cookie是什么意思中文(「Django框架」-会话技术之cookie与session)

文章来源于公众号【Python野路子】

会话（Session）跟踪是Web程序中常用的技术，用来跟踪用户的整个会话。常用的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份，Session通过在服务器端记录信息确定用户身份。

我们可以把会话理解为客户端与服务器之间的一次会晤，在一次会晤中可能会包含多次请求和响应。

例如，我们给10086打电话，我就是客户端，而10086服务人员就是服务端。从双方接通电话那一刻起，会话就开始了，到某一方挂断电话标识会话结束。在通话过程中，我们会向10086发出多个请求，那么多个请求都在一个会话中。

在Web中，客户使用浏览器向某一服务器发出第一个请求开始，会话就开始了，直到客户关闭了浏览器会话结束。

在一个会话的多个请求中共享数据，这就是会话跟踪技术。

例如，在一个会话中的请求如下：请求银行主页。

1）请求登录（请求参数是用户名和密码）；

2）请求转账（请求参数与转账相关的数据）；

3）请求信用卡还款（请求参数与还款相关的数据）。

在上面会话中，当前用户信息必须在这个会话中共享的，因为登录的是张三，那么在转账和还款时一定是张三的转账和还款，这就说明我们必须在一个会话过程中共享数据的能力。

在Web应用中，HTTP协议是无状态的，即每次请求都是独立的，无法记录前一次请求的状态，每次请求都是一次新的请求。

无状态原因：浏览器与服务器是使用Socket套接字进行通信的，服务器将请求结果返回给浏览器之后，会关闭当前的Socket连接，而且服务器也会在处理页面完毕之后销毁页面对象。

但是，有时候我们需要知道上次请求状态，比如用户是否登录过，浏览过哪些商品等。可以使用会话跟踪，可以使用Cookie、Session、token（自定义的session）。

Cookie，翻译成中文小甜点，小饼干的意思。在HTTP中它表示服务器送给客户端浏览器的小甜点。

Cookie是客户端会话技术，数据都存储在客户端，以key-value进行存储。支持过期时间max_age，默认请求会携带本网站的所有cookie，cookie不能跨域名，不能跨浏览器，cookie默认不支持中文，base64。

Cookie是由服务器创建，通过服务端的响应发送给客户端浏览器的一个键值对，然后浏览器会把Cookie保存起来，并标注出Cookie的来源（哪个服务器的Cookie），当客户端下一次再访问服务器时，默认请求会携带本这个服务器的所有Cookie，这样服务器就可以识别客户端了。

设置cookie应该是服务器response，获取cookie应该在浏览器request，删除cookie应该在服务器response。

• Cookie大小上限为4KB；
• 一个服务器最多在客户端浏览器上保存20个Cookie；
• 一个浏览器最多保存300个Cookie；

上面的数据只是HTTP的Cookie规范，但是，在浏览器百家争鸣的当下，一些浏览器为了争夺一份份额，展现自己的优势，可能对Cookie的规范扩展，例如每个Cookie的大小为8KB，最多可保存500个Cookie等！但也不会出现把你硬盘占满的可能！

注意，不同浏览器之间是不共享Cookie的。也就是说在你使用IE访问服务器时，服务器会把Cookie发给IE，然后由IE保存起来，当你在使用FireFox访问服务器时，不可能把IE保存的Cookie发送给服务器

Cookie是通过HTTP请求头和响应头在客户端和服务器端传递的：

• Set-Cookie：响应头，服务器端发送给客户端；
• Cookie：请求头，客户端发送给服务器端；格式：Cookie: a=A; b=B; c=C。即多个Cookie用分号隔开；
• 一个Cookie对象一个Set-Cookie：Set-Cookie: a=A Set-Cookie: b=B Set-Cookie: c=C；

