django之Cookie、Session、Token

最新推荐文章于 2025-03-21 23:06:09 发布
最新推荐文章于 2025-03-21 23:06:09 发布
阅读量585 收藏 3
点赞数
分类专栏: web前端 django python 文章标签: session cookie token Django python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/songhaixing2/article/details/115936952
版权
本文详细介绍了Cookie、Session和Token的由来、原理及其在Django中的使用。Cookie是存在浏览器中的键值对,易被窃取;Session在服务器端存储,安全性较高;Token则解决了Session在大量用户时带来的服务器压力。在Django中,文章讲解了如何操作Cookie和Session,以及基于它们的登录认证实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一.Cookie、Session、Token的由来

我们知道HTTP协议无连接的, 也就是不保存用户的状态信息

早期(十几年前)的网页是静态的, 数据都是写死的, 人们访问网页只是用来查看新闻的, 没有保存用户状态的需求

而往后出现了像论坛、博客、网购这一类需要保存用户信息的网站, 如果网站不保存用户的状态信息, 意味着用户每次访问都需要重新输入用户名和密码, 这无疑对用户的体验是极其不好的

于是, 就出现了会话跟踪技术, 我们可以把它理解为客户端与服务端之间的一次会晤, 一次会晤包含的多次请求与响应, 每次请求都带着请求参数, 比如请求登入的请求参数是用户名和密码, 服务端就会拿着请求参数与数据库去比对, 找到相应的用户信息

如何实现会话跟踪 : 在HTTP协议中可以使用Cookie来完成, 在Web开发中可以使用Session来完成

  • Cookie是存在浏览器中的键值对, 每次发送请求都携带者参数, 但是容易被截获, 不安全

  • 于是就出现了Session, 它是存在于服务端的键值对, key为随机字符串, 安全性提高了, 但所有的数据都存在服务器中, 服务器的压力很大

  • 之后便产生了Token的概念, 服务端签发加密后的字符串给客户端浏览器保存, 客户端每次请求携带用户名和密码, 并加上由服务端签发的用户名和密码加密的字符串, 服务端收到请求后再对用户名密码加密, 与后面携带的密文对比, 由于它也是保存在客户端浏览器上的, 所以也叫Cookie

二.Cookie简介

1.什么是Cookie

  • Cookie是服务器保存在客户端浏览器之上的key-value键值对 : username='shawn';password="123"
  • 它是随着服务器的响应发送给客户端, 客户端将其保存, 下一次请求时会将Cookie放在其中, 服务器通过识别Cookie就能知道是哪个客户端浏览器

2.Cookie规范

  • Cookie大小上限为4KB
  • 一个服务器最多在客户端浏览器上保存20个Cookie
  • 一个浏览器最多保存300个Cookie

上面是HTTP中Cookie的规范, 现在浏览器的竞争, 有些Cookie大小能打到8KB, 最多可以保存500个Cookie

不同浏览器之间的Cookie是不共享的

3.安全性

  • Cookie保存在浏览器本地, 意味着很容易被窃取和篡改

三.Session简介

1.什么是Session

  • 存放在服务器上的键值对 : {'weqweq':{'username':'shawn','password':'123'}}

  • Cookie可以保存状态, 但本身最大只能支持4069字节, 并且不安全, 于是就出现了Session

  • 它能支持更多字节, 并且保存在服务器上, 具有较高的安全性,Session基于Cookie, 本地存放服务器返回给浏览器的随机字符串

  • 客户端浏览器请求中携带随机字符串(session_id), 服务端收到后与数据库中存储的session做对比

ps : session存储的方式多种多样, 可以是数据库、缓存、硬盘等等

2.Cookie、Session小结

1. cookie是存在于浏览器上的, 保存形式以key:value键值对的形式
2. session是存在于服务端的, django中保存在django_session表中, key: 对应session_key字段, value: 对应session_data, 还有一个session_date用来保存终止会话时间
3. session是基于cookie工作的, 在django中session会告知浏览器以sessionid:随机字符的格式保存数据

