閱讀目錄

　　COOKIE 與 SESSION

　　用戶認(rèn)證

?

COOKIE 與 SESSION

概念

cookie不屬于http協(xié)議范圍，由于http協(xié)議無法保持狀態(tài)，但實(shí)際情況，我們卻又需要“保持狀態(tài)”，因此cookie就是在這樣一個(gè)場景下誕生。

cookie的工作原理是：由服務(wù)器產(chǎn)生內(nèi)容，瀏覽器收到請求后保存在本地；當(dāng)瀏覽器再次訪問時(shí)，瀏覽器會自動帶上cookie，這樣服務(wù)器就能通過cookie的內(nèi)容來判斷這個(gè)是“誰”了。

cookie雖然在一定程度上解決了“保持狀態(tài)”的需求，但是由于cookie本身最大支持4096字節(jié)，以及cookie本身保存在客戶端，可能被攔截或竊取，因此就需要有一種新的東西，它能支持更多的字節(jié)，并且他保存在服務(wù)器，有較高的安全性。這就是session。

問題來了，基于http協(xié)議的無狀態(tài)特征，服務(wù)器根本就不知道訪問者是“誰”。那么上述的cookie就起到橋接的作用。

我們可以給每個(gè)客戶端的cookie分配一個(gè)唯一的id，這樣用戶在訪問時(shí)，通過cookie，服務(wù)器就知道來的人是“誰”。然后我們再根據(jù)不同的cookie的id，在服務(wù)器上保存一段時(shí)間的私密資料，如“賬號密碼”等等。

總結(jié)而言：cookie彌補(bǔ)了http無狀態(tài)的不足，讓服務(wù)器知道來的人是“誰”；但是cookie以文本的形式保存在本地，自身安全性較差；所以我們就通過cookie識別不同的用戶，對應(yīng)的在session里保存私密的信息以及超過4096字節(jié)的文本。

另外，上述所說的cookie和session其實(shí)是共通性的東西，不限于語言和框架

登陸應(yīng)用

前幾節(jié)的介紹中我們已經(jīng)有能力制作一個(gè)登陸頁面，在驗(yàn)證了用戶名和密碼的正確性后跳轉(zhuǎn)到后臺的頁面。但是測試后也發(fā)現(xiàn)，如果繞過登陸頁面。直接輸入后臺的url地址也可以直接訪問的。這個(gè)顯然是不合理的。其實(shí)我們?nèi)笔У木褪莄ookie和session配合的驗(yàn)證。有了這個(gè)驗(yàn)證過程，我們就可以實(shí)現(xiàn)和其他網(wǎng)站一樣必須登錄才能進(jìn)入后臺頁面了。

? ? ? 先說一下這種認(rèn)證的機(jī)制。每當(dāng)我們使用一款瀏覽器訪問一個(gè)登陸頁面的時(shí)候，一旦我們通過了認(rèn)證。服務(wù)器端就會發(fā)送一組隨機(jī)唯一的字符串（假設(shè)是123abc）到瀏覽器端，這個(gè)被存儲在瀏覽端的東西就叫cookie。而服務(wù)器端也會自己存儲一下用戶當(dāng)前的狀態(tài)，比如login=true，username=hahaha之類的用戶信息。但是這種存儲是以字典形式存儲的，字典的唯一key就是剛才發(fā)給用戶的唯一的cookie值。那么如果在服務(wù)器端查看session信息的話，理論上就會看到如下樣子的字典

{'123abc':{'login':true,'username:hahaha'}}

因?yàn)槊總€(gè)cookie都是唯一的，所以我們在電腦上換個(gè)瀏覽器再登陸同一個(gè)網(wǎng)站也需要再次驗(yàn)證。那么為什么說我們只是理論上看到這樣子的字典呢？因?yàn)樘幱诎踩缘目紤]，其實(shí)對于上面那個(gè)大字典不光key值123abc是被加密的，value值{'login':true,'username:hahaha'}在服務(wù)器端也是一樣被加密的。所以我們服務(wù)器上就算打開session信息看到的也是類似與以下樣子的東西

