快捷導(dǎo)航

Django中Cookie搭配Session使用實(shí)踐

更新時(shí)間：2021年09月18日 11:39:11 作者：ProgramNotes

session和cookie功能差不多，同樣是用來(lái)記錄用戶信息和維持會(huì)話狀態(tài)的，但是session是依賴cookie的，本文主要介紹了Django中Cookie搭配Session使用實(shí)踐，感興趣的可以了解一下

Cookie的作用

前面我們說(shuō)道Django實(shí)戰(zhàn)006：Cookie設(shè)置及跨域問(wèn)題處理，Cookie可以在瀏覽器端保存用戶數(shù)據(jù)，當(dāng)用戶訪問(wèn)服務(wù)器時(shí)會(huì)提交Cookie給服務(wù)器，Cookie附加了當(dāng)前狀態(tài)，服務(wù)器可以通過(guò)Cookie來(lái)標(biāo)識(shí)用戶的登錄狀態(tài)，起到簡(jiǎn)單的用戶身份識(shí)別和用戶信息記錄等作用。

Cookie登錄的實(shí)現(xiàn)過(guò)程

1.用戶通過(guò)form表單提交自己的用戶名和密碼，這通常是一個(gè)POST的 HTTP請(qǐng)求。

2.服務(wù)器拿到用戶的信息開(kāi)始驗(yàn)證用戶名與密碼，如果與數(shù)據(jù)庫(kù)匹配成功我們就返回200同時(shí)設(shè)置一個(gè)Set-Cookie拋給瀏覽器，通過(guò)為‘鍵'=‘值'形式。

3.瀏覽器接收到服務(wù)器響應(yīng)返回的數(shù)據(jù)和Cookie，然后將Cookie存起來(lái)，在開(kāi)發(fā)者application中可以查看到。

4.瀏覽器再次發(fā)送請(qǐng)求時(shí)，將設(shè)置了‘鍵'=‘值'的Cookie再次拋給服務(wù)器，服務(wù)器通過(guò)Cookie的字段判斷用戶已經(jīng)登錄，則根據(jù)需求處理用戶請(qǐng)求，否則返回400提示用戶先登錄。

Cookie的安全隱患

這就是Cookie的實(shí)現(xiàn)過(guò)程，這里有個(gè)很明顯的問(wèn)題就是服務(wù)器只要識(shí)別到正確的Cookie就會(huì)處理對(duì)應(yīng)的數(shù)據(jù)，那么有心人只要想辦法截獲（很多HTTP客戶端軟件都可以發(fā)送任意的HTTP請(qǐng)求）你的Cookie就可以冒充用戶來(lái)訪問(wèn)該服務(wù)器并獲取到用戶的所有信息，這對(duì)用戶來(lái)說(shuō)會(huì)存在著極大的安全隱患。

Session的引進(jìn)

session和cookie功能差不多，同樣是用來(lái)記錄用戶信息和維持會(huì)話狀態(tài)的，但是session是依賴cookie的。session不同在于將用戶數(shù)據(jù)存儲(chǔ)在服務(wù)器端（用戶拿到session內(nèi)的具體內(nèi)容），Cookie則是將數(shù)據(jù)存儲(chǔ)在瀏覽器端，所以相對(duì)cookie來(lái)說(shuō)，session相對(duì)安全多了，我們只需要在設(shè)置Cookie時(shí)附帶上session的id，當(dāng)用戶再次訪問(wèn)服務(wù)器時(shí)將session的id拋給服務(wù)器進(jìn)行效驗(yàn)。

Session的啟用

Django中使用session很簡(jiǎn)單，Django封裝了session模塊，默認(rèn)在我們創(chuàng)建項(xiàng)目的時(shí)候就已經(jīng)啟用了，在數(shù)據(jù)庫(kù)中可以找到一個(gè)名為django_session的數(shù)據(jù)庫(kù)表，這個(gè)就是用來(lái)存放session數(shù)據(jù)的。

Session的使用

設(shè)置保存session數(shù)據(jù)，通過(guò)reques.session['鍵']='值'的方式來(lái)設(shè)置指定存儲(chǔ)的session信息，通過(guò)瀏覽器訪問(wèn)該視圖就可以將session設(shè)置的信息以base64編碼存入到django_session數(shù)據(jù)庫(kù)表中。

讀取session數(shù)據(jù)，同樣很簡(jiǎn)單通過(guò)request.session.get('鍵')來(lái)獲取對(duì)應(yīng)的值，通過(guò)該方法可以從django_session數(shù)據(jù)庫(kù)表中讀取到對(duì)應(yīng)鍵的值。

Session搭配Cookie使用

在cookie中傳入sessionid作為前端的存儲(chǔ)值，這里為了保證sessionid的唯一性，我最簡(jiǎn)單的方法是用uuid來(lái)生成隨機(jī)字符串，再在sessionid中設(shè)置session值，再給set_cookie設(shè)置個(gè)過(guò)期時(shí)間，這樣只要時(shí)間一到又會(huì)重新生成一個(gè)新的sessionid來(lái)（如果你覺(jué)得uuid4()還是會(huì)出現(xiàn)重復(fù)也可以自行定義）。

在瀏覽器端看到的就是一串隨機(jī)的字符串，當(dāng)用戶訪問(wèn)服務(wù)器時(shí)cookie會(huì)把sessionid拋給服務(wù)器，服務(wù)器驗(yàn)證sessionid對(duì)應(yīng)的值是否為django_session數(shù)據(jù)庫(kù)表中讀取到對(duì)應(yīng)鍵的值，如果是則執(zhí)行數(shù)據(jù)請(qǐng)求操作，否則返回400，告訴前端操作失敗。