四.Token简介

1.什么是Token

  • session数据保存在服务端, 提升了安全性, 但如果用户数据量特别多, 那么服务器的压力就会非常大
  • 所以不再在服务端中保存数据
  • Token采用了jwt(json web token)的认证方式, 数据格式分为三段式 : {公司信息。。}.{name:lqz,id:10}.加密后的字符串
  • 登入成功之后, 将第一段数据与第二段数据进行加密(加密算法是你后端开发自定义的), 加密后得到的字符串放在最后一段, 然后整体的返回给浏览器
  • 浏览器下次访问的时候就会带着该信息, 服务端收到再取前两段进行加密与第三段对比

五.django中cookie的使用

1.Cookie四件套

  • 增 : obj.set_cookie('key','value)
  • 查 : request.COOKIE.get('key')
  • 改 : obj.set_cookie('key','value')
  • 删 : obj.delete_cookie('key')

2.Cookie四件套示例

def cookie_test(request):
    # obj1 = HttpResponse()
    # return obj1
    # obj2 = render(request,'cookie_test.html')
    # return obj2

    obj = HttpResponse('生成了两个cookie')

    # 设置cookie
    obj.set_cookie('name','shawn')
    obj.set_cookie('pwd','123')

    return obj

image-20210329225140803

image-20210329225432605

# 获取cookie
def get_cookie(request):
    name = request.COOKIES.get('name')
    pwd = request.COOKIES.get('pwd')
    return HttpResponse(f'获取到cookie,name:{name},pwd:{pwd}')

image-20210329225343350

# 更新cookie,与设置一样
def set_cookie(request):
    obj = HttpResponse('重新对cookie进行了设置')
    obj.set_cookie('name','xing')
    obj.set_cookie('pwd','11122')
    return obj

image-20210329230248506

# 删除cookie
def del_cookie(request):
    obj = HttpResponse('删除了一个cookie')
    obj.delete_cookie('name')
    return obj

image-20210329230853135

3.其他操作

  • cookie加盐
# 为cookie进行加盐
def set_salt(request):
    obj = HttpResponse('为name加了个盐中盐')
    obj.set_cookie('name', 'shawn')
    # 加盐操作
    obj.set_signed_cookie('name', 'shawn', salt='盐中盐')
    return obj