{'123abc':dasdasdasd1231231da1231231}

知道了原理，下面就來用代碼實(shí)現(xiàn)。

Django實(shí)現(xiàn)的COOKIE

1、獲取Cookie

1 2 3 4 5 6

request.COOKIES['key'] request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None) ????#參數(shù)： ????????default: 默認(rèn)值 ???????????salt: 加密鹽 ????????max_age: 后臺控制過期時(shí)間

2、設(shè)置Cookie

1 2 3 4

rep?=?HttpResponse(...) 或 rep ＝ render(request, ...) 或 rep ＝ redirect() rep.set_cookie(key,value,...) rep.set_signed_cookie(key,value,salt='加密鹽',...)

?參數(shù)：

'''def set_cookie(self, key, 鍵value='', 值max_age=None, 超長時(shí)間expires=None, 超長時(shí)間path='/', Cookie生效的路徑，瀏覽器只會把cookie回傳給帶有該路徑的頁面，這樣可以避免將cookie傳給站點(diǎn)中的其他的應(yīng)用。/ 表示根路徑，特殊的：根路徑的cookie可以被任何url的頁面訪問domain=None, Cookie生效的域名你可用這個(gè)參數(shù)來構(gòu)造一個(gè)跨站cookie。如， domain=".example.com"所構(gòu)造的cookie對下面這些站點(diǎn)都是可讀的：www.example.com 、 www2.example.com
　　　　　　　　　　　　　　　　　　　　　　　　　和an.other.sub.domain.example.com 。如果該參數(shù)設(shè)置為 None ，cookie只能由設(shè)置它的站點(diǎn)讀取。secure=False, 如果設(shè)置為 True ，瀏覽器將通過HTTPS來回傳cookie。httponly=False 只能http協(xié)議傳輸，無法被JavaScript獲取（不是絕對，底層抓包可以獲取到也可以被覆蓋）): pass'''

由于cookie保存在客戶端的電腦上，所以，JavaScript和jquery也可以操作cookie。

1 2 3

<script src='/static/js/jquery.cookie.js'> </script> $.cookie("key", value,{ path:?'/'?});

3 刪除cookie

1	response.delete_cookie("cookie_key",path="/",domain=name)

?cookie存儲到客戶端
? ? ? ?優(yōu)點(diǎn)：
? ? ? ? ? ?數(shù)據(jù)存在在客戶端，減輕服務(wù)器端的壓力，提高網(wǎng)站的性能。
? ? ? ?缺點(diǎn)：
? ? ? ? ? ?安全性不高：在客戶端機(jī)很容易被查看或破解用戶會話信息

Django實(shí)現(xiàn)的SESSION

1、 基本操作

1 2 3 4 5 6 7 8

1、設(shè)置Sessions值 ??????????request.session['session_name']?="admin" 2、獲取Sessions值 ??????????session_name?=?request.session["session_name"] 3、刪除Sessions值 ??????????del?request.session["session_name"] 4、檢測是否操作session值 ??????????if?"session_name"?is?request.session :

+ View Code

2、 流程解析圖

?3、 示例

views：

def log_in(request):if request.method=="POST":username=request.POST['user']password=request.POST['pwd']user=UserInfo.objects.filter(username=username,password=password)if user:#設(shè)置session內(nèi)部的字典內(nèi)容request.session['is_login']='true'request.session['username']=username#登錄成功就將url重定向到后臺的urlreturn redirect('/backend/')#登錄不成功或第一訪問就停留在登錄頁面return render(request,'login.html')def backend(request):print(request.session,"------cookie")print(request.COOKIES,'-------session')"""這里必須用讀取字典的get()方法把is_login的value缺省設(shè)置為False，當(dāng)用戶訪問backend這個(gè)url先嘗試獲取這個(gè)瀏覽器對應(yīng)的session中的is_login的值。如果對方登錄成功的話，在login里就已經(jīng)把is_login的值修改為了True,反之這個(gè)值就是False的"""is_login=request.session.get('is_login',False)#如果為真，就說明用戶是正常登陸的if is_login:#獲取字典的內(nèi)容并傳入頁面文件cookie_content=request.COOKIESsession_content=request.sessionusername=request.session['username']return render(request,'backend.html',locals())else:"""如果訪問的時(shí)候沒有攜帶正確的session，就直接被重定向url回login頁面"""return redirect('/login/')def log_out(request):"""直接通過request.session['is_login']回去返回的時(shí)候，如果is_login對應(yīng)的value值不存在會導(dǎo)致程序異常。所以需要做異常處理"""try:#刪除is_login對應(yīng)的value值del request.session['is_login']# OR---->request.session.flush() # 刪除django-session表中的對應(yīng)一行記錄except KeyError:pass#點(diǎn)擊注銷之后，直接重定向回登錄頁面return redirect('/login/')

