一、cookie与session

1.1 介绍

发展史：

• 早期的网站都是没有保存用户功能的需求，所有用户访问返回的结果都是一样的，如：新闻、博客

• 后面出现了一些需要保存用户信息的网站，如：社交平台、电商平台。

  以登陆功能为例:

  ​ 如果不保存用户登陆状态，也就意味着用户每次访问网站都需要重复的输入用户名和密码，非常麻烦。

早期的解决方案：

• 当用户第一次登陆成功之后，将用户的用户名密码返回给用户浏览器，让用户浏览器保存在本地。

• 之后访问网站的时候浏览器自动将保存在浏览器上的用户名和密码发送给服务端，服务端获取之后自动验证。

  缺点：
  存在很大的安全隐患

优化：

• 当用户登陆成功之后，服务端产生一个随机字符串(在服务端保存数据,用kv键值对的形式)，交由客户端浏览器保存。

  随机字符串1 : 用户1相关信息

  随机字符串2 : 用户2相关信息

  随机字符串3 : 用户3相关信息

• 之后访问服务端的时候，都带着该随机字符串，服务端去数据库中比对是否有对应的随机字符串从而获取到对应的用户信息。

cookie

• 服务端保存在客户端浏览器上的信息都可以称之为cookie

  它的表现形式一般都是k:v键值对(可以有多个)

session

• 数据是保存在服务端的并且它的表现形式一般也是k:v键值对(可以有多个)

1.2 拓展：token

token：

• token由三部分组成，头部、荷载、签名。

  原理就是当用户认证通过之后，将头部和荷载，以及一段公司不公布的字符串，这三部分融合在一起，并进行不可逆加密，得到签名。

  客户端得到的token = 头部+荷载+签名

  当客户端携带着token再次访问时，将前两段解码然后加密，与签名进行比对，如果完全一致，且荷载内的过期时间的值在范围内，那么token校验完毕。

token的优点：

• 不需要占用服务器资源去存储session

二、 Cookie操作

虽然cookie是服务端告诉客户端浏览器需要保存内容，但是客户端浏览器可以选择拒绝保存。

如果客户端禁止保存cookie，那么只要是需要记录用户状态的网站登陆功能都无法正常使用了。如京东、淘宝等。

往期视图函数的返回值：

return HttpResponse()
return render()
return redirect()

但是，如果想从中操作cookie，那就必须利用obj对象，如：

obj1 = HttpResponse()
# 操作cookie的代码
return obj1

obj2 = render()
# 操作cookie的代码
return obj2

obj3 = redirect()
# 操作cookie的代码
return obj3

设置cookie

• 格式： set_cookie(key,value)

  #格式：
  obj.set_cookie(key,value)
  
  '''
  如：
  '''
  obj.set_cookie('username', 'liuyu')
  

  此时可以通过浏览器的F12–>应用–>cookie，查看到客户端浏览器所保存的键值对数据

  '''
  设置超时时间
  '''
  obj.set_cookie('username', 'liuyu',max_age=3,expires=3)
  
      '''
  		max_age
  		expires
              两者都是设置超时时间的，并且都是以秒为单位。
              需要注意的是，针对IE浏览器需要使用expires    
      '''
  

获取cookie

• 格式：request.COOKIES.get(key)

  request.COOKIES.get('username')
  

主动删除cookie(注销功能)

• 格式：obj.delete_cookie(‘key’)

  obj.delete_cookie('username')
  

1.2.1 小项目

需求：

​ 完成一个登陆页面，登陆成功后默认跳转到index页面。

• index和home页面只能登陆后方可访问。
• 登陆之后再去访问其他页面无需再次登陆。
• 访问home页面时，跳转到登陆界面并认证之后，需要跳转回Home页面。

# 路由层等其他代码略

def index(request):
    return HttpResponse('我就是index页面')

def home(request):
    return HttpResponse('我就是home页面')

def login(request):
    if request.method == 'POST':
        username = request.POST.get('username') 
        password = request.POST.get('password') 
        
        '''
        此处为了方便演示，用户名和密码写死了，正常应该是需要到数据库进行操作的。
        '''
        if username == 'liuyu' and password == '123':  
            return redirect('/index/')
    return  render(request,'login.html')