如果服务器端发送重复的Cookie那么会覆盖原有的Cookie，例如客户端的第一个请求服务器端发送的Cookie是：Set-Cookie: a=A；第二请求服务器端发送的是：Set-Cookie: a=AA，那么客户端只留下一个Cookie，即：a=AA。

第一次请求：

① 浏览器第一次请求服务器的时候，不会携带任何cookie信息，，请求头中没有任何cookie信息；

② 当服务器接受到这个请求之后，会做一些验证，例如进行用户名和密码的验证，验证没有问题则可以设置cookie信息。

③ 服务器会为响应设置cookie信息，响应头中有set_cookie信息。

③ 我们的浏览器接收到这个响应之后，发现响应中有cookie信息，浏览器会将cookie信息保存起来。

后续请求：① 第二次或之后的请求都会携带cookie信息，请求头中有cookie信息；

② 服务器接受到请求之后，会发现请求中携带cookie信息，这样就认识是谁的请求了。

login.html文件：

<!DOCTYPE html> <html lang="en"> <head>     <meta charset="UTF-8">     <title>登录界面</title>     <style>         #loginbox{             width: 350px;             height: 200px;             border: 1px solid red;             margin: 90px auto;             text-align: center;         }     </style> </head> <body>     <div id="loginbox">         <h2>登录界面</h2>         <form action="" method="post">             {% csrf_token %}             帐 号：<input type="text" name="username">             <br/>             密 码：<input type="password" name="password">             <br/>             <br/>             <input type="submit" value="登录">             <input type="button" value="注册">         </form>     </div> </body>

home.html文件：

<!DOCTYPE html> <html lang="en"> <head>     <meta charset="UTF-8">     <title>首页</title> </head> <body>     欢迎     {% if username %}         {{ username }}     {% else %}         游客     {% endif %}     访问~~     <br>     <a href="{% url 'user:logout' %}">退出</a> </body> </html>

views.py：

def login(request):     if request.method == 'GET':         return render(request, 'login.html')     elif request.method == 'POST':         username = request.POST.get('username')         password = request.POST.get('password')         if username and password:   # 此处为了方便测试，没有去数据库进行校验，实际的需要去数据库校验用户名和密码之类的             '''                 响应体：                 return HttpResponse()                 return render()                 return redirect()                    都可以                                     '''             response = redirect(reverse('user:home'))             # 设置cookie信息             response.set_cookie('username', username)             is_login = True             response.set_cookie('is_login', is_login)             return response         return render(request, 'login.html') def home(request):     # 获取cookie信息     is_login = request.COOKIES.get('is_login')     username = request.COOKIES.get('username')     if is_login:         return render(request, 'home.html', {'username': username})     return redirect(reverse('user:login')) def logout(request):     response = redirect(reverse('user:login'))     # 删除cookie信息     response.delete_cookie('is_login')     response.delete_cookie('username')  # 注销，最好都删除，避免注册之后下次还会携带未删除的信息     return response

我们可以看到第一次打开登录页面的时候，不携带Cookie信息（csrf暂忽略）：

我们再登录，即提交表单之后，服务器设置了Cookie（可参考上面设置Cookie信息代码）：

退出，即删除Cookie信息，这里只删除is_login的信息

上面是以明文的方式显示，我们可以进行加盐设置，以加密形式显示：

def login(request):     if request.method == 'GET':         return render(request, 'login.html')     elif request.method == 'POST':         username = request.POST.get('username')         response = redirect(reverse('user:home'))         #response.set_cookie('username', username)         #set_signed_cookie(key,value,salt='加密盐',...)          response.set_signed_cookie('username', username, 'qmpython')         return response def home(request):     username = request.COOKIES.get('username')     # 解密     #username = request.get_signed_cookie('username', 'qmpython')         response = HttpResponse(f'{username}登录成功')     return response

Cookie：具体一个浏览器针对一个服务器存储key-value。

注意，不同浏览器之间是不共享Cookie的。也就是说在你使用IE访问服务器时，服务器会把Cookie发给IE，然后由IE保存起来，当你在使用Chrome访问服务器时，不可能把IE保存的Cookie发送给服务器。