template：

===================================login.html================== <!DOCTYPE html> <html lang="en"> <head><meta charset="UTF-8"><title>Title</title> </head> <body><form action="/login/" method="post"><p>用戶名: <input type="text" name="user"></p><p>密碼: <input type="password" name="pwd"></p><p><input type="submit"></p> </form></body> </html>===================================backend.html==================<!DOCTYPE html> <html lang="en"> <head><meta charset="UTF-8"><title>Title</title> </head> <body><h3>hello {{ username }}</h3> <a href="/logout/">注銷</a></body> </html>

4、session存儲的相關(guān)配置

（1）數(shù)據(jù)庫配置（默認(rèn)）：

1 2 3 4 5 6 7 8 9 10 11 12 13 14

Django默認(rèn)支持Session，并且默認(rèn)是將Session數(shù)據(jù)存儲在數(shù)據(jù)庫中，即：django_session 表中。 ?? a. 配置 settings.py ?? ????SESSION_ENGINE?=?'django.contrib.sessions.backends.db'???# 引擎（默認(rèn)） ?????? ????SESSION_COOKIE_NAME ＝?"sessionid"???????????????????????# Session的cookie保存在瀏覽器上時(shí)的key，即：sessionid＝隨機(jī)字符串（默認(rèn)） ????SESSION_COOKIE_PATH ＝?"/"???????????????????????????????# Session的cookie保存的路徑（默認(rèn)） ????SESSION_COOKIE_DOMAIN?=?None?????????????????????????????# Session的cookie保存的域名（默認(rèn)） ????SESSION_COOKIE_SECURE?=?False????????????????????????????# 是否Https傳輸cookie（默認(rèn)） ????SESSION_COOKIE_HTTPONLY?=?True???????????????????????????# 是否Session的cookie只支持http傳輸（默認(rèn)） ????SESSION_COOKIE_AGE?=?1209600?????????????????????????????# Session的cookie失效日期（2周）（默認(rèn)） ????SESSION_EXPIRE_AT_BROWSER_CLOSE?=?False??????????????????# 是否關(guān)閉瀏覽器使得Session過期（默認(rèn)） ????SESSION_SAVE_EVERY_REQUEST?=?False???????????????????????# 是否每次請求都保存Session，默認(rèn)修改之后才保存（默認(rèn)）

（2）緩存配置　

1 2 3 4 5 6 7 8 9 10 11 12 13 14

a. 配置 settings.py ?? ????SESSION_ENGINE?=?'django.contrib.sessions.backends.cache'??# 引擎 ????SESSION_CACHE_ALIAS?=?'default'????????????????????????????# 使用的緩存別名（默認(rèn)內(nèi)存緩存，也可以是memcache），此處別名依賴緩存的設(shè)置 ?? ?? ????SESSION_COOKIE_NAME ＝?"sessionid"????????????????????????# Session的cookie保存在瀏覽器上時(shí)的key，即：sessionid＝隨機(jī)字符串 ????SESSION_COOKIE_PATH ＝?"/"????????????????????????????????# Session的cookie保存的路徑 ????SESSION_COOKIE_DOMAIN?=?None??????????????????????????????# Session的cookie保存的域名 ????SESSION_COOKIE_SECURE?=?False?????????????????????????????# 是否Https傳輸cookie ????SESSION_COOKIE_HTTPONLY?=?True????????????????????????????# 是否Session的cookie只支持http傳輸 ????SESSION_COOKIE_AGE?=?1209600??????????????????????????????# Session的cookie失效日期（2周） ????SESSION_EXPIRE_AT_BROWSER_CLOSE?=?False???????????????????# 是否關(guān)閉瀏覽器使得Session過期 ????SESSION_SAVE_EVERY_REQUEST?=?False????????????????????????# 是否每次請求都保存Session，默認(rèn)修改之后才保存

