cookie 和 session 的一些事 中间件

Posted zhangchen-sx

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了cookie 和 session 的一些事 中间件相关的知识,希望对你有一定的参考价值。

cookie 和 session

cookie

1. 保存在浏览器上一组组键值对,服务器让浏览器进行设置。
2. 为什么要用cookie?
   HTTP协议是无状态。使用cookie保存状态。
3. django中的操作
   设置:
       response.set_cookie(key,value,max_age=5)
       response.set_signed_cookie(key,value,max_age=5,salt=xxx)
   获取:
       request.COOKIES
       request.COOKIES[key]  request.COOKIES.get(key)
       request.get_signed_cookie(key,salt=xxx,default=‘‘)
   删除:
       response.delete_cookie(key)  
   session
   1. 保存在服务器上一组组键值对,依赖于cookie
   2. 为什么要用session?
      1. cookie保存在浏览器上,不安全
      2. 长度大小收到限制
   3. django中的操作
      1. 设置
         request.session[key] = value
         request.session.setdefault(key,value)
      2. 获取
         request.session[key]
         request.session.get(key)
      3. 删除
         del request.session[key]
         request.session.delete()        # 删除当前回话的所有session数据,不删除cookie
         request.session.flush()          # 删除当前回话的所有session数据,删除cookie
      4. 其他
         request.session.clear_expired()   # 清除已过期的session
         request.session.set_expiry(value)   #设置过期时间  0时关闭浏览器就失效.
      5. 配置
             from django.conf import global_settings  #全局设置

django 中的中间件

django中的中间件是一个类,在全局范围内改变django的输入和输出

from django.utils.deprecation import MiddlewareMixin

五种方法:

process_request(self, request):

执行时间:在视图执行之前

执行顺序:按照 注册顺序 顺序 执行

返回值:

    None:正常流程

    HttpResponse对象:不执行下一个中间件中的process_request,不执行路由匹配,不执行视图,直接执行当前中间件的process_response方法。

process_response(self, request, response)

执行时间:在视图执行之后

执行顺序:按照注册顺序倒叙执行

返回值:

    HttpResponse对象

process_view(self, request, view_func, view_args, view_kwargs)

执行时间:在视图执行之前,路由匹配之后

执行顺序:按照注册顺序顺序执行

返回值:

    None:正常流程

    HttpResponse对象:不执行下一个中间件中的process_view,不执行视图,直接执行所有中间件中最后一个中间件的process_response方法。

process_exception(self, request, exception)

执行时间:视图层面报错时执行 

执行顺序:按照注册顺序倒序执行

返回值:

    None:交给下一个中间件处理异常

    HttpResponse对象:不执行下一个中间件中的process_exception,执行所有中间件中最后一个中间件的process_response方法。

process_template_response(self, request, response)

执行时间:返回的response对象是template_response,或者response对象有一个render的方法

执行顺序:按照注册顺序倒序执行

返回值:

    HttpResponse对象

csrf中间件

csrf 跨站请求伪造

django中跨站请求伪造的保护机制

装饰器

    from django.views.decorators.csrf import csrf_exempt,csrf_protect

csrf_exempt     加在视图上,表示当前视图不进行csrf校验

csrf_protect    加在视图上,表示当前视图进行csrf校验

注意点:

CBV情况,csrf_exempt装饰器要加在dispatch上

1. process_request(self, request):
   从cookie中获取csrftoken的值  —— 》 request.META[CSRF_COOKIE]
2. process_view:
   1. 判断视图是否加上csrf_exempt,
      1. 有就不在进行csrf校验
      2. 没有继续进行校验
   2. 判断请求方式是GET, HEAD, OPTIONS, TRACE1. 是的话,不进行校验
      2. 不是的话,进行校验
   3. 进行校验的:
      1.     csrf_token = request.META.get(CSRF_COOKIE)   #  csrf_token = cookie中获取csrftoken的值
      2.     先尝试从request.POST获取csrfmiddlewaretoken对应的值
             request_csrf_token = request.POST.get(csrfmiddlewaretoken, ‘‘)  # 获取隐藏标签的csrfmiddlewaretoken对应的值
             再尝试从请求头中获取X-csrftoken的值
             request_csrf_token = request.META.get(settings.CSRF_HEADER_NAME, ‘‘)
      3. 拿csrf_token和request_csrf_token 进行对比
         1. 对比成功,校验成功
         2. 对比不成功,校验失败,拒绝

 

以上是关于cookie 和 session 的一些事 中间件的主要内容,如果未能解决你的问题,请参考以下文章

cookie和session那些事

登录那点事

前后端分离 | 关于登录状态那些事

Session和Cookie的区别

cookie和session

Servlet中的cookie和session