# 获取加盐的cookie
def get_salt(request):
    name_salt = request.COOKIES.get('name')
    salts = request.get_signed_cookie('name', salt='盐中盐')
    return HttpResponse(f'获取到加盐的cookie名:{salts}\n加盐后的cookie:{name_salt}')
  • 设置超时时间, 直接在设置cookie的时候加参数(两种方法)
# expires常用,支持IE浏览器(以秒为单位)
def set_timeout(request):
    obj = HttpResponse('超时删除cookie')
    obj.set_cookie('name', 'shawn', max_age=5
最低0.47元/天 解锁文章
Python高频面试题4 - SessionCookieToken 核心区别与技术对比
孤寒者的博客
04-26 9048
Python高频面试题4 - SessionCookieToken 核心区别与技术对比
Django+JWT实现Token认证
weixin_34174422的博客
01-22 2146
对外提供API不用django rest framework(DRF)就是旁门左道吗? 基于Token的鉴权机制越来越多的用在了项目中,尤其是对于纯后端只对外提供API没有web页面的项目,例如我们通常所讲的前后端分离架构中的纯后端服务,只提供API给前端,前端通过API提供的数据对页面进行渲染展示或增加修改等,我们知道HTTP是一种无状态的协议,也就是说后端服务并不知道是谁发来的请求,那么如...
Django-CookieSessionToken
Orangeric
08-06 192
会话技术 1、应用场景 服务器如何识别客户端 Http在Web开发中基本都是短连接 2、请求生命周期 从Request开始 到Response结束 3、种类 (1)Cookie ①客户端会话技术:数据储存在客户端 ②键值对存储 ③支持过期时间 ④默认Cookie自动携带,本网站所有CookieCookie通常不跨域名,不跨网站 Cookie通过HttpResponse操作 Coo...
Django系列教程(16)——Ajax发送数据与接收数据
最新发布
软件开发
03-21 655
Django前端模板向后端发送POST请求主要有两种方式:form表单ajax请求。本文将详细介绍Django与Ajax的交互方式,如何通过csrftoken认证,并提供了两个具体示例。
Django的会话技术:CookieSessionToken、三者的区别
YFater的博客
08-04 1057
文章目录一.会话技术1.介绍2.详细过程二.cookie 一.会话技术 1.介绍 请求过程Request开始,到Response结束 连接都是短连接 延长交互的生命周期 将关键数据记录下来 Cookie是保存在浏览器端/客户端的状态管理技术 Session是服务器端的状态管理技术 2.详细过程 在浏览器中输入域名url,会经过dns服务器将域名解析成ip返回后,浏览器发送request对象请求给服务器,服务器收到请求后创建一个session对象,该对象会有个session_key的值,服务器会将该值以s
Django中的CookieSessionToken
weixin_30770783的博客
12-10 300
Cookie :指望着为了辨别用户身份、进行会话跟踪而存储在用户本地的数据(通常经过加密),是由服务端生成,发送给客户端浏览器,浏览器会将Cookie以key/value保存,下一请求同一网站是就发送该Cookie给服务器 Django中写cookie: response.set_cookie(键,值,max_age=秒), 默认浏览器关闭过期 Djangocookie:...
Django(六)Session、CSRF、中间件
人生就是一场修行
01-10 3834
大纲二、session 1、sessioncookie对比 2、session基本原理及流程 3、session服务器操作(获取值、设置值、清空值) 4、session通用配置(在配置文件中) 5、session引擎配置(db、cache、file、cookie加密) 三、CSRF 1、csrf原理-form提交及ajax提交 2、csrf全局与局部应用配置 四、中间件生命周期
Django高级之-cookie-session-token
Renweif的博客
03-07 1142
2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪些人登录系统, 哪些人往自己的购物车中放商品, 也就是说我必须把每个人区分开,这就是一个不小的挑战,因为HTTP请求是无状态的,所以想出的办法就是给大家发一个会话标识(session id), 说白了就是一个随机的字串,每个人收到的都不一样, 每次大家向我发起HTTP请求的时候,把这个字符串给一并捎过来, 这样我就能区分开谁是谁了。如果访问服务器多了, 就得由成千上万,甚至几十万个。
django框架cookiesession用法实例详解
09-18
### Django框架中CookieSession的用法详解 #### 1. Django框架中CookieSession的基本概念 在Django框架中,CookieSession是实现Web应用程序用户状态管理的重要机制。它们广泛应用于用户身份验证、页面个性化...
Django+JWT实现Token认证的实现方法
09-19
Django作为一个强大的Python Web框架,可以通过多种方式实现用户认证,其中之一就是使用JWT(JSON Web Token)进行Token认证。本篇文章将深入探讨如何在Django项目中利用JWT实现Token认证,无需依赖Django REST ...