同一个浏览器访问A网站，又去访问B网站，不可能将A的cookie信息携带发送给B服务器。

默认情况下，Cookie只在浏览器的内存中存活，也就是说，当你关闭浏览器后，Cookie就会消失！

问题一：如果只是关闭网站（关闭标签页），没有退出浏览器呢？

A：并不会，如果在不关闭浏览器，只关闭页面时，清除cookie。可以使用js事件处理：

<script> window.onunload = function(){     //窗口关闭     //在这发一个ajax请求，后台清除cookie } </script>

set_cookie参数：

class HttpResponseBase:     def set_cookie(self,                     key,  # 键                    value='', # 值                    max_age=None, # cookie有效时长，单位为秒，默认为None表示关闭浏览器失效，指定          为有效数值100表示100秒后自动失效                                        expires=None, # 支持一个datetime或timedelta，可以指定一个具体的日期，           expires=timedelta(days=10)表示十天后过期。                    # max-age和exepires两个指定一个。                                        path='/',  # Cookie生效的路径，浏览器只会把cookie回传给带有该路径的页面，这样可以避免将；cookie传给站点中的其他的应用。；/ 表示根路径，特殊的：根路径的cookie可以被任何url的页面访问                                        domain=None,  ''' Cookie生效的域名；你可用这个参数来构造一个跨站cookie。                      如， domain=".example.com"                      所构造的cookie对下面这些站点都是可读的：                      www.example.com 、 www2.example.com                  和an.other.sub.domain.example.com 。                      如果该参数设置为 None ，cookie只能由设置它的站点读取。                    '''                                        secure=False,  # 如果设置为True,浏览器将通过HTTPS来回传cookie                    httponly=False, # 只能http协议传输，无法被js获取（不是绝对的，底层抓包可以获取到也可以被覆盖）                    samesite=None                   ):pass

练习：使用cookie实现上次登录时间

def home(request):     # 获取cookie信息     username = request.COOKIES.get('username')     last_login_time = request.COOKIES.get('last_login_time', '')     response = render(request, 'home.html', {'username': username, 'last_login_time': last_login_time})     from datetime import datetime     now = datetime.now().strftime('%Y-%m-%d %H:%M:%S')     response.set_cookie('last_login_time', now)     return response Session

前面介绍了Cookie，为什么还需要Session呢？其实很多情况下，只使用Cookie便能完成大部分需求。但是，只使用Cookie往往是不够的，考虑用户登录信息或一些重要的敏感信息，用Cookie存储的话会带来一些问题，最明显的是由于Cookie会把信息保存到本地，因此信息的安全性可能受到威胁。Session的出现很好地解决的这个问题，Session与Cookie类似。

Session是服务器端技术，利用这个技术，服务器在运行时可以为每一个用户的浏览器创建一个其独享的session对象，由于session为用户浏览器独享，所以用户在访问服务器的web资源时，可以把各自的数据放在各自的session中，当用户再去访问该服务器中的其他web资源时，其他WEB资源再从用户各自session中取出数据为用户服务。

Session是服务端会话技术，依赖于Cookie，如果在浏览器中**禁用cookie**的话，那么session就失效了，因为它需要浏览器的cookie值去session里做对比。

Django默认启用Session，可以在设置文件settings.py：

MIDDLEWARE = [          'django.contrib.sessions.middleware.SessionMiddleware', ]

如果禁用session，则注释即可。

在settings.py文件中，可以设置session数据的存储方式，可以保存在数据库、本地缓存等。

默认是存储在数据库中的。

SESSION_ENGINE='django.contrib.sessions.backends.db'

如果存储在数据库中，则需要安装Session应用，默认已设置：

INSTALLED_APPS = [     'django.contrib.sessions', ]

