美文网首页
Cookies和session(4)

Cookies和session(4)

作者: 马梦里 | 来源:发表于2017-12-19 12:39 被阅读0次

    flask session 的实现是在客户端

    一、session和cookie

    cookie 是在服务器响应的时候设置,将 Set-Cookie 这个字段存储在响应头部字段中,键和值为自己设定。那么下次服务器请求的时候,在请求头部多了一个字段 Cookie,值和 Set-Cookie 的键和值一样;
    session:服务器产生随机字符串与用户对应,然后将随机字符串返回给浏览器,服务器通过这个随机字符串辨别用户。session 基于 cookie原理就是将随机字符串与用户建立对应关系
    sessionid是一个会话的key,浏览器第一次访问服务器会在服务器端生成一个session,有一个sessionid和它对应。浏览器和服务器传递的是 sessionid;

    登陆成功的 HTTP 响应

    HTTP/1.x 210 VERY OK
    Content-Type: text/html
    Set-Cookie: user=gua; id=3
    请求成功后,服务器会返回一个cookie,浏览器看到后会把它存起来
    以后每次向服务器发送请求,都会带上这个数据
    <html>...</html>
    

    再次刷新登陆页面的 HTTP 请求

    GET /login HTTP/1.1
    Host: localhost:3000
    Connection: keep-alive
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Cookie: user=gua; id=3
    




    session虽然掩盖掉了明文信息(相对于 cookies),但是别人还是可以偷取你的随机字符串伪造你,这时候就需要更高级别的加密方式了:https(通过 sslhttp 加密),对所有的请求信息都会加密。
    session

    给定一个随机子字符串,生成5个随机数(数字在随机字符串长度范围内),生成随机字符串。
    import random
    def random_str():
        seed = 'adnvcidhfvuidfneneui'
        for i in range(1, 5):
            random_index = random.randint(0, len(seed)-1)
            s += seed[random_index]
        return s
    
    // 对应起来
    session_id = random_str()
    headers['Set-Cookie'] = 'session_id={}'.format(session_id)
    session[session_id] = u.username
    
    session = {}
    // 通过cookie获得当前的用户
    def current_user():
        session_id = request.cookies.get('session_id', None)
        username = session.get('session_id', '游客')
        return username
    

    请求中的cookie储存Cookie中,上面的获取是经过处理的:

    Cookie.png

    对应关系:

    图片.png

    这只是一个比较简单的设置 session 的方式,虽然储存于服务器中session 字典,但是如果服务器崩溃或者重启之后,所有的 cookie 都会消失;另一种方式是创建一个数据库,将 cookie 储存在数据库(内存)中,这就需要 ·session持久化 。
    session持久化
    保存到数据库:新建一个Session数据模型,用来存储cookie和用户的对应关系;

    class Session(Model):
        def __init__(self, form):
            super().__init__(form)
            self.session_id = form.get('session_id', '')
            self.username = form.get('username', '')
    
                form = dict(
                    session_id=session_id,
                    user_id=u.id,
                )
                s = Session.new(form)
                s.save()
                headers['Set-Cookie'] = 'session_id={}'.format(
                    session_id
                )
    
    def current_user(request):
        session_id = request.cookies.get('session_id')
        if session_id is not None:
            s = Session.find_by(session_id=session_id)
            if s is not None:
                if not s.expired():
                    user_id = s.user_id
                    u = User.find_by(id=user_id)
                    return u
        else:
            return User.guest()
    

    逻辑
    这里不仅将session数据存储在数据库,还多加了一层逻辑关系。通过头中的键 session_id 拿到值 session_id(随机字符串),再通过这个随机字符串拿到 Session 的实例,再通过这个实例拿到 user_id,再通过这个 user_id 拿到用户实例;
    对称加密:服务器将 cookie 加密后给客户端,客户端请求时再加密后给服务器;

    小知识点:

    1. range(),有三个参数,起点,终点,步长;不包括终点;
    2. random.randient():两个参数,起点和终点,产生一个随机数;
    3. 字典的简单书写方式:
      d = dict( a = 1, b = 2, c = 3 ) // 这样写,键不用写双引号
      字典的取值方式:
      for key in d: 得到的是键,等同于:for key in d.keys()
      for key in d.values():得到的是值的列表
      for key, value in d.items():得到的是键值对
      for ele in d.items():得到的是键值的元祖
      d.update(c):将字典c的元素添加进字典d
      d.has_key(key):用来判断字典中是否存在某个键 无效了
    4. enumerate()函数
    list = [a, b, c]
    for num, ele in enumerate(list):
        print num, ele
    

    输出:

    1, a
    2, b
    3, c
    



    客户端和服务端实现 session

    • session 持久化
      • 保存到文件
      • 对称加密

    客户端实现 session 的方式就是将需要存在 cookie 里面的信息进行加密,服务器再进行解密;在服务器端实现 session 的方式是将 session 和用户的对应关系存在文件当中。

    相关文章

      网友评论

          本文标题:Cookies和session(4)

          本文链接:https://www.haomeiwen.com/subject/kpubwxtx.html