（3）文件配置

1 2 3 4 5 6 7 8 9 10 11 12

a. 配置 settings.py ?? ????SESSION_ENGINE?=?'django.contrib.sessions.backends.file'????# 引擎 ????SESSION_FILE_PATH?=?None????????????????????????????????????# 緩存文件路徑，如果為None，則使用tempfile模塊獲取一個(gè)臨時(shí)地址tempfile.gettempdir()???????? ????SESSION_COOKIE_NAME ＝?"sessionid"??????????????????????????# Session的cookie保存在瀏覽器上時(shí)的key，即：sessionid＝隨機(jī)字符串 ????SESSION_COOKIE_PATH ＝?"/"??????????????????????????????????# Session的cookie保存的路徑 ????SESSION_COOKIE_DOMAIN?=?None????????????????????????????????# Session的cookie保存的域名 ????SESSION_COOKIE_SECURE?=?False???????????????????????????????# 是否Https傳輸cookie ????SESSION_COOKIE_HTTPONLY?=?True??????????????????????????????# 是否Session的cookie只支持http傳輸 ????SESSION_COOKIE_AGE?=?1209600????????????????????????????????# Session的cookie失效日期（2周） ????SESSION_EXPIRE_AT_BROWSER_CLOSE?=?False?????????????????????# 是否關(guān)閉瀏覽器使得Session過期 ????SESSION_SAVE_EVERY_REQUEST?=?False??????????????????????????# 是否每次請求都保存Session，默認(rèn)修改之后才保存

?

用戶認(rèn)證　

auth模塊

1	from?django.contrib?import?auth

django.contrib.auth中提供了許多方法，這里主要介紹其中的三個(gè)：

1 、authenticate()???

提供了用戶認(rèn)證，即驗(yàn)證用戶名以及密碼是否正確,一般需要username? password兩個(gè)關(guān)鍵字參數(shù)

如果認(rèn)證信息有效，會返回一個(gè)? User? 對象。authenticate()會在User 對象上設(shè)置一個(gè)屬性標(biāo)識那種認(rèn)證后端認(rèn)證了該用戶，且該信息在后面的登錄過程中是需要的。當(dāng)我們試圖登陸一個(gè)從數(shù)據(jù)庫中直接取出來不經(jīng)過authenticate()的User對象會報(bào)錯(cuò)的！！

1	user?=?authenticate(username='someone',password='somepassword')

2 、login(HttpRequest, user)　　

該函數(shù)接受一個(gè)HttpRequest對象，以及一個(gè)認(rèn)證了的User對象

此函數(shù)使用django的session框架給某個(gè)已認(rèn)證的用戶附加上session id等信息。

1 2 3 4 5 6 7 8 9 10 11 12 13

from?django.contrib.auth?import?authenticate, login ??? def?my_view(request): ??username?=?request.POST['username'] ??password?=?request.POST['password'] ??user?=?authenticate(username=username, password=password) ??if?user?is?not?None: ????login(request, user) ????# Redirect to a success page. ????... ??else: ????# Return an 'invalid login' error message. ????...

3 、logout(request) 注銷用戶　　

1 2 3 4 5

from?django.contrib.auth?import?logout ??? def?logout_view(request): ??logout(request) ??# Redirect to a success page.

