Django Session和Cookie分别实现记住用户登录状态操作


Posted in Python onJuly 02, 2020

简介

由于http协议的请求是无状态的。故为了让用户在浏览器中再次访问该服务端时,他的登录状态能够保留(也可翻译为该用户访问这个服务端其他网页时不需再重复进行用户认证)。我们可以采用Cookie或Session这两种方式来让浏览器记住用户。

Cookie与Session说明与实现

Cookie

说明

Cookie是一段小信息(数据格式一般是类似key-value的键值对),由服务器生成,并发送给浏览器让浏览器保存(保存时间由服务端定夺)。当浏览器下次访问该服务端时,会将它保存的Cookie再发给服务器,从而让服务器根据Cookie知道是哪个浏览器或用户在访问它。(由于浏览器遵从的协议,它不会把该服务器的Cookie发送给另一个不同host的服务器)。

Django中实现Cookie

from django.shortcuts import render, redirect

# 设置cookie
"""
key: cookie的名字
value: cookie对应的值
max_age: cookie过期的时间
"""
response.set_cookie(key, value, max_age)
# 为了安全,有时候我们会调用下面的函数来给cookie加盐
response.set_signed_cookie(key,value,salt='加密盐',...)

# 获取cookie 
request.COOKIES.get(key)
request.get_signed_cookie(key, salt="加密盐", default=None)

# 删除cookie
reponse.delete_cookie(key)

下面就是具体的代码实现了

views.py

# 编写装饰器检查用户是否登录
def check_login(func):
 def inner(request, *args, **kwargs):
 next_url = request.get_full_path()
 # 假设设置的cookie的key为login,value为yes
 if request.get_signed_cookie("login", salt="SSS", default=None) == 'yes':
  # 已经登录的用户,则放行
  return func(request, *args, **kwargs)
 else:
  # 没有登录的用户,跳转到登录页面
  return redirect(f"/login?next={next_url}")
 return inner

# 编写用户登录页面的控制函数
@csrf_exempt
def login(request):
 if request.method == "POST":
 username = request.POST.get("username")
 passwd = request.POST.get("password")
 next_url = request.POST.get("next_url")

 # 对用户进行验证,假设用户名为:aaa, 密码为123
 if username === 'aaa' and passwd == '123':
  # 执行其他逻辑操作,例如保存用户信息到数据库等
  # print(f'next_url={next_url}')
  # 登录成功后跳转,否则直接回到主页面
  if next_url and next_url != "/logout/":
  response = redirect(next_url)
  else:
  response = redirect("/index/")
  # 若登录成功,则设置cookie,加盐值可自己定义取,这里定义12小时后cookie过期
  response.set_signed_cookie("login", 'yes', salt="SSS", max_age=60*60*12)
  return response
 else:
  # 登录失败,则返回失败提示到登录页面
  error_msg = '登录验证失败,请重新尝试'
  return render(request, "app/login.html", {
  'login_error_msg': error_msg,
  'next_url': next_url,
  })
 # 用户刚进入登录页面时,获取到跳转链接,并保存
 next_url = request.GET.get("next", '')
 return render(request, "app/login.html", {
 'next_url': next_url
 })

# 登出页面
def logout(request):
 rep = redirect("/login/")
 # 删除用户浏览器上之前设置的cookie
 rep.delete_cookie('login')
 return rep

# 给主页添加登录权限认证
@check_login
def index(request):
 return render(request, "app/index.html")

由上面看出,其实就是在第一次用户登录成功时,设置cookie,用户访问其他页面时进行cookie验证,用户登出时删除cookie。另外附上前端的login.html部分代码

<form action="{% url 'login' %}" method="post">
  <h1>请使xx账户登录</h1>
  <div>
  <input id="user" type="text" class="form-control" name="username" placeholder="账户" required="" />
  </div>
  <div>
  <input id="pwd" type="password" class="form-control" name="password" placeholder="密码" required="" />
  </div>
  <div style="display: none;">
   <input id="next" type="text" name="next_url" value="{{ next_url }}" />
  </div>
  {% if login_error_msg %}
   <div id="error-msg">
   <span style="color: rgba(255,53,49,0.8); font-family: cursive;">{{ login_error_msg }}</span>
   </div>
  {% endif %}
  <div>
   <button type="submit" class="btn btn-default" style="float: initial; margin-left: 0px">登录</button>
  </div>
  </form>

