深入探究Django中的Session与Cookie

前言

Cookie和Session相信对大家来说并不陌生，简单来说，Cookie和Session都是为了记录用户相关信息的方式，最大的区别就是Cookie在客户端记录而Session在服务端记录内容。

那么Cookie和Session之间的联系是怎么建立的呢？换言之，当服务器接收到一个请求时候，根据什么来判断读取哪个Session的呢？

对于Django默认情况来说，当用户登录后就可以发现Cookie里有一个sessionid的字段，根据这个key就可以取得在服务器端记录的详细内容。如果将这个字段删除，刷新页面就会发现变成未登录状态了。

对于Session的处理主要在源码django/contrib/sessions/middleware.py中，如下所示：

import time
from importlib import import_module
from django.conf import settings
from django.contrib.sessions.backends.base import UpdateError
from django.core.exceptions import SuspiciousOperation
from django.utils.cache import patch_vary_headers
from django.utils.deprecation import MiddlewareMixin
from django.utils.http import cookie_date
class SessionMiddleware(MiddlewareMixin):
 def __init__(self, get_response=None):
  self.get_response = get_response
  engine = import_module(settings.SESSION_ENGINE)
  self.SessionStore = engine.SessionStore
 def process_request(self, request):
  session_key = request.COOKIES.get(settings.SESSION_COOKIE_NAME)
  request.session = self.SessionStore(session_key)
 def process_response(self, request, response):
  """
  If request.session was modified, or if the configuration is to save the
  session every time, save the changes and set a session cookie or delete
  the session cookie if the session has been emptied.
  """
  try:
   accessed = request.session.accessed
   modified = request.session.modified
   empty = request.session.is_empty()
  except AttributeError:
   pass
  else:
   # First check if we need to delete this cookie.
   # The session should be deleted only if the session is entirely empty
   if settings.SESSION_COOKIE_NAME in request.COOKIES and empty:
    response.delete_cookie(
     settings.SESSION_COOKIE_NAME,
     path=settings.SESSION_COOKIE_PATH,
     domain=settings.SESSION_COOKIE_DOMAIN,
    )
   else:
    if accessed:
     patch_vary_headers(response, ('Cookie',))
    if (modified or settings.SESSION_SAVE_EVERY_REQUEST) and not empty:
     if request.session.get_expire_at_browser_close():
      max_age = None
      expires = None
     else:
      max_age = request.session.get_expiry_age()
      expires_time = time.time() + max_age
      expires = cookie_date(expires_time)
     # Save the session data and refresh the client cookie.
     # Skip session save for 500 responses, refs #3881.
     if response.status_code != 500:
      try:
       request.session.save()
      except UpdateError:
       raise SuspiciousOperation(
        "The request's session was deleted before the "
        "request completed. The user may have logged "
        "out in a concurrent request, for example."
       )
      response.set_cookie(
       settings.SESSION_COOKIE_NAME,
       request.session.session_key, max_age=max_age,
       expires=expires, domain=settings.SESSION_COOKIE_DOMAIN,
       path=settings.SESSION_COOKIE_PATH,
       secure=settings.SESSION_COOKIE_SECURE or None,
       httponly=settings.SESSION_COOKIE_HTTPONLY or None,
      )
  return response

当接收到一个请求时候，先在Cookie里取出key，然后根据key创建Session对象，在response时候判断是否要删除或者修改sessionid。

也就是说，Django中如果客户把浏览器Cookie禁用后，用户相关的功能就全都失效了，因为服务端根本没法知道当前用户是谁。

对于这种情况，关键点就是如何把sessionid不使用Cookie传递给客户端，常见的比如放在URL中，也就是URL重写技术。想实现这点可以自己写Middleware。不过django并不建议这么做：

The Django sessions framework is entirely, and solely, cookie-based. It does not fall back to putting session IDs in URLs as a last resort, as PHP does. This is an intentional design decision. Not only does that behavior make URLs ugly, it makes your site vulnerable to session-ID theft via the “Referer” header.