該函數(shù)接受一個(gè)HttpRequest對象，無返回值。當(dāng)調(diào)用該函數(shù)時(shí)，當(dāng)前請求的session信息會全部清除。該用戶即使沒有登錄，使用該函數(shù)也不會報(bào)錯(cuò)。

4 、user對象的?is_authenticated()

要求：

1? 用戶登陸后才能訪問某些頁面，

2? 如果用戶沒有登錄就訪問該頁面的話直接跳到登錄頁面

3? 用戶在跳轉(zhuǎn)的登陸界面中完成登陸后，自動訪問跳轉(zhuǎn)到之前訪問的地址

方法1:

1 2 3

def?my_view(request): ??if?not?request.user.is_authenticated(): ????return?redirect('%s?next=%s'?%?(settings.LOGIN_URL, request.path))

方法2:

django已經(jīng)為我們設(shè)計(jì)好了一個(gè)用于此種情況的裝飾器：login_requierd()

1 2 3 4 5

from?django.contrib.auth.decorators?import?login_required ?????? @login_required def?my_view(request): ??...

若用戶沒有登錄，則會跳轉(zhuǎn)到django默認(rèn)的 登錄URL '/accounts/login/ ' (這個(gè)值可以在settings文件中通過LOGIN_URL進(jìn)行修改)。并傳遞? 當(dāng)前訪問url的絕對路徑 (登陸成功后，會重定向到該路徑)。

User對象

User 對象屬性：username， password（必填項(xiàng)）password用哈希算法保存到數(shù)據(jù)庫

is_staff ： 用戶是否擁有網(wǎng)站的管理權(quán)限.

is_active ： 是否允許用戶登錄, 設(shè)置為``False``，可以不用刪除用戶來禁止 用戶登錄

?

2.1 、is_authenticated()

如果是真正的 User 對象，返回值恒為 True 。 用于檢查用戶是否已經(jīng)通過了認(rèn)證。
通過認(rèn)證并不意味著用戶擁有任何權(quán)限，甚至也不檢查該用戶是否處于激活狀態(tài)，這只是表明用戶成功的通過了認(rèn)證。 這個(gè)方法很重要, 在后臺用request.user.is_authenticated()判斷用戶是否已經(jīng)登錄，如果true則可以向前臺展示request.user.name

2.2 、創(chuàng)建用戶

使用 create_user 輔助函數(shù)創(chuàng)建用戶:

1 2	from?django.contrib.auth.models?import?User user?=?User.objects.create_user（username='',password='',email=''）

2.3 、check_password(passwd)

1	用戶需要修改密碼的時(shí)候 首先要讓他輸入原來的密碼 ，如果給定的字符串通過了密碼檢查，返回?True

2.4 、修改密碼

使用 set_password() 來修改密碼

1 2 3

user?=?User.objects.get(username='') user.set_password(password='') user.save

2.5 、簡單示例

注冊：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

def?sign_up(request): ????state?=?None ????if?request.method?==?'POST': ????????password?=?request.POST.get('password', '') ????????repeat_password?=?request.POST.get('repeat_password', '') ????????email=request.POST.get('email', '') ????????username?=?request.POST.get('username', '') ????????if?User.objects.filter(username=username): ????????????????state?=?'user_exist' ????????else: ????????????????new_user?=?User.objects.create_user(username=username, password=password,email=email) ????????????????new_user.save() ????????????????return?redirect('/book/') ????content?=?{ ????????'state': state, ????????'user':?None, ????} ????return?render(request,?'sign_up.html', content)

修改密碼：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

@login_required def?set_password(request): ????user?=?request.user ????state?=?None ????if?request.method?==?'POST': ????????old_password?=?request.POST.get('old_password', '') ????????new_password?=?request.POST.get('new_password', '') ????????repeat_password?=?request.POST.get('repeat_password', '') ????????if?user.check_password(old_password): ????????????if?not?new_password: ????????????????state?=?'empty' ????????????elif?new_password !=?repeat_password: ????????????????state?=?'repeat_error' ????????????else: ????????????????user.set_password(new_password) ????????????????user.save() ????????????????return?redirect("/log_in/") ????????else: ????????????state?=?'password_error' ????content?=?{ ????????'user': user, ????????'state': state, ????} ????return?render(request,?'set_password.html', content)

轉(zhuǎn)載于:https://www.cnblogs.com/shaojiafeng/p/7761572.html

總結(jié)

以上是生活随笔為你收集整理的Django——认证系统（Day72）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。