分析：
表面上虽然是实现了效果，可是我不登陆，直接去访问home访问index都是可以的。

改进：

• 这个时候就需要利用到cookie了，来保存用户状态。

def login_auth(func):
    def inner(request,*args,**kwargs):
        # 获取用户本来想访问的路径
        real_path = request.get_full_path()
        
        if request.COOKIES.get('username'):
            return func(request,*args,**kwargs)
        # 以url参数的方式交给login函数，随后可在登陆成功后进行跳转。
        return redirect('/login/?next=%s'%real_path)
    return inner



def login(request):
    if request.method == 'POST':
        username = request.POST.get('username')
        password = request.POST.get('password')
        if username == 'liuyu' and password == '123':
            # 获取get请求的参数，因为在post提交时，还是会携带参数的，所以仍然可以GET.get()
            real_path = request.GET.get('next')
            
            # 当直接访问Login页面时，get('next')为空。
            if real_path:
                res = redirect(real_path)
            else:
                res = redirect('/index/')
                
            res.set_cookie('username','123')
            return res
    return  render(request,'login.html')


@login_auth
def home(request):
    return HttpResponse('我是home页面，只有登陆了才能看。')

@login_auth
def index(request):
    return HttpResponse('我是index页面，只有登陆了才能看。')

三、 session操作

session数据是保存在服务端数据库的，给客户端返回的是一个随机字符串，如：“sessionid:随机字符串”。

• 在默认情况下操作session的时候需要django默认的一张django_session表，在执行数据库迁移命令的时候，django会自己创建很多表，而django_session就是其中的一张。
• django默认的session的过期时间是14天，但这是可以修改的。

设置session	
request.session['key'] = value


获取session
request.session.get('key')


设置过期时间
request.session.set_expiry()
	括号内可以放四种类型的参数
		1.整数						多少秒
		2.日期对象			   到指定日期就失效
		3.0								一旦当前浏览器窗口关闭立刻失效
		4.不写						失效时间就取决于django内部全局session默认的失效时间


        
清除session	
	request.session.delete()  # 只删服务端的 客户端的不删
	request.session.flush()  # 浏览器和服务端都清空(推荐使用)


    
session是保存在服务端的 但是session的保存位置可以有多种选择
	1.MySQL
	2.文件
	3.redis
	4.memcache
	...
	

    
django_session表中的数据条数是取决于浏览器的
	同一个计算机上(IP地址)同一个浏览器只会有一条数据生效
	(当session过期的时候可能会出现多条数据对应一个浏览器，但是该现象不会持续很久，内部会自动识别过期的数据清除 你也可以通过代码清除)
	
	主要是为了节省服务端数据库资源
  




request.session['hobby'] = 'girl'
    """
    内部发生了那些事
        1.django内部会自动帮你生成一个随机字符串
        2.django内部自动将随机字符串和对应的数据存储到django_session表中
            2.1先在内存中产生操作数据的缓存
            2.2在响应结果django中间件的时候才真正的操作数据库
        3.将产生的随机字符串返回给客户端浏览器保存
    """
    
request.session.get('hobby')
    """
    内部发送了那些事
        1.自动从浏览器请求中获取sessionid对应的随机字符串
        2.拿着该随机字符串去django_session表中查找对应的数据
        3.
            如果比对上了 则将对应的数据取出并以字典的形式封装到request.session中
            如果比对不上 则request.session.get()返回的是None
    """

四、CBV添加装饰器

from django.views import View
from django.utils.decorators import method_decorator
"""
CBV中django不建议你直接给类的方法加装饰器
无论该装饰器能都正常给你 都不建议直接加
"""

# @method_decorator(login_auth,name='get')  # 方式2(可以添加多个针对不同的方法加不同的装饰器)
# @method_decorator(login_auth,name='post')
class MyLogin(View):
    @method_decorator(login_auth)  # 方式3:它会直接作用于当前类里面的所有的方法
    def dispatch(self, request, *args, **kwargs):
        return super().dispatch(request,*args,**kwargs)
    # @method_decorator(login_auth)  # 方式1:指名道姓
    def get(self,request):
        return HttpResponse("get请求")

    def post(self,request):
        return HttpResponse('post请求')