Session认证机制
-
状态保持
- 浏览器请求服务器是无状态的。
- 无状态:指一次用户请求时,浏览器、服务器无法知道之前这个用户做过什么,每次请求都是一次新的请求。
- 无状态原因:浏览器与服务器是使用Socket套接字进行通信的,服务器将请求结果返回给浏览器之后,会关闭当前的Socket连接,而且服务器也会在处理页面完毕之后销毁页面对象。
- 有时需要保持下来用户浏览的状态,比如用户是否登录过,浏览过哪些商品等
- 实现状态保持主要有两种方式:
- 在客户端存储信息使用
Cookie
- 在服务器端存储信息使用
Session
- 在客户端存储信息使用
-
Cookie
Cookie,有时也用其复数形式Cookies,指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)。Cookie最早是网景公司的前雇员Lou Montulli在1993年3月的发明。Cookie是由服务器端生成,发送给User-Agent(一般是浏览器),浏览器会将Cookie的key/value保存到某个目录下的文本文件内,下次请求同一网站时就发送该Cookie给服务器(前提是浏览器设置为启用cookie)。Cookie名称和值可以由服务器端开发自己定义,这样服务器可以知道该用户是否是合法用户以及是否需要重新登录等。服务器可以利用Cookies包含信息的任意性来筛选并经常性维护这些信息,以判断在HTTP传输中的状态。Cookies最典型记住用户名。
Cookie是存储在浏览器中的一段纯文本信息,建议不要存储敏感信息如密码,因为电脑上的浏览器可能被其它人使用。
Cookie的特点
- Cookie以键值对的格式进行信息的存储。
- Cookie基于域名安全,不同域名的Cookie是不能互相访问的,如访问itcast.cn时向浏览器中写了Cookie信息,使用同一浏览器访问baidu.com时,无法访问到itcast.cn写的Cookie信息。
- 当浏览器请求某网站时,会将浏览器存储的跟网站相关的所有Cookie信息提交给网站服务器。
- 设置Cookie:可以通过HttpResponse对象中的set_cookie方法来设置cookie。
# HttpResponse.set_cookie(cookie名, value=cookie值, max_age=cookie有效期) # max_age单位为秒,默认为None 。如果是临时cookie,可将max_age设置为None。 # 示例: def cookie(request): response = HttpResponse('ok') response.set_cookie('xlz', 'python1') # 临时cookie response.set_cookie('xlz', 'python2', max_age=3600) # 有效期一小时 return response - 读取Cookie:可以通过HttpResponse对象的COOKIES属性来读取本次请求携带的cookie值。request.COOKIES为字典类型。
def cookie(request): cookie1 = request.COOKIES.get('xlz') print(cookie1) return HttpResponse('OK') - 删除Cookie:可以通过HttpResponse对象中的delete_cookie方法来删除。
-
Session
- 启用Session,Django项目默认启用Session。可以在settings.py文件中查看
MIDDLEWARE = [ 'corsheaders.middleware.CorsMiddleware', 'django.middleware.security.SecurityMiddleware', # 启用Session 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', ] -
MIDDLEWARE = [ 'corsheaders.middleware.CorsMiddleware', 'django.middleware.security.SecurityMiddleware', # 启用Session 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', # 注册中间件 判断cookie信息 # 'users.middleware.username_cookie_middleware', -
存储方式
在settings.py文件中,可以设置session数据的存储方式,可以保存在数据库、本地缓存等
-
如果存储在数据库中,需要在项INSTALLED_APPS中安装Session应用,操作Session包括三个数据:键,值,过期时间。
存储在数据库中,如下设置可以写,也可以不写,这是默认存储方式。
INSTALLED_APPS = [ 'django.contrib.admin', 'django.contrib.auth', 'django.contrib.contenttypes', # 安装Session应用 'django.contrib.sessions', 'django.contrib.messages', 'django.contrib.staticfiles', ] - 本地缓存,存储在本机内存中,如果丢失则不能找回,比数据库的方式读写更快。
- 混合存储, 优先从本机内存中存取,如果没有则从数据库中存取。
-
Redis,在redis中保存session,需要引入第三方扩展,我们可以使用django-redis来解决。
1) 安装扩展
pip install django-redis2)配置
在settings.py文件中做如下设置