Session

Session说明

Session则是为了保证用户信息的安全,将这些信息保存到服务端进行验证的一种方式。但它却依赖于cookie。具体的过程是:服务端给每个客户端(即浏览器)设置一个cookie(从上面的cookie我们知道,cookie是一种”key, value“形式的数据,这个cookie的value是服务端随机生成的一段但唯一的值)。

当客户端下次访问该服务端时,它将cookie传递给服务端,服务端得到cookie,根据该cookie的value去服务端的Session数据库中找到该value对应的用户信息。(Django中在应用的setting.py中配置Session数据库)。

根据以上描述,我们知道Session把用户的敏感信息都保存到了服务端数据库中,这样具有较高的安全性。

Django中Session的实现

# 设置session数据, key是字符串,value可以是任何值
request.session[key] = value
# 获取 session
request.session.get[key]
# 删除 session中的某个数据
del request.session[key]
# 清空session中的所有数据
request.session.delete()

下面就是具体的代码实现了:

首先就是设置保存session的数据库了。这个在setting.py中配置:(注意我这里数据库用的mongodb,并使用了django_mongoengine库;关于这个配置请根据自己使用的数据库进行选择,具体配置可参考官方教程)

SESSION_ENGINE = 'django_mongoengine.sessions'

SESSION_SERIALIZER = 'django_mongoengine.sessions.BSONSerializer'

views.py

# 编写装饰器检查用户是否登录
def check_login(func):
 def inner(request, *args, **kwargs):
 next_url = request.get_full_path()
 # 获取session判断用户是否已登录
 if request.session.get('is_login'):
  # 已经登录的用户...
  return func(request, *args, **kwargs)
 else:
  # 没有登录的用户,跳转刚到登录页面
  return redirect(f"/login?next={next_url}")
 return inner

@csrf_exempt
def login(request):
 if request.method == "POST":
 username = request.POST.get("username")
 passwd = request.POST.get("password")
 next_url = request.POST.get("next_url")
 # 若是有记住密码功能
 # remember_sign = request.POST.get("check_remember")
 # print(remember_sign)

 # 对用户进行验证
 if username == 'aaa' and passwd == '123':
  # 进行逻辑处理,比如保存用户与密码到数据库

  # 若要使用记住密码功能,可保存用户名、密码到session
  # request.session['user_info'] = {
  # 'username': username,
  # 'password': passwd
  # }
  request.session['is_login'] = True
  # 判断是否勾选了记住密码的复选框
  # if remember_sign == 'on':
  # request.session['is_remember'] = True
  # else:
  # request.session['is_remember'] = False

  # print(f'next_url={next_url}')
  if next_url and next_url != "/logout/":
  response = redirect(next_url)
  else:
  response = redirect("/index/")
  return response
 else:
  error_msg = '登录验证失败,请重新尝试'
  return render(request, "app/login.html", {
  'login_error_msg': error_msg,
  'next_url': next_url,
  })
 next_url = request.GET.get("next", '')
 # 检查是否勾选了记住密码功能
 # password, check_value = '', ''
 # user_session = request.session.get('user_info', {})
 # username = user_session.get('username', '')
 # print(user_session)
 #if request.session.get('is_remember'):
 # password = user_session.get('password', '')
 # check_value = 'checked'
 # print(username, password)
 return render(request, "app/login.html", {
 'next_url': next_url,
 # 'user': username,
 # 'password': password,
 # 'check_value': check_value
 })

def logout(request):
 rep = redirect("/login/")
 # request.session.delete()
 # 登出,则删除掉session中的某条数据
 if 'is_login' in request.session:
 del request.session['is_login']
 return rep

@check_login
def index(request):
 return render(request, "autotest/index.html")

另附login.html部分代码:

<form action="{% url 'login' %}" method="post">
  <h1>请使xxx账户登录</h1>
  <div>
  <input id="user" type="text" class="form-control" name="username" placeholder="用户" required="" value="{{ user }}" />
  </div>
  <div>
  <input id="pwd" type="password" class="form-control" name="password" placeholder="密码" required="" value="{{ password }}" />
  </div>
  <div style="display: none;">
   <input id="next" type="text" name="next_url" value="{{ next_url }}" />
  </div>
  {% if login_error_msg %}
   <div id="error-msg">
   <span style="color: rgba(255,53,49,0.8); font-family: cursive;">{{ login_error_msg }}</span>
   </div>
  {% endif %}
  // 若设置了记住密码功能
  // <div style="float: left">
  // <input id="rmb-me" type="checkbox" name="check_remember" {{ check_value }}/>记住密码
  // </div>
  <div>
   <button type="submit" class="btn btn-default" style="float: initial; margin-right: 60px">登录</button>
  </div>
  </form>

