有条件的请支持慕课实战正版课程,本blog仅仅是归纳总结,自用。
An HTTP cookie (also called web cookie, Internet cookie, browser cookie, or simply cookie) is a small piece of data sent from a website and stored on the user's computer by the user's web browser while the user is browsing.
一、cookie请求
应用层的http协议是无状态请求,为了方便服务器识别用户,使用cookie机制保存必要的用户信息:
带cookie的有状态请求
-
我们打开chrome的开发者工具,查看百度网页的cookies,注意这个cookies其实是存储在本地的,可以删除,数据结构类似字典dict
百度首页的cookie
-
利用cookie,我们可以把网站的用户名和密码存储起来,然后服务器收到后,提取数据,实现自动登录。但是存在安全隐患,因为把用户名和密码存储在本地,容易被窃取。于是有了session技术。
二、session
- session机制还是利用的是cookie,但是避免了用户名和密码的本地存储与网络传输。
-
这里下面的id就是指session_id,而每个web后台生成session_id的方式不同。
带cookie的有状态请求
2.1 session的生成过程
- django下session_id的生成过程:
当用户第一次登录之后,django根据用户名和密码,在数据库表中加密生成对应的session_key(就是session_id)和session_data,还有expired_date(过期时间)。 - 当我们登录网址一次后,查看下django后台的表:
django_session数据库表
- 回到浏览器,查看网页的cookie,发现已经拿到了服务器回传来的session_id:
网页cookie
- 至此,session生成结束。
2.2 利用session登陆流程
- 第二次请求时,带着session_id的cookie一起请求。
- 服务器收到session_id,进入数据库中查询,取出对应的session_data,若没过期,则解密,获得用户名,密码,其他信息后登陆。
2.3 django后台解析session机制
- 利用sessions这个模块,每次拦截request和response,做session生成与解密工作:
sessions模块
- 若注释掉它后,则无法自动登录
三、总结
-
cookie是浏览器本地的一种存储行为,存储键值对。分域名存储,不同域名的cookie不能互相访问。
-
cookie存在安全隐患,我们使用session机制。session是服务器端生成,发给用户,只有服务器端知道session对应的用户信息,存在过期时间。
网友评论