总结

以上就是这篇文章的全部内容了，希望本文的内容对大家的学习或者工作能带来一定的帮助，如果有疑问大家可以留言交流，谢谢大家对的支持

# cookie  # session  # django  # 有效期  # 在Python的Django框架的视图中使用Session的方法  # 在Django的session中使用User对象的方法  # Django中的session用法详解  # 用django设置session过期时间的方法解析  # 解决Django no such table: django_session的问题  # Django的session中对于用户验证的支持  # Django中使用session保持用户登陆连接的例子  # django项目搭建与Session使用详解  # Django中session登录验证操作指南  # 服务端  # 就可以  # 客户端  # 都是  # 就会  # 放在  # 是怎么  # 相关信息  # 这种情况  # 重写  # 所示  # 这么做  # 这篇文章  # 谢谢大家  # 用户登录  # 先在  # 有一个  # 判断是否  # 也就是说  # 里取出 

相关文章： 如何选择CMS系统实现快速建站与SEO优化？  建站DNS解析失败？如何正确配置域名服务器？  安徽网站建设与外贸建站服务专业定制方案  建站主机空间推荐 高性价比配置与快速部署方案解析  宿州网站制作公司兴策,安徽省低保查询网站？  高防服务器租用指南：配置选择与快速部署攻略  详解jQuery停止动画——stop()方法的使用  如何在IIS服务器上快速部署高效网站？  建站主机服务器选型指南与性能优化方案解析  唐山网站制作公司有哪些,唐山找工作哪个网站最靠谱？  学生网站制作软件,一个12岁的学生写小说，应该去什么样的网站？  如何用好域名打造高点击率的自主建站？  网站制作价目表怎么做,珍爱网婚介费用多少？  5种Android数据存储方式汇总  如何基于云服务器快速搭建个人网站？  小型网站建站如何选择虚拟主机？  制作网站哪家好,cc、.co、.cm哪个域名更适合做网站？  如何零成本快速生成个人自助网站？  如何自己制作一个网站链接,如何制作一个企业网站，建设网站的基本步骤有哪些？  北京网站制作费用多少,建立一个公司网站的费用.有哪些部分,分别要多少钱？  如何正确下载安装西数主机建站助手？  招商网站制作流程,网站招商广告语？  如何用IIS7快速搭建并优化网站站点？  国美网站制作流程,国美电器蒸汽鍋怎么用官方网站？  深圳网站制作设计招聘,关于服装设计的流行趋势，哪里的资料比较全面？  如何将凡科建站内容保存为本地文件？  nginx修改上传文件大小限制的方法  成都网站制作报价公司,成都工业用气开户费用？  广州网站建站公司选择指南：建站流程与SEO优化关键词解析  如何在IIS中新建站点并解决端口绑定冲突？  合肥做个网站多少钱,合肥本地有没有比较靠谱的交友平台？  如何在Windows虚拟主机上快速搭建网站？  股票网站制作软件,网上股票怎么开户？  建站主机核心功能解析：服务器选择与网站搭建流程指南  零服务器AI建站解决方案：快速部署与云端平台低成本实践  活动邀请函制作网站有哪些,活动邀请函文案？  安云自助建站系统如何快速提升SEO排名？  如何在宝塔面板创建新站点？  制作网站的软件下载免费,今日头条开宝箱老是需要下载怎么回事？  如何通过智能用户系统一键生成高效建站方案？  建站之星后台管理：高效配置与模板优化提升用户体验  网站专业制作公司,网站编辑是做什么的？好做吗？工作前景如何？  油猴 教程,油猴搜脚本为什么会网页无法显示？  如何制作一个表白网站视频,关于勇敢表白的小标题？  JS中使用new Date(str)创建时间对象不兼容firefox和ie的解决方法(两种)  建站之星下载版如何获取与安装？  建站之星logo尺寸如何设置最合适？  ,巨量百应是干嘛的？  C#如何序列化对象为XML XmlSerializer用法  如何在IIS管理器中快速创建并配置网站？