Python Django Web 框架会话技术(CookieSessionToken
理想的博客
07-22 408
一,什么是会话技术 Web浏览器服务器之间的所有通信,都是通过HTTP协议进行的,该协议是无状态,短连接的。协议无状态的事实,意味着客户端服务器之间的消息,完全相互独立 没有基于先前消息的“序列”或行为的概念。 会话:浏览器访问服务器端,发送多次请求,接受多次响应。直到有一方断开连接。会话结束。 解决问题:可以使用会话技术,在一次会话的多次请求之间共享数据。 通俗的说,因为Http协议是一个无状态协议,两次登录之间没有任何联系,想让它们之间有关系,就有了会话技术。也就是相当于变相延长了请求周期而且保存
Django使用Token
cfy137000的博客
01-28 9020
基于Token的身份验证 在实现登录功能的时候,正常的B/S应用都会使用cookie+session的方式来做身份验证,后台直接向cookie中写数据,但是由于移动端的存在,移动端是没有cookie机制的,所以使用token可以实现移动端客户端的token通信. 验证流程 整个基于Token的验证流程如下: 1. 客户端使用用户名跟密码请求登录 2. 服务器收到请求,去验
django项目后台开发】TokenSession的区别、Token的生成方式(1)
python全栈
05-17 1313
一、什么是JWT Json web token (JWT), 是为了在⽹络应⽤环境间传递声明⽽执⾏的⼀种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适⽤于分布式站点的单点登录(SSO)场景。JWT的声明⼀般被⽤来在身份提供者服务提供者间传递被认证的⽤户身份信息,以便于从资源服务器获取资源,也可以增加⼀些额外的其它业务逻辑所必须的声明信息,该token也可直接被⽤于认证,也可被加密。 二、token的认证传统的session认证的区别 1、传统的session认证
Django框架学习笔记—会话技术(CookieSessionToken)
TaoismHuang的博客
08-12 450
文章目录概述Cookie原理设置cookie获取cookie删除cookiecookie小结Session配置设置session获取session删除sessionclearflushsession小结Token生成数据表 概述 理论上,一个用户的所有请求操作都应该属于同一个会话,而另一个用户的所有请求操作则应该属于另一个会话,二者不能混淆。而Web应用程序是使用HTTP协议传输数据的,HTTP...
Django学习系列(五.会话技术Cookie&Session&Token)
`or 1 or 不正经の泡泡
08-12 342
文章目录前言COOKIE 会话cookie流程示例cookie加密SEESION 会话示例Token 会话流程图 前言 这篇博客为django系列,很前面的联系较为紧密.如果你是大佬,可以直接略过(如果你要指点,请评论区留言,到目前位置django学习系列已经可以说开始正式入门了,至少MVT的大部分的大致的流程已经走了一遍).在django当中,会话分为三大种,一个是非常传统的cookie技术,还有 session 技术,以及token技术 COOKIE 会话 在开始之前记住一句话,那就是cookie一定是
Django Token
watermelon
07-13 584
Django Token 步骤: 新建一个token_module.py 新建一个authentiction_module.py 在app下views.py中写api 项目结构 token_module.py import time import base64 import hmac def get_token(key, expire=3600): ''' :param key: str (用户给定的key,需要用户保存以便之后验证token,每次产生token时的key 都可以是同
Djangosessiontoken区别 | DRF token
Marianas Trench
04-26 281
有关 Session 的那些事儿,希望我这篇冗长的内容能讲清楚:较详细的解释了Session是什么,稍微提到一点SessionToken,JWT的关系/区别 Session的状态是存储在服务器端,客户端只有session id;而Token的状态是存储在客户端 ...
Django中的CookieSession
谢公子的博客
02-27 1506
目录 HttpRequestHttpResponse对象 DjangoCookie的设置 DjangoSession的设置 DjangoCookie+Session的设置 关于CookieSession,传送门——>CookieSessionToken的区别 HttpRequestHttpResponse对象 Django使用请求响应对象来通过系统传递状态...
DjangoDjangocookies、sessiontoken实现demo
weixin_42115131的博客
07-19 861
本文介绍了cookies、sessiontoken原理django实现方法。
Djangosession
03-17
