Cookie与Session的基本概念
Cookie 是存储在客户端浏览器的小型文本数据(键值对),用于跟踪用户状态。例如,用户登录后,服务器生成唯一标识(如sessionid)通过Cookie返回给浏览器,后续请求自动携带该标识供服务器识别用户。
Session 是服务器端存储的会话数据,通常与Cookie配合使用。服务器生成唯一的Session ID(如随机字符串)并通过Cookie发送给客户端,用户后续请求时,服务器根据该ID读取对应的Session数据(如用户权限、偏好设置等)。
两者的核心区别在于:
- 存储位置:Cookie在客户端,Session在服务器端。
- 安全性:Session更安全,适合存储敏感信息(如用户ID),而Cookie可能被篡改或窃取。
Django中的Cookie操作
设置Cookie
通过HttpResponse对象的set_cookie方法设置:
python
response = HttpResponse("设置Cookie")
response.set_cookie("username", "Alice", max_age=3600) # 有效期1小时
return response参数说明:
- key :这个 cookie 的 key 。
- value :这个 cookie 的 value 。
- max_age :最长的生命周期。单位是秒。
- expires :过期时间。跟 max_age 是类似的,只不过这个参数需要传递一个具体的日期,比如
- datetime 或者是符合日期格式的字符串。如果同时设置了 expires 和 max_age ,那么将会使用
- expires 的值作为过期时间。
- path :对域名下哪个路径有效。默认是对域名下所有路径都有效。
- domain :针对哪个域名有效。默认是针对主域名下都有效,如果只要针对某个子域名才有效,那
- 么可以设置这个属性.
- secure :是否是安全的,如果设置为 True ,那么只能在 https 协议下才可用。
- httponly :默认是 False 。如果为 True ,那么在客户端不能通过 JavaScript 进行操作。
读取Cookie
通过request.COOKIES字典获取:
username = request.COOKIES.get("username", "未登录")删除Cookie
使用delete_cookie方法:
response.delete_cookie("username")Django中的Session操作
配置Session存储方式
Django支持多种Session存储引擎,需在settings.py 中配置SESSION_ENGINE:
(自行添加,如果不添加就是默认的数据库存储)
- 数据库(默认) :
django.contrib.sessions.backends.db(需要先映射数据库模型) - 缓存 :
django.contrib.sessions.backends.cache - 文件 :
django.contrib.sessions.backends.file(需设置SESSION_FILE_PATH)。 - 加密Cookie :
django.contrib.sessions.backends.signed_cookies(数据加密后存储在客户端)。
设置Session数据
python
request.session["user_id"] = 123 # 保存用户ID到Session
request.session.set_expiry(1200) # 设置20分钟后过期set_expiry可接受整数(秒)、datetime对象或0(关闭浏览器即失效)。
读取与删除Session
python
user_id = request.session.get("user_id") # 获取用户ID
del request.session["user_id"] # 删除单个键
request.session.flush() # 清空整个Session并删除Cookie安全配置建议
- HTTPOnly :设置
SESSION_COOKIE_HTTPONLY = True,防止JavaScript访问Cookie。 - SameSite :设置
SESSION_COOKIE_SAMESITE = 'Lax'(默认),防止跨站请求伪造(CSRF)攻击。 - 加密存储 :使用
signed_cookies存储Session时,需确保SECRET_KEY保密,防止数据篡改。
实际应用案例:用户登录
登录视图
python
def login(request):
if request.method == "POST":
username = request.POST.get("username")
password = request.POST.get("password")
user = authenticate(username=username, password=password)
if user:
request.session["is_logged"] = True # 保存登录状态
request.session["user"] = username
response = redirect("/dashboard/")
response.set_cookie("login_time", datetime.now())
return response
return render(request, "login.html")登录校验装饰器
python
def login_required(view_func):
def wrapper(request, *args, **kwargs):
if not request.session.get("is_logged"):
return redirect("/login/")
return view_func(request, *args, **kwargs)
return wrapper退出登录
python
def logout(request):
request.session.flush() # 清除Session及Cookie
return redirect("/login/")配置最佳实践
- 过期时间:建议Session过期时间短于Cookie(如Session 30分钟,Cookie 1小时),增强安全性。
- 定期清理 :Django不会自动删除过期的Session数据,需通过
clearsessions命令清理。 - 生产环境存储:优先使用缓存(如Redis)或数据库,避免文件存储的性能瓶颈。
总结
Cookie和Session是Django中管理用户状态的核心工具:
- Cookie适合存储非敏感信息(如主题偏好)。
- Session 适合存储敏感数据(如用户ID、权限)。
通过合理配置存储方式和安全参数,可构建既安全又高效的Web应用。