【0】cookie、session和Token的发展史

【1】Cookie的形式

• 存储形式：k：v键值对
• 存储位置：客户端
• 缺点：不安全，信息可能会泄露

【2】session的形式

• 标识符，表示我是当前用户加密出来的数据
• 对敏感信息进行加密处理
  • 存储服务端
  • 标识符配合上你的加密串
• 把某个数据的标识符+字符串全给服务端
  • 客户端存储格式
    • session_id：返回回来的标识符+加密串

【3】Cookie方法

        【3.1】设置Cookie

obj = HttpResponse('ok')obj.set_cookie('K','V')'''
HttpResponse：django的三板斧，返回的是字符串.set_cookie('k','v')  -------------  设置cookie  k：key值   v：value值设置cookie是不只是使用django三板斧中的HttpResponse，其余两个都能使用'''

        【3.2】cookie取值

request.COOKIES.get('k')

        【3.3】设置过期时间

obj.set_cookie('k','v',expires=3)obj.set_cookie('k','v',max_age=3)'''
expires:设置超时时间，单位为秒max_age:设置超时时间，单位为秒'''

        【3.4】删除cookie

def logout(request,*args,**kwargs):obj = redirect('/home/')obj.delete_cookie('sign')return obj

【4】Session

【4.1】session注意事项

• session基于数据库表才能使用
  • 必须先迁移数据库，生层django_session表
• session只对当次登录有效
  • 主动清除浏览器中本地存在的session
  • 验签发现，没有sessionid就会生成新的session
• django_session表中的数据取决于浏览器
• 同一个计算机(IP地址)上同一个浏览器只会有一条数据生效
• 同一个计算机(IP地址)上多个浏览器会有多个数据生效
• 当session过期的时候，可能会出现多条数据对应一个浏览器
  • 但是这些数据不会持久化存储，会被定时清理掉，可以手动清除也可以代码清除
• 目的是为了节省服务器数据库资源

        【4.2】设置session

request.session['sign'] = 'user''''
sign  --------  k值user  --------  v值'''

        【4.3】session取值

sign = request.session.get('sign')

        【4.4】session设置过期时间

# 设置sessionrequest.session['key'] = 'value'# 设置过期时间request.session.set_expiry()'''
参数：1、整数：设置多少秒过期2、日期：设置到指定日期失效3、0：退出浏览器失效4、不写：失效时间取决于Django内部全局session失效的时间'''

        【4.5】清空session

def clear_session(request):request.session.delete()'''
request.session.delete(): 只删除服务端1、该方法用于删除当前用户的Session数据，但会保留Session的Key2、这意味着Session对象本身仍然存在，但其中的数据将被清空3、下次访问时，如果Session没有被重新填充，则会得到一个空的Session对象简而言之，就是使用request.session.delete()方法，会删除浏览器端的session，数据库中的数据不会被删除'''

def clear_session(request):request.session.flush()'''
request.session.flush()：服务端和客户端都删除该方法用于完全删除当前用户的Session，包括Session对象和所有相关数据下次访问时，将创建一个新的空Session对象简而言之，就是删除了浏览器端和数据库中的session '''

        【4.6】保存session

        

1. 数据库Session
SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎（默认）2. 缓存Session
SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
SESSION_CACHE_ALIAS = 'default'                            # 使用的缓存别名（默认内存缓存，也可以是memcache），此处别名依赖缓存的设置3. 文件Session
SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎
SESSION_FILE_PATH = None                                    # 缓存文件路径，如果为None，则使用tempfile模块获取一个临时地址tempfile.gettempdir() 4. 缓存+数据库
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'        # 引擎5. 加密Cookie Session
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'   # 引擎其他公用设置项：
SESSION_COOKIE_NAME ＝ "sessionid"                       # Session的cookie保存在浏览器上时的key，即：sessionid＝随机字符串（默认）
SESSION_COOKIE_PATH ＝ "/"                               # Session的cookie保存的路径（默认）
SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名（默认）
SESSION_COOKIE_SECURE = False                            # 是否Https传输cookie（默认）
SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http传输（默认）
SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期（2周）（默认）
SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否关闭浏览器使得Session过期（默认）
SESSION_SAVE_EVERY_REQUEST = False                       # 是否每次请求都保存Session，默认修改之后才保存（默认）

【5】CBV加装饰器的三种方法

from django.utils.decorators import method_decorator# 方式二：放在类视图上面 (放的装饰器函数,name指定你的视图函数里面的方法)
# @method_decorator(login_auth, name='get')
# @method_decorator(login_auth, name='post')
class UserView(View):# 方式三 ： dispactch 方法加装饰器 ： 本视图函数内所有的视图都需要走装饰器@method_decorator(login_auth)def dispatch(self, request, *args, **kwargs):# Try to dispatch to the right method; if a method doesn't exist,# defer to the error handler. Also defer to the error handler if the# request method isn't on the approved list.if request.method.lower() in self.http_method_names:handler = getattr(self, request.method.lower(), self.http_method_not_allowed)else:handler = self.http_method_not_allowedreturn handler(request, *args, **kwargs)# 方式一：加在视图函数上面# @method_decorator(login_auth)def get(self, request, *args, **kwargs):return HttpResponse("这是home页面")

         【5.1】补充

CSRF Token相关装饰器在CBV只能加到dispatch方法上

或者加在视图类上然后name参数指定为dispatch方法。

 

备注：

csrf_protect ----------无论settings.py文件中的中间件中的csrf有没有被注释掉都会报错

        1、为当前函数强制设置防跨站请求伪造功能

        2、即便settings中没有设置中间件

 

        

from django.views.decorators.csrf import csrf_exempt, csrf_protect
from django.utils.decorators import method_decoratorclass HomeView(View):@method_decorator(csrf_exempt)def dispatch(self, request, *args, **kwargs):return super(HomeView, self).dispatch(request, *args, **kwargs)def get(self, request):return render(request, "home.html")def post(self, request):print("Home View POST method...")return redirect("/index/")

 

---

csrf_exempt  ---------- settings.py文件中的中间件中的csrf没有注释掉也不会报错

        1、取消当前函数防跨站请求伪造功能

        2、即便settings中设置了全局中间件

 

        

from django.views.decorators.csrf import csrf_exempt, csrf_protect
from django.utils.decorators import method_decorator@method_decorator(csrf_exempt, name='dispatch')
class HomeView(View):def dispatch(self, request, *args, **kwargs):return super(HomeView, self).dispatch(request, *args, **kwargs)def get(self, request):return render(request, "home.html")def post(self, request):print("Home View POST method...")return redirect("/index/")