注意:如果redis的ip地址不是本地回环127.0.0.1,而是其他地址,访问Django时,可能出现Redis连接错误,如下:CACHES = { 'default': { 'BACKEND': 'django_redis.cache.RedisCache', 'LOCATION': 'redis://127.0.0.1:6379/1', 'OPTIONS': { 'CLIENT_CLASS': 'django_redis.client.DefaultClient', } } } SESSION_ENGINE = 'django.contrib.sessions.backends.cache' SESSION_CACHE_ALIAS = 'default'
Session认证机制 解决方法:
修改redis的配置文件,添加特定ip地址。
sudo vim /etc/redis/redis.conf重新启动redis服务
Session认证机制 sudo service redis-server restart
-
-
Session操作
通过HttpRequest对象的session属性进行会话的读写操作。
1) 以键值对的格式写session。
2)根据键读取值。request.session['键']=值
3)清除所有session,在存储中删除值部分。request.session.get('键',默认值)
4)清除session数据,在存储中删除session的整条数据。request.session.clear()
5)删除session中的指定键及值,在存储中只删除某个键及对应的值。request.session.flush()
6)设置session的有效期del request.session['键']request.session.set_expiry(value)- 如果value是一个整数,session将在value秒没有活动后过期。
- 如果value为0,那么用户session的Cookie将在用户的浏览器关闭时过期。
- 如果value为None,那么session有效期将采用系统默认值, 默认为两周,可以通过在settings.py中设置SESSION_COOKIE_AGE来设置全局默认值。
- 启用Session,Django项目默认启用Session。可以在settings.py文件中查看
用户登录实例
- 用户登录
class LoginView(View): """用户名登录""" def get(self, request): """ 提供登录界面 :param request: 请求对象 :return: 登录界面 """ return render(request, 'login.html') def post(self, request): """ 实现登录逻辑 :param request: 请求对象 :return: 登录结果 """ # 接受参数 username = request.POST.get('username') password = request.POST.get('password') remembered = request.POST.get('remembered') # 校验参数 # 判断参数是否齐全 if not all([username, password]): return http.HttpResponseForbidden('缺少必传参数') # 判断用户名是否是5-20个字符 if not re.match(r'^[a-zA-Z0-9_-]{5,20}$', username): return http.HttpResponseForbidden('请输入正确的用户名或手机号') # 判断密码是否是8-20个数字 if not re.match(r'^[0-9A-Za-z]{8,20}$', password): return http.HttpResponseForbidden('密码最少8位,最长20位') # 认证登录用户 user = authenticate(username=username, password=password) if user is None: return render(request, 'login.html', {'account_errmsg': '用户名或密码错误'}) # 实现状态保持 login(request, user) # 设置状态保持的周期 if remembered != 'on': # 没有记住用户:浏览器会话结束就过期 request.session.set_expiry(0) else: # 记住用户:None表示两周后过期 request.session.set_expiry(None) # 响应登录结果 return redirect(reverse('contents:index')) - 退出登录
- 退出登录:
- 回顾登录:将通过认证的用户的唯一标识信息,写入到当前session会话中
- 退出登录:正好和登录相反(清理session会话信息)
- logout()方法:
- Django用户认证系统提供了
logout()
- 封装了清理session的操作,帮助我们快速实现登出一个用户
- Django用户认证系统提供了
- logout()位置:
django.contrib.auth.__init__.py
- logout()方法使用
class LogoutView(View): """退出登录""" def get(self, request): """实现退出登录逻辑""" # 清理session logout(request) # 退出登录,重定向到登录页 response = redirect(reverse('contents:index')) # 退出登录时清除cookie中的username response.delete_cookie('username') return response
- 退出登录: