知識預(yù)覽

• COOKIE 與 SESSION
• 用戶認(rèn)證　

回到頂部

COOKIE 與 SESSION

概念

cookie不屬于http協(xié)議范圍，由于http協(xié)議無法保持狀態(tài)，但實(shí)際情況，我們卻又需要“保持狀態(tài)”，因此cookie就是在這樣一個(gè)場景下誕生。

cookie的工作原理是：由服務(wù)器產(chǎn)生內(nèi)容，瀏覽器收到請求后保存在本地；當(dāng)瀏覽器再次訪問時(shí)，瀏覽器會自動帶上cookie，這樣服務(wù)器就能通過cookie的內(nèi)容來判斷這個(gè)是“誰”了。

cookie雖然在一定程度上解決了“保持狀態(tài)”的需求，但是由于cookie本身最大支持4096字節(jié)，以及cookie本身保存在客戶端，可能被攔截或竊取，因此就需要有一種新的東西，它能支持更多的字節(jié)，并且他保存在服務(wù)器，有較高的安全性。這就是session。

問題來了，基于http協(xié)議的無狀態(tài)特征，服務(wù)器根本就不知道訪問者是“誰”。那么上述的cookie就起到橋接的作用。

我們可以給每個(gè)客戶端的cookie分配一個(gè)唯一的id，這樣用戶在訪問時(shí)，通過cookie，服務(wù)器就知道來的人是“誰”。然后我們再根據(jù)不同的cookie的id，在服務(wù)器上保存一段時(shí)間的私密資料，如“賬號密碼”等等。

總結(jié)而言：cookie彌補(bǔ)了http無狀態(tài)的不足，讓服務(wù)器知道來的人是“誰”；但是cookie以文本的形式保存在本地，自身安全性較差；所以我們就通過cookie識別不同的用戶，對應(yīng)的在session里保存私密的信息以及超過4096字節(jié)的文本。

另外，上述所說的cookie和session其實(shí)是共通性的東西，不限于語言和框架

登陸應(yīng)用

前幾節(jié)的介紹中我們已經(jīng)有能力制作一個(gè)登陸頁面，在驗(yàn)證了用戶名和密碼的正確性后跳轉(zhuǎn)到后臺的頁面。但是測試后也發(fā)現(xiàn)，如果繞過登陸頁面。直接輸入后臺的url地址也可以直接訪問的。這個(gè)顯然是不合理的。其實(shí)我們?nèi)笔У木褪莄ookie和session配合的驗(yàn)證。有了這個(gè)驗(yàn)證過程，我們就可以實(shí)現(xiàn)和其他網(wǎng)站一樣必須登錄才能進(jìn)入后臺頁面了。

? ? ? 先說一下這種認(rèn)證的機(jī)制。每當(dāng)我們使用一款瀏覽器訪問一個(gè)登陸頁面的時(shí)候，一旦我們通過了認(rèn)證。服務(wù)器端就會發(fā)送一組隨機(jī)唯一的字符串（假設(shè)是123abc）到瀏覽器端，這個(gè)被存儲在瀏覽端的東西就叫cookie。而服務(wù)器端也會自己存儲一下用戶當(dāng)前的狀態(tài)，比如login=true，username=hahaha之類的用戶信息。但是這種存儲是以字典形式存儲的，字典的唯一key就是剛才發(fā)給用戶的唯一的cookie值。那么如果在服務(wù)器端查看session信息的話，理論上就會看到如下樣子的字典

{'123abc':{'login':true,'username:hahaha'}}

因?yàn)槊總€(gè)cookie都是唯一的，所以我們在電腦上換個(gè)瀏覽器再登陸同一個(gè)網(wǎng)站也需要再次驗(yàn)證。那么為什么說我們只是理論上看到這樣子的字典呢？因?yàn)樘幱诎踩缘目紤]，其實(shí)對于上面那個(gè)大字典不光key值123abc是被加密的，value值{'login':true,'username:hahaha'}在服務(wù)器端也是一樣被加密的。所以我們服務(wù)器上就算打開session信息看到的也是類似與以下樣子的東西

{'123abc':dasdasdasd1231231da1231231}

知道了原理，下面就來用代碼實(shí)現(xiàn)。

Django實(shí)現(xiàn)的COOKIE

1、獲取Cookie

1 2 3 4 5 6

request.COOKIES['key'] request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None) ????#參數(shù)： ????????default: 默認(rèn)值 ???????????salt: 加密鹽 ????????max_age: 后臺控制過期時(shí)間

2、設(shè)置Cookie

1 2 3 4

rep?=?HttpResponse(...) 或 rep ＝ render(request, ...) 或 rep ＝ redirect() rep.set_cookie(key,value,...) rep.set_signed_cookie(key,value,salt='加密鹽',...)

?參數(shù)：

'''def set_cookie(self, key, 鍵value='', 值max_age=None, 超長時(shí)間expires=None, 超長時(shí)間path='/', Cookie生效的路徑，瀏覽器只會把cookie回傳給帶有該路徑的頁面，這樣可以避免將cookie傳給站點(diǎn)中的其他的應(yīng)用。/ 表示根路徑，特殊的：根路徑的cookie可以被任何url的頁面訪問domain=None, Cookie生效的域名你可用這個(gè)參數(shù)來構(gòu)造一個(gè)跨站cookie。如， domain=".example.com"所構(gòu)造的cookie對下面這些站點(diǎn)都是可讀的：www.example.com 、 www2.example.com
　　　　　　　　　　　　　　　　　　　　　　　　　和an.other.sub.domain.example.com 。如果該參數(shù)設(shè)置為 None ，cookie只能由設(shè)置它的站點(diǎn)讀取。secure=False, 如果設(shè)置為 True ，瀏覽器將通過HTTPS來回傳cookie。httponly=False 只能http協(xié)議傳輸，無法被JavaScript獲取（不是絕對，底層抓包可以獲取到也可以被覆蓋）): pass'''

由于cookie保存在客戶端的電腦上，所以，JavaScript和jquery也可以操作cookie。

1 2 3

<script src='/static/js/jquery.cookie.js'> </script> $.cookie("key", value,{ path:?'/'?});

3 刪除cookie

1	response.delete_cookie("cookie_key",path="/",domain=name)

?cookie存儲到客戶端
? ? ? ?優(yōu)點(diǎn)：
? ? ? ? ? ?數(shù)據(jù)存在在客戶端，減輕服務(wù)器端的壓力，提高網(wǎng)站的性能。
? ? ? ?缺點(diǎn)：
? ? ? ? ? ?安全性不高：在客戶端機(jī)很容易被查看或破解用戶會話信息

Django實(shí)現(xiàn)的SESSION

1、 基本操作

1 2 3 4 5 6 7 8

1、設(shè)置Sessions值 ??????????request.session['session_name']?="admin" 2、獲取Sessions值 ??????????session_name?=?request.session["session_name"] 3、刪除Sessions值 ??????????del?request.session["session_name"] 4、檢測是否操作session值 ??????????if?"session_name"?is?request.session :

+ View Code

2、 流程解析圖

?3、 示例

views:

?View Code

template:

?View Code

4、session存儲的相關(guān)配置

（1）數(shù)據(jù)庫配置（默認(rèn)）：

+ View Code

（2）緩存配置　

+ View Code

（3）文件配置

+ View Code 回到頂部

用戶認(rèn)證　

auth模塊

1	from?django.contrib?import?auth

django.contrib.auth中提供了許多方法，這里主要介紹其中的三個(gè)：

1 、authenticate()???

提供了用戶認(rèn)證，即驗(yàn)證用戶名以及密碼是否正確,一般需要username? password兩個(gè)關(guān)鍵字參數(shù)

如果認(rèn)證信息有效，會返回一個(gè)? User? 對象。authenticate()會在User 對象上設(shè)置一個(gè)屬性標(biāo)識那種認(rèn)證后端認(rèn)證了該用戶，且該信息在后面的登錄過程中是需要的。當(dāng)我們試圖登陸一個(gè)從數(shù)據(jù)庫中直接取出來不經(jīng)過authenticate()的User對象會報(bào)錯(cuò)的！！

1	user?=?authenticate(username='someone',password='somepassword')

2 、login(HttpRequest, user)　　

該函數(shù)接受一個(gè)HttpRequest對象，以及一個(gè)認(rèn)證了的User對象

此函數(shù)使用django的session框架給某個(gè)已認(rèn)證的用戶附加上session id等信息。

1 2 3 4 5 6 7 8 9 10 11 12 13

from?django.contrib.auth?import?authenticate, login ??? def?my_view(request): ??username?=?request.POST['username'] ??password?=?request.POST['password'] ??user?=?authenticate(username=username, password=password) ??if?user?is?not?None: ????login(request, user) ????# Redirect to a success page. ????... ??else: ????# Return an 'invalid login' error message. ????...

3 、logout(request) 注銷用戶　　

1 2 3 4 5

from?django.contrib.auth?import?logout ??? def?logout_view(request): ??logout(request) ??# Redirect to a success page.

該函數(shù)接受一個(gè)HttpRequest對象，無返回值。當(dāng)調(diào)用該函數(shù)時(shí)，當(dāng)前請求的session信息會全部清除。該用戶即使沒有登錄，使用該函數(shù)也不會報(bào)錯(cuò)。

4 、user對象的?is_authenticated()

要求：

1? 用戶登陸后才能訪問某些頁面，

2? 如果用戶沒有登錄就訪問該頁面的話直接跳到登錄頁面

3? 用戶在跳轉(zhuǎn)的登陸界面中完成登陸后，自動訪問跳轉(zhuǎn)到之前訪問的地址

方法1:

1 2 3

def?my_view(request): ??if?not?request.user.is_authenticated(): ????return?redirect('%s?next=%s'?%?(settings.LOGIN_URL, request.path))

方法2:

django已經(jīng)為我們設(shè)計(jì)好了一個(gè)用于此種情況的裝飾器：login_requierd()

1 2 3 4 5

from?django.contrib.auth.decorators?import?login_required ?????? @login_required def?my_view(request): ??...

若用戶沒有登錄，則會跳轉(zhuǎn)到django默認(rèn)的 登錄URL '/accounts/login/ ' (這個(gè)值可以在settings文件中通過LOGIN_URL進(jìn)行修改)。并傳遞? 當(dāng)前訪問url的絕對路徑 (登陸成功后，會重定向到該路徑)。

User對象

User 對象屬性：username， password（必填項(xiàng)）password用哈希算法保存到數(shù)據(jù)庫

is_staff ： 用戶是否擁有網(wǎng)站的管理權(quán)限.

is_active ： 是否允許用戶登錄, 設(shè)置為``False``，可以不用刪除用戶來禁止 用戶登錄

?

2.1 、is_authenticated()

如果是真正的 User 對象，返回值恒為 True 。 用于檢查用戶是否已經(jīng)通過了認(rèn)證。
通過認(rèn)證并不意味著用戶擁有任何權(quán)限，甚至也不檢查該用戶是否處于激活狀態(tài)，這只是表明用戶成功的通過了認(rèn)證。 這個(gè)方法很重要, 在后臺用request.user.is_authenticated()判斷用戶是否已經(jīng)登錄，如果true則可以向前臺展示request.user.name

2.2 、創(chuàng)建用戶

使用 create_user 輔助函數(shù)創(chuàng)建用戶:

1 2	from?django.contrib.auth.models?import?User user?=?User.objects.create_user（username='',password='',email=''）

2.3 、check_password(passwd)

1	用戶需要修改密碼的時(shí)候 首先要讓他輸入原來的密碼 ，如果給定的字符串通過了密碼檢查，返回?True

2.4 、修改密碼

使用 set_password() 來修改密碼

1 2 3

user?=?User.objects.get(username='') user.set_password(password='') user.save

2.5 、簡單示例

注冊：

+ View Code

修改密碼：

+ View Code

　　

　　

轉(zhuǎn)載于:https://www.cnblogs.com/wangmo/p/8422697.html

總結(jié)

以上是生活随笔為你收集整理的Django-认证系统的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。