVE_EVERY_REQUEST = False                       
  # 是否每次请求都保存Session，默认修改之后才保存（默认）