总的来看,session也是利用了cookie,通过cookie生成的value的唯一性,从而在后端数据库session表中找到这value对应的数据。session的用法可以保存更多的用户信息,并使这些信息不易被暴露。

总结

session和cookie都能实现记住用户登录状态的功能,如果为了安全起见,还是使用session更合适

以上这篇Django Session和Cookie分别实现记住用户登录状态操作就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持三水点靠木。

Python 相关文章推荐
Python实现统计英文单词个数及字符串分割代码
May 28 Python
python中yaml配置文件模块的使用详解
Apr 27 Python
python利用requests库进行接口测试的方法详解
Jul 06 Python
详解利用python+opencv识别图片中的圆形(霍夫变换)
Jul 01 Python
python重要函数eval多种用法解析
Jan 14 Python
使用keras框架cnn+ctc_loss识别不定长字符图片操作
Jun 29 Python
基于python实现简单C/S模式代码实例
Sep 14 Python
Python 测试框架unittest和pytest的优劣
Sep 26 Python
利用Python实现学生信息管理系统的完整实例
Dec 30 Python
python 实现mysql自动增删分区的方法
Apr 01 Python
有趣的二维码:使用MyQR和qrcode来制作二维码
May 10 Python
Python 可迭代对象 iterable的具体使用
Aug 07 Python
django 装饰器 检测登录状态操作
Jul 02 #Python
详解用Python爬虫获取百度企业信用中企业基本信息
Jul 02 #Python
django 实现后台从富文本提取纯文本
Jul 02 #Python
详解用Python调用百度地图正/逆地理编码API
Jul 02 #Python
基于django2.2连oracle11g解决版本冲突的问题
Jul 02 #Python
解决django migrate报错ORA-02000: missing ALWAYS keyword
Jul 02 #Python
使用PyWeChatSpy自动回复微信拍一拍功能的实现代码
Jul 02 #Python
You might like
php foreach 使用&amp;(与运算符)引用赋值要注意的问题
2010/02/16 PHP
php 获取本地IP代码
2013/06/23 PHP
php实现图片局部打马赛克的方法
2015/02/11 PHP
php将日期格式转换成xx天前的格式
2015/04/16 PHP
php让json_encode不自动转义斜杠“/”的方法
2020/04/27 PHP
做网页的一些技巧(续)
2007/02/01 Javascript
javascript实现的listview效果
2007/04/28 Javascript
jQuery 隔行换色 支持键盘上下键,按Enter选定值
2009/08/02 Javascript
javascript 简单抽屉效果的实现代码
2010/03/09 Javascript
在JavaScript中处理时间之getHours()方法的使用
2015/06/10 Javascript
JS正则表达式验证账号、手机号、电话和邮箱是否合法
2017/03/08 Javascript
20行JS代码实现网页刮刮乐效果
2017/06/23 Javascript
vue router仿天猫底部导航栏功能
2017/10/18 Javascript
nodejs结合socket.io实现websocket通信功能的方法
2018/01/12 NodeJs
微信小程序与公众号卡券/会员打通的问题
2019/07/25 Javascript
利用d3.js实现蜂巢图表带动画效果
2019/09/03 Javascript
Javascript模拟实现new原理解析
2020/03/03 Javascript
[14:25]教你分分钟做大人:主宰(HEROS)
2014/12/08 DOTA
[00:58]2016年国际邀请赛勇士令状宣传片
2016/06/01 DOTA
用Python实现web端用户登录和注册功能的教程
2015/04/30 Python
简单实现python爬虫功能
2015/12/31 Python
Python爬虫通过替换http request header来欺骗浏览器实现登录功能
2018/01/07 Python
Python制作exe文件简单流程
2019/01/24 Python
python程序变成软件的实操方法
2019/06/24 Python
解决pandas展示数据输出时列名不能对齐的问题
2019/11/18 Python
canvas简易绘图的实现(海绵宝宝篇)
2018/07/04 HTML / CSS
迪梵英国官方网站:Darphin英国
2017/12/06 全球购物
教师自我评价范例
2013/09/24 职场文书
个人简历自我评价
2014/01/06 职场文书
可贵的沉默教学反思
2014/02/06 职场文书
离婚协议书格式
2014/11/21 职场文书
商标侵权律师函
2015/05/27 职场文书
生日宴会祝酒词
2015/08/10 职场文书
mysql优化
2021/04/06 MySQL
Python机器学习之PCA降维算法详解
2021/05/19 Python
浅谈Redis主从复制以及主从复制原理
2021/05/29 Redis