知識預覽

• COOKIE 與 SESSION
• 用戶認證　

回到頂部

COOKIE 與 SESSION

概念

cookie不屬于http協議范圍，由于http協議無法保持狀態，但實際情況，我們卻又需要“保持狀態”，因此cookie就是在這樣一個場景下誕生。

cookie的工作原理是：由服務器產生內容，瀏覽器收到請求后保存在本地；當瀏覽器再次訪問時，瀏覽器會自動帶上cookie，這樣服務器就能通過cookie的內容來判斷這個是“誰”了。

cookie雖然在一定程度上解決了“保持狀態”的需求，但是由于cookie本身最大支持4096字節，以及cookie本身保存在客戶端，可能被攔截或竊取，因此就需要有一種新的東西，它能支持更多的字節，并且他保存在服務器，有較高的安全性。這就是session。

問題來了，基于http協議的無狀態特征，服務器根本就不知道訪問者是“誰”。那么上述的cookie就起到橋接的作用。

我們可以給每個客戶端的cookie分配一個唯一的id，這樣用戶在訪問時，通過cookie，服務器就知道來的人是“誰”。然后我們再根據不同的cookie的id，在服務器上保存一段時間的私密資料，如“賬號密碼”等等。

總結而言：cookie彌補了http無狀態的不足，讓服務器知道來的人是“誰”；但是cookie以文本的形式保存在本地，自身安全性較差；所以我們就通過cookie識別不同的用戶，對應的在session里保存私密的信息以及超過4096字節的文本。

另外，上述所說的cookie和session其實是共通性的東西，不限于語言和框架

登陸應用

前幾節的介紹中我們已經有能力制作一個登陸頁面，在驗證了用戶名和密碼的正確性后跳轉到后臺的頁面。但是測試后也發現，如果繞過登陸頁面。直接輸入后臺的url地址也可以直接訪問的。這個顯然是不合理的。其實我們缺失的就是cookie和session配合的驗證。有了這個驗證過程，我們就可以實現和其他網站一樣必須登錄才能進入后臺頁面了。

? ? ? 先說一下這種認證的機制。每當我們使用一款瀏覽器訪問一個登陸頁面的時候，一旦我們通過了認證。服務器端就會發送一組隨機唯一的字符串（假設是123abc）到瀏覽器端，這個被存儲在瀏覽端的東西就叫cookie。而服務器端也會自己存儲一下用戶當前的狀態，比如login=true，username=hahaha之類的用戶信息。但是這種存儲是以字典形式存儲的，字典的唯一key就是剛才發給用戶的唯一的cookie值。那么如果在服務器端查看session信息的話，理論上就會看到如下樣子的字典

{'123abc':{'login':true,'username:hahaha'}}

因為每個cookie都是唯一的，所以我們在電腦上換個瀏覽器再登陸同一個網站也需要再次驗證。那么為什么說我們只是理論上看到這樣子的字典呢？因為處于安全性的考慮，其實對于上面那個大字典不光key值123abc是被加密的，value值{'login':true,'username:hahaha'}在服務器端也是一樣被加密的。所以我們服務器上就算打開session信息看到的也是類似與以下樣子的東西

{'123abc':dasdasdasd1231231da1231231}

知道了原理，下面就來用代碼實現。

Django實現的COOKIE

1、獲取Cookie

1 2 3 4 5 6

request.COOKIES['key'] request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None) ????#參數： ????????default: 默認值 ???????????salt: 加密鹽 ????????max_age: 后臺控制過期時間

2、設置Cookie

1 2 3 4

rep?=?HttpResponse(...) 或 rep ＝ render(request, ...) 或 rep ＝ redirect() rep.set_cookie(key,value,...) rep.set_signed_cookie(key,value,salt='加密鹽',...)

?參數：

'''def set_cookie(self, key, 鍵value='', 值max_age=None, 超長時間expires=None, 超長時間path='/', Cookie生效的路徑，瀏覽器只會把cookie回傳給帶有該路徑的頁面，這樣可以避免將cookie傳給站點中的其他的應用。/ 表示根路徑，特殊的：根路徑的cookie可以被任何url的頁面訪問domain=None, Cookie生效的域名你可用這個參數來構造一個跨站cookie。如， domain=".example.com"所構造的cookie對下面這些站點都是可讀的：www.example.com 、 www2.example.com
　　　　　　　　　　　　　　　　　　　　　　　　　和an.other.sub.domain.example.com 。如果該參數設置為 None ，cookie只能由設置它的站點讀取。secure=False, 如果設置為 True ，瀏覽器將通過HTTPS來回傳cookie。httponly=False 只能http協議傳輸，無法被JavaScript獲取（不是絕對，底層抓包可以獲取到也可以被覆蓋）): pass'''

由于cookie保存在客戶端的電腦上，所以，JavaScript和jquery也可以操作cookie。

1 2 3

<script src='/static/js/jquery.cookie.js'> </script> $.cookie("key", value,{ path:?'/'?});

3 刪除cookie

1	response.delete_cookie("cookie_key",path="/",domain=name)

