Python后台开发——Django高级与项目实战

1.1 Cookie机制

在程序中，会话跟踪是很重要的事情。理论上，一个用户的所有请求操作都应该属于同一个会话，而另一个用户的所有请求操作则应该属于另一个会话，二者不能混淆。例如，用户A在超市购买的任何商品都应该放在A的购物车内，不论是用户A什么时间购买的，这都是属于同一个会话的，不能放入用户B或用户C的购物车内，这不属于同一个会话。

而Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕，客户端与服务器端的连接就会关闭，再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。即用户A购买了一件商品放入购物车内，当再次购买商品时服务器已经无法判断该购买行为是属于用户A的会话还是用户B的会话了。要跟踪该会话，必须引入一种机制。

Cookie就是这样的一种机制。它可以弥补HTTP协议无状态的不足。在Session出现之前，基本上所有的网站都采用Cookie来跟踪会话Cookie通过在客户端记录信息确定用户身份。

1.2 什么是Cookie

• cookie是保存在用户浏览器端的键值对
• Cookie是由服务器生成，存储在浏览器中的键值对数据
• 每个域名的Cookie相互独立
• 浏览器访问域名为A的URL地址，会把A域名下的Cookie一起传递到服务器
• Cookie可以设置过期时间,默认为None,即关闭当前浏览器,Cookie立即清除.
• 保存站点的用户数据.

1.3 Cookie原理

Cookie实际上是一小段的文本信息。客户端请求服务器，如果服务器需要记录该用户状态，就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时，浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie，以此来辨认用户状态。服务器还可以根据需要修改Cookie的内容。

1.4 Cookie属性

1.4.1 属性表

1.4.2 代码实例

1.4.2.1 set_cookie

1. URL配置

re_path('set_cookie/(.+)/(.+)',views.set_cookie_handler,name='set_cookie') 

2. views配置

def set_cookie_handler(request,key,value): 
    response = HttpResponse() 
    #max_age=60\*60 表示Cookie的有效时间3600秒，即1小时 
    response.set_cookie(key,value,max_age= 60 * 60) 
    return response 

1.4.2.2 COOKIES.get

1. URL配置

re_path('get_cookie/(.+)',views.get_cookie_handler,name='get_cookie')

2. views配置

def get_cookie_handler(request,key): 
    value = request.COOKIES.get(key) 
    return HttpResponse(value)

注：在测试cookie之前，需要先对Django项目执行迁移，才可以在数据库中得到对应的操作表。

1.4.3 Cookie的删除和修改

• Cookie并不提供修改、删除操作。如果要修改某个Cookie，只需要新建一个同名的Cookie，添加到response中覆盖原来的Cookie。
• 如果要删除某个Cookie，只需要新建一个同名的Cookie，并将maxAge设置为0，并添加到response中覆原来的Cookie。注意是0而不是负数。负数代表其他的意义。
• 注意：修改、删除Cookie时，新建的Cookie除value、maxAge之外的所有属性，例如name、path、domain等，都要与原Cookie完全一样。否则，浏览器将视为两个不同的Cookie不予覆盖，导致修改、删除失败。

1.4.4 Cookie的域名

• Cookie是不可跨域名的。域名www.google.com颁发的Cookie不会被提交到域名www.baidu.com去。这是由Cookie的隐私安全机制决定的。隐私安全机制能够禁止网站非法获取其他网站的Cookie。
• 正常情况下，同一个一级域名下的两个二级域名如www.helloweenvsfei.com和images.helloweenvsfei.com也不能交互使用Cookie，因为二者的域名并不严格相同。如果想所有helloweenvsfei.com名下的二级域名都可以使用该Cookie，需要设置Cookie的domain参数，例如：

Cookie cookie = new Cookie("time","20080808"); 
// 新建Cookie cookie.setDomain(".helloweenvsfei.com");          
// 设置域名 cookie.setPath("/");                              
// 设置路径 cookie.setMaxAge(Integer.MAX_VALUE);               
// 设置有效期 response.addCookie(cookie);                       
// 输出到客户端 

• 可以修改本机C:\WINDOWS\system32\drivers\etc下的hosts文件来配置多个临时域名，然后使用setCookie.jsp程序来设置跨域名Cookie验证domain属性。
• 注意：domain参数必须以点(".")开始。另外，name相同但domain不同的两个Cookie是两个不同的Cookie。如果想要两个域名完全不同的网站共有Cookie，可以生成两个Cookie，domain属性分别为两个域名，输出到客户端。

1.4.5 Cookie的安全性

1. Cookie是存储在客户端，即浏览器的，所有具有不安全性
2. 对于敏感的数据，应该加密，或者保存在服务端

2 Session

2.1 Session机制

除了使用Cookie，Web应用程序中还经常使用Session来记录客户端状态。Session是服务器端使用的一种记录客户端状态的机制，使用上比Cookie简单一些，相应的也增加了服务器的存储压力。

2.2 什么是Session

• session是保存在服务器端的键值对。
• Session基于Cookie的。
• Session把敏感的数据以加密的方式保存在服务器。
• Session默认的过期时间是两周，如果自己设置了过期时间，这样自己设定的优先级就会高于默认的
• Session是另一种记录客户状态的机制，不同的是Cookie保存在客户端浏览器中，而Session保存在服务器上。客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话，那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档案，客户来访的时候只需要查询客户档案表就可以了。

2.3 Session原理

2.4 Session常用方法

2.5 代码实例

2.5.1 设置

1. URL配置

re_path('set_session/(.+)/(.+)',views.set_session_handler,name='set_session'), 

2. views配置

def set_session_handler(request,key,value):
    request.session[key] = value 
    #设置过期时间 
    request.session.set_expiry(60 * 60) 
    return HttpResponse('设置成功') 

2.5.2 获取

1. URL 配置

re_path('get_session/(.+)',views.get_session_handler,name='get_session'), 

2. views配置

def get_session_handler(request,key): 
    value = request.session.get(key) 
    return HttpResponse(value) 

2.5.3 删除

1. URL配置

path('flush',views.flush_session_handler,name='flush'), 

2. views配置

def flush_session_handler(request): 
    request.session.flush()

2.5.4 clear

1. URL配置

path('clear',views.clear_session_handler,name='clear'),

2. views配置

def clear_session_handler(request): 
    request.session.clear(