目錄

什么是cookie，cookie的應用場景及缺點

Django中如何使用cookie

Cookie使用示例

什么是session及session的工作原理

Django中如何使用會話session

Session使用示例

小結

---

HTTP協議本身是”無狀態”的，在一次請求和下一次請求之間沒有任何狀態保持，服務器無法識別來自同一用戶的連續請求。有了cookie和session，服務器就可以利用它們記錄客戶端的訪問狀態了，這樣用戶就不用在每次訪問不同頁面都需要登錄了。

什么是cookie，cookie的應用場景及缺點

cookie是一種數據存儲技術, 它是將一段文本保存在客戶端(瀏覽器或本地電腦)的一種技術，并且可以長時間的保存。當用戶首次通過客戶端訪問服務器時，web服務器會發送給客戶端的一小段信息。客戶端瀏覽器會將這段信息以cookie形式保存在本地某個目錄下的文件內。當客戶端下次再發送請求時會自動將cookie也發送到服務器端，這樣服務器端通過查驗cookie內容就知道該客戶端之前訪問過了。

cookie的常見應用場景包括:

• 判斷用戶是否已經登錄
• 記錄用戶登錄信息(比如用戶名，上次登錄時間）
• 記錄用戶搜索關鍵詞

cookie的缺點在于其并不可靠和不安全，主要原因如下:

• 瀏覽器不一定會保存服務器發來的cookie，用戶可以通過設置選擇是否禁用cookie。
• cookie是有生命周期的（通過Expire設置），如果超過周期，cookie就會被清除。
• HTTP數據通過明文發送，容易受到攻擊，因此不能在cookie中存放敏感信息（比如信用卡號，密碼等）。
• cookie以文件形式存儲在客戶端，用戶可以隨意修改的。

Django中如何使用cookie

第一步：提供響應數據時設置cookie(保存到客戶端)

response.set_cookie(cookie_name, value, max_age = None, expires = None) # key : cookie的名稱
# value : 保存的cookie的值
# max_age: 保存的時間，以秒為單位
# expires: 過期時間，為datetime對象或時間字符串

例子:?response.set_cookie('username','John',600)

注意：Django的視圖默認返回的response是不包含cookie的，需手動調用set_cookie方法。

下面是3個設置cookie的例子:

# 例子1:不使用模板
response = HttpResponse("hello world")
response.set_cookie(key,value,max_age)
return response# 例子2: 使用模板
response = render(request,'xxx.html', context)
response.set_cookie(key,value,max_age)
return response# 例子3: 重定向
response = HttpResponseRedirect('/login/')
response.set_cookie(key,value,max_age)
return response

第二步： 獲取COOKIES中的數據, 進行處理驗證

# 方法一
request.COOKIES['username']# 方法二
request.COOKIES.get('username','')

客戶端再次發送請求時，request會攜帶本地存儲的cookie信息，視圖中你可以通過request.COOKIES獲取。

為了防止獲取不能存在的Key報錯，你可以通過如下方式檢查一個cookie是否已存在。

request.COOKIES.has_key('cookie_name')

如果你希望刪除某個cookie，你可以使用如下方法：

response.delete_cookie('username')

Cookie使用示例

下面是django中使用cookie驗證用戶是否已登錄的一個示例。用戶首次登錄時設置cookie，再次請求時驗證請求攜帶的cookie。

# 如果登錄成功，設置cookie
def login(request):if request.method == 'POST':form = LoginForm(request.POST)if form.is_valid():username = form.cleaned_data['username']password = form.cleaned_data['password']user = User.objects.filter(username__exact=username, password__exact=password)if user:response = HttpResponseRedirect('/index/')# 將username寫入瀏覽器cookie,有效時間為360秒response.set_cookie('username', username, 360)return responseelse:return HttpResponseRedirect('/login/')else:form = LoginForm()return render(request, 'users/login.html', {'form': form})# 通過cookie判斷用戶是否已登錄
def index(request):# 讀取客戶端請求攜帶的cookie，如果不為空，表示為已登錄帳號username = request.COOKIES.get('username', '')if not username:return HttpResponseRedirect('/login/')return render(request, 'index.html', {'username': username})

什么是session及session的工作原理

session又名會話，其功能與應用場景與cookie類似，用來存儲少量的數據或信息。但由于數據存儲在服務器上，而不是客戶端上，所以比cookie更安全。不過當用戶量非常大時，所有的會話信息都存儲于服務器會對服務器造成一定的壓力。

Django中如何使用會話session

第一步：檢查基本設置

Django中使用session首選需要確保settings.py中已開啟了SessionMiddleware中間件。

'django.contrib.sessions.middleware.SessionMiddleware',

Django默認使用數據庫存儲每個session的sessionid, 所以你還需確保INSTALLED_APPS?是包含如下app：

'django.contrib.sessions',

當然你還可以使用更快的文件或緩存來存儲會話信息，可以通過SESSION_ENGINE設置就行。

第二步：使用session

request.session是一個字典，你可以在視圖和模板中直接使用它。

# 設置session的值
request.session['key'] = value
request.session.set_expiry(time): 設置過期時間，0表示瀏覽器關閉則失效# 獲取session的值
request.session.get('key'，None)# 刪除session的值, 如果key不存在會報錯
del request.session['key']# 判斷一個key是否在session里
'fav_color' in request.session# 獲取所有session的key和value
request.session.keys()
request.session.values()
request.session.items()

另外，settings.py?還有兩項有關session比較重要的設置： 1、SESSION_COOKIE_AGE：以秒為單位，session的有效時間，可以通過set_expiry?方法覆蓋。 2、SESSION_EXPIRE_AT_BROWSER_CLOSE：默認為Flase，是否設置為瀏覽器關閉，會話自動失效。

Session使用示例

下面是django中使用session進行用戶登錄和登出的一個示例。用戶首次登錄時設置session，退出登錄時刪除session。

# 如果登錄成功，設置session
def login(request):if request.method == 'POST':form = LoginForm(request.POST)if form.is_valid():username = form.cleaned_data['username']password = form.cleaned_data['password']user = User.objects.filter(username__exact=username, password__exact=password)if user:# 將username寫入session，存入服務器request.session['username'] = usernamereturn HttpResponseRedirect('/index/')else:return HttpResponseRedirect('/login/')else:form = LoginForm()return render(request, 'users/login.html', {'form': form})# 通過session判斷用戶是否已登錄
def index(request):# 獲取session中usernameusername = request.session.get('username', '')if not username:return HttpResponseRedirect('/login/')return render(request, 'index.html', {'username': username})# 退出登錄
def logout(request):try:del request.session['username']except KeyError:passreturn HttpResponse("You're logged out.")

下面是通過session控制不讓用戶連續評論兩次的例子。實際應用中我們還可以通過session來控制用戶登錄時間，記錄訪問歷史，記錄購物車信息等等。

from django.http import HttpResponsedef post_comment(request, new_comment):if request.session.get('has_commented', False):return HttpResponse("You've already commented.")c = comments.Comment(comment=new_comment)c.save()request.session['has_commented'] = Truereturn HttpResponse('Thanks for your comment!')

小結

cookie和session都是一種存儲少量數據的技術，用來記錄客戶端的訪問狀態，區別在于一個存儲在客戶端，一個存儲在服務器端。Django中使用cookie和session都非常方便，都是基于先設置再獲取的原則，可以靈活地用于各個場景。