?cookie存儲到客戶端
? ? ? ?優點：
? ? ? ? ? ?數據存在在客戶端，減輕服務器端的壓力，提高網站的性能。
? ? ? ?缺點：
? ? ? ? ? ?安全性不高：在客戶端機很容易被查看或破解用戶會話信息

Django實現的SESSION

1、 基本操作

1 2 3 4 5 6 7 8

1、設置Sessions值 ??????????request.session['session_name']?="admin" 2、獲取Sessions值 ??????????session_name?=?request.session["session_name"] 3、刪除Sessions值 ??????????del?request.session["session_name"] 4、檢測是否操作session值 ??????????if?"session_name"?is?request.session :

+ View Code

2、 流程解析圖

?3、 示例

views:

?View Code

template:

?View Code

4、session存儲的相關配置

（1）數據庫配置（默認）：

+ View Code

（2）緩存配置　

+ View Code

（3）文件配置

+ View Code 回到頂部

用戶認證　

auth模塊

1	from?django.contrib?import?auth

django.contrib.auth中提供了許多方法，這里主要介紹其中的三個：

1 、authenticate()???

提供了用戶認證，即驗證用戶名以及密碼是否正確,一般需要username? password兩個關鍵字參數

如果認證信息有效，會返回一個? User? 對象。authenticate()會在User 對象上設置一個屬性標識那種認證后端認證了該用戶，且該信息在后面的登錄過程中是需要的。當我們試圖登陸一個從數據庫中直接取出來不經過authenticate()的User對象會報錯的！！

1	user?=?authenticate(username='someone',password='somepassword')

2 、login(HttpRequest, user)　　

該函數接受一個HttpRequest對象，以及一個認證了的User對象

此函數使用django的session框架給某個已認證的用戶附加上session id等信息。

1 2 3 4 5 6 7 8 9 10 11 12 13

from?django.contrib.auth?import?authenticate, login ??? def?my_view(request): ??username?=?request.POST['username'] ??password?=?request.POST['password'] ??user?=?authenticate(username=username, password=password) ??if?user?is?not?None: ????login(request, user) ????# Redirect to a success page. ????... ??else: ????# Return an 'invalid login' error message. ????...

3 、logout(request) 注銷用戶　　

1 2 3 4 5

from?django.contrib.auth?import?logout ??? def?logout_view(request): ??logout(request) ??# Redirect to a success page.

該函數接受一個HttpRequest對象，無返回值。當調用該函數時，當前請求的session信息會全部清除。該用戶即使沒有登錄，使用該函數也不會報錯。

4 、user對象的?is_authenticated()

要求：

1? 用戶登陸后才能訪問某些頁面，

2? 如果用戶沒有登錄就訪問該頁面的話直接跳到登錄頁面

3? 用戶在跳轉的登陸界面中完成登陸后，自動訪問跳轉到之前訪問的地址

方法1:

1 2 3

def?my_view(request): ??if?not?request.user.is_authenticated(): ????return?redirect('%s?next=%s'?%?(settings.LOGIN_URL, request.path))

方法2:

django已經為我們設計好了一個用于此種情況的裝飾器：login_requierd()

1 2 3 4 5

from?django.contrib.auth.decorators?import?login_required ?????? @login_required def?my_view(request): ??...

若用戶沒有登錄，則會跳轉到django默認的 登錄URL '/accounts/login/ ' (這個值可以在settings文件中通過LOGIN_URL進行修改)。并傳遞? 當前訪問url的絕對路徑 (登陸成功后，會重定向到該路徑)。

User對象

User 對象屬性：username， password（必填項）password用哈希算法保存到數據庫

is_staff ： 用戶是否擁有網站的管理權限.

is_active ： 是否允許用戶登錄, 設置為``False``，可以不用刪除用戶來禁止 用戶登錄

?

2.1 、is_authenticated()

如果是真正的 User 對象，返回值恒為 True 。 用于檢查用戶是否已經通過了認證。
通過認證并不意味著用戶擁有任何權限，甚至也不檢查該用戶是否處于激活狀態，這只是表明用戶成功的通過了認證。 這個方法很重要, 在后臺用request.user.is_authenticated()判斷用戶是否已經登錄，如果true則可以向前臺展示request.user.name

2.2 、創建用戶

使用 create_user 輔助函數創建用戶:

1 2	from?django.contrib.auth.models?import?User user?=?User.objects.create_user（username='',password='',email=''）

2.3 、check_password(passwd)

1	用戶需要修改密碼的時候 首先要讓他輸入原來的密碼 ，如果給定的字符串通過了密碼檢查，返回?True

2.4 、修改密碼

使用 set_password() 來修改密碼

1 2 3

user?=?User.objects.get(username='') user.set_password(password='') user.save

2.5 、簡單示例

注冊：

+ View Code

修改密碼：

+ View Code

　　

　　

轉載于:https://www.cnblogs.com/wangmo/p/8422697.html

總結

以上是生活随笔為你收集整理的Django-认证系统的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。