<think>嗯,用户想了解Django的会话管理。首先,我需要回忆一下Djangosession的处理机制。根据引用[1]中的代码示例,用户登录时会把用户信息存入request.session,然后通过装饰器@auth来验证session是否存在。这说明Djangosession是基于中间件实现的,并且可以方便地存储读取用户数据。 接下来,用户可能想知道session的工作原理。记得引用[4]提到Django session的源码结构简单,没有复杂的数据结构,可能涉及到后端存储,比如数据库或者缓存。默认情况下,Django使用数据库存储session,但也可以配置成缓存或其他后端。 然后,安全方面,引用[5]提到CSRF保护中间件的关系。会话管理CSRF防护是相关的,需要确保在表单提交时包含CSRF tokenDjango的CsrfViewMiddleware处理这部分,同时可以通过装饰器灵活控制,比如@csrf_exempt@csrf_protect。 用户可能还想知道如何配置session的有效期、存储方式以及安全设置。比如SESSION_COOKIE_AGE可以设置过期时间,SESSION_ENGINE可以更改存储后端到缓存或文件系统。此外,安全方面需要考虑SESSION_COOKIE_SECURESESSION_COOKIE_HTTPONLY等配置项。 另外,引用[3]中的项目结构配置可能涉及URL路由中间件的配置,确保session中间件被正确启用。同时,引用[2]提到的WSGI配置可能影响会话的持久化,尤其是在部署时需要考虑session存储的后端是否适合生产环境。 还需要覆盖常见问题,比如session数据不一致或读取失败的情况。引用[4]中提到用户遇到在两次POST请求中session数据可能未及时保存的问题,这可能是因为默认的session保存机制是懒保存,需要在修改session后调用session.save()或设置SESSION_SAVE_EVERY_REQUEST为True。 最后,用户可能对实际应用场景感兴趣,比如如何在不同的视图中间件中使用session,如何结合权限验证装饰器等。需要给出代码示例最佳实践,确保回答全面且实用。</think>### Django会话管理详解 Django的会话管理(Session Management)通过`django.contrib.sessions`模块实现,主要用于跟踪用户状态。以下是核心要点操作流程: --- #### 1. **会话基础** - **启用会话**:`settings.py`需包含`django.contrib.sessions.middleware.SessionMiddleware`中间件[^5]。 - **存储机制**:默认使用数据库(`django_session`表),但可通过`SESSION_ENGINE`配置为缓存、文件或加密Cookie[^4]。 --- #### 2. **会话操作** - **写入会话**:通过`request.session['key'] = value`存储数据。例如登录时保存用户信息: ```python def session_login(request): if request.method == 'POST': user = request.POST.get('user') pwd = request.POST.get('pwd') if user == 'fuzj' and pwd == '123': request.session['user'] = user # 会话存储 return redirect('/session_index/') ``` [^1] - **读取会话**:通过`request.session.get('key')`获取数据。例如验证用户登录状态: ```python @auth def session_index(request): user = request.session.get('user', None) # 会话读取 return render(request, 'index.html', {'user': user}) ``` [^1] - **删除会话**:使用`del request.session['key']`或`request.session.flush()`清除数据: ```python def session_logout(request): del request.session['user'] # 删除会话 return redirect('/session_login/') ``` [^1] --- #### 3. **会话安全** - **CSRF防护**:Django默认启用`CsrfViewMiddleware`,通过`{% csrf_token %}`模板标签`csrf_protect`装饰器防止跨站请求伪造[^5]。 - **Cookie安全配置**: ```python SESSION_COOKIE_SECURE = True # 仅HTTPS传输 SESSION_COOKIE_HTTPONLY = True # 禁止JavaScript访问 SESSION_EXPIRE_AT_BROWSER_CLOSE = True # 关闭浏览器即过期 ``` --- #### 4. **常见问题与优化** - **数据同步延迟**:默认会话数据在响应时保存,若需立即存储可手动调用`request.session.save()`[^4]。 - **性能优化**:将会话存储改为缓存(如Redis)以提升速度: ```python SESSION_ENGINE = "django.contrib.sessions.backends.cache" CACHES = { 'default': { 'BACKEND': 'django.core.cache.backends.redis.RedisCache', 'LOCATION': 'redis://127.0.0.1:6379/1', } } ``` --- #### 5. **应用场景** - 用户身份验证(如登录状态保持) - 跨请求数据暂存(如购物车内容) - 多步骤表单数据暂存 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

给你骨质唱疏松

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值