在进行数据库迁移的时候，Django自动帮我们生成了django_session表，有3个字段，分别为session_key，session_data，expris_date，Django中session的默认过期时间是14天。

迁移数据库后，就会生成django_session表：

第一次请求：

① 我们第一次请求的时候可能会携带一些信息（例如用户名/密码），cookie中没有任何信息。

② 当服务器接受到这个请求之后，会做一些验证，例如进行用户名和密码的验证，验证没有问题则可以设置session信息。

③ 在设置session信息的同时（session信息保存在服务器端），服务器会在响应头中设置一个sessionid的cookie信息。

④ 客户端（浏览器）在接收到响应之后，会将cookie信息保存起来（保存sessionid的信息）。

后续请求：

① 第二次或之后的请求都会携带sessionid的cookie信息

② 当服务器接收到这个请求之后，获取到sessionid信息，然后进行验证，验证成功，则可以获取session信息（session信息保存在服务器端）

def login(request):     if request.method == 'GET':         return render(request, 'login.html')     elif request.method == 'POST':         '''         响应体：             return HttpResponse()             return render()             return redirect()                都可以         '''         username = request.POST.get('username')         password = request.POST.get('password')         if username and password:  # 此处为了方便测试，没有去数据库进行校验，实际的需要去数据库校验用户名和密码之类的             # 设置session信息             request.session['is_login'] = True             request.session['username'] = username             '''             以上设置，实际执行以下操作：             1、生成随机字符串，例如：123abc!@#             2、response.set_cookie("sessionid", 123abc!@#)             3、在django_session表中创建一条记录：                 session_key         session_data                 123abc!@#           {"is_login":True, "username": "admin"}                                  '''         return redirect(reverse('user:home'))      def home(request):     is_login = request.session['is_login']     username = request.session['username']     '''     以上执行以下操作：     1)  request.COOKIES.get('sessionid')，获得session_key     2) 通过上面得到的session_key，在django_session表中获取对应的session_data     3) 从session_data获取is_login值。         '''     if is_login:         return render(request, 'home.html', {'username': username})     return redirect(reverse('user:login')) def logout(request):     response = redirect(reverse('user:login'))          # 删除session数据，即删除了session_data字段值中对应键和值，但是cookie信息还存在，请求还会携带cookie信息，也就成了脏数据，通过cookie再找session，已经找不到了。     #del request.session['is_login']           # 清除所有session，禁用！！！     request.session.clear()          # 清除当前的会话数据并删除会话的cookie，session，cookie一起干掉，删除session表中session的整条数据。     request.session.flush()     '''     执行以下操作：     1) request.COOKIE.get('sessionid')，获得session_key     2) django_session表中删除session_key对应的记录     3) response.delete_cookie('sessionid')     '''     return response

打开登录页面，没有携带任何cookie信息（csrf那个先不管）

发起登录请求，设置session信息，其中会生成随机字符串比如mjx9gsq47ofwmcg2ubxtg28uk6idbq2a，然后以这个sessionid为key，这个字符串为value，设置cookie信息。

并且在django_session插入记录，其中session_key字段的值就是sessionid的值，session_data字段的值就是上面设置的session键值对。

然后跳转到home页，就会携带cookie信息，获取sessionid的值，在数据库django_session表中查找是否有相关记录。

如果退出，则删除session信息

从DJANGO角度来看：

第一次请求：

① 第一次请求，在请求头中没有携带任何cookie信息。

② 我们在设置session的时候，session会做2件事。

第一件：将数据保存在数据库中。

第二件：设置一个cookie信息，这个cookie信息是以sessionid为key，value为xxxx，cookie肯定会以响应的形式在响应头中出现。

第二次以及之后的请求：

③ 都会携带cookie信息，特别是sessionid。

如果换了浏览器，还能获取到session信息吗？

解：不可以，因为session依赖于cookie，换了浏览器，都没有cookie信息了。

#Django#

文章来源于公众号【Python野路子】