Django：forms局部函数、cookie、sesion、auth模块

一、forms组件

二、cookie和session组件

三、auth组件

一、forms组件

　　1.校验字段功能

　　针对一个实例：注册用户讲解

模型：models

模板文件

视图函数

　　2.渲染标签功能

渲染方式1

渲染方式二

渲染方式三、

　　3、渲染错误信息功能

视图

模板

组件参数配置

　　5.局部钩子

　　6.全局钩子

二、cookie和session组件

　　1.什么是会话跟踪

　　我们需要了解下什么叫做会话，可以把会话理解成客户端和服务器之间的一次会晤，在一次会晤中可能会包含多次请求和响应。例如你给10086打电话，你就是客户端，10086就是服务器。双方接通电话的那一刻起，会话就开始，到某一方挂断电话表示会话结束，在通话过程中，你会向10086 发出很多请求，那么这个请求就在一个会话中。

在一个会话的多个请求中共享数据，这就是会话跟踪技术。例如在一个会话中的请求如下：  　　

　　    请求银行主页；

• 请求登录（请求参数是用户名和密码）；
• 请求转账（请求参数与转账相关的数据）；
• 请求信誉卡还款（请求参数与还款相关的数据）。

在这上会话中当前用户信息必须在这个会话中共享的，因为登录的是张三，那么在转账和还款时一定是相对张三的转账和还款！这就说明我们必须在一个会话过程中有共享数据的能力。

　　# 会话路径技术使用cookie或session完成

我们知道HTTP协议是无状态协议，也就是说每个请求都是独立的！无法记录前一次请求的状态。但HTTP协议中可以使用Cookie来完成会话跟踪！在Web开发中，使用session来完成会话跟踪，session底层依赖Cookie技术。

　　2.cookie

cookie的由来

大家都知道HTTP协议是无状态的。

无状态的意思是每次请求都是独立的，它的执行情况和结果与前面的请求和之后的请求都无直接关系，它不会受前面的请求响应情况直接影响，也不会直接影响后面的请求响应情况。

一句有意思的话来描述就是人生只如初见，对服务器来说，每次的请求都是全新的。

状态可以理解为客户端和服务器在某次会话中产生的数据，那无状态的就以为这些数据不会被保留。会话中产生的数据又是我们需要保存的，也就是说要“保持状态”。因此Cookie就是在这样一个场景下诞生。

　　# 什么cookie

其实Cookie是key-value结构，类似于一个python中的字典。随着服务器端的响应发送给客户端浏览器。然后客户端浏览器会把Cookie保存起来，当下一次再访问服务器时把Cookie再发送给服务器。 Cookie是由服务器创建，然后通过响应发送给客户端的一个键值对。客户端会保存Cookie，并会标注出Cookie的来源（哪个服务器的Cookie）。当客户端向服务器发出请求时会把所有这个服务器Cookie包含在请求中发送给服务器，这样服务器就可以识别客户端了！

　　#cookie的原理

cookie的工作原理是:由服务器产生内容，浏览器收到请求后保存在本地，当浏览器再次访问时，浏览器会自动带上cookie，这样服务器就能通过cookie的内容来判断这个是谁了

　　#cookie规范

cookie大小上限为4kb；

一个服务器最多在浏览器上保存20个cookie

一个浏览器上最多保存300个cookie

上面的数据只是http的cookie规范，但是浏览器大战的今天，一些浏览器为了打败对手，为了展现自己的能力起见，可能对cookie规范扩展了一些，例如每个cookie大小为8kb，最多可以保存500个kb等，但也不会出现把你的硬盘占满的可能！

注意，不同的浏览器之间是不共享cookie的，也就是说在你使用IE访问浏览器时，服务器会把Cookie发给IE，然后由IE保存起来，当你在使用FireFox访问服务器时，不可能把IE保存的Cookie发送给服务器。

　　#cookie的覆盖

如果服务器发送重复大的cookie那么会覆盖原有的cookie，例如客户端的第一个请求服务器端发送的cookie是：set-cookie：a=A；第二个请求服务器端发送的是：set-cookie：a=AA，那么客户端只留下一个cookie，即a=AA

　　# 在浏览器中查看cookie

浏览器中按F12，点network--cookies就能看到

　　django中操作cookie

　　# 获取cookie

参数：

• default: 默认值
• salt: 加密盐
• max_age: 后台控制过期时间

　　# 设置cookie

参数：

• key, 键
• value='', 值
• max_age=None, 超时时间 cookie需要延续的时间（以秒为单位）如果参数是\ None`` ，这个cookie会延续到浏览器关闭为止
• expires=None, 超时时间(IE requires expires, so set it if hasn't been already.)
• path='/', Cookie生效的路径，/ 表示根路径，特殊的：根路径的cookie可以被任何url的页面访问，浏览器只会把cookie回传给带有该路径的页面，这样可以避免将cookie传给站点中的其他的应用。
• domain=None, Cookie生效的域名 你可用这个参数来构造一个跨站cookie。如， domain=".example.com"所构造的cookie对下面这些站点都是可读的：www.example.com 、 www2.example.com 和an.other.sub.domain.example.com 。如果该参数设置为 None ，cookie只能由设置它的站点读取
• secure=False, 浏览器将通过HTTPS来回传cookie
• httponly=False 只能http协议传输，无法被JavaScript获取（不是绝对，底层抓包可以获取到也可以被覆盖）

　　#删除cookie

　　#cookie版登录校验

　　3.session

　　# session的由来

Cookie虽然在一定程度上解决了“保持状态”的需求，但是由于Cookie本身最大支持4096字节，以及Cookie本身保存在客户端，可能被拦截或窃取，因此就需要有一种新的东西，它能支持更多的字节，并且他保存在服务器，有较高的安全性。这就是Session。

问题来了，基于HTTP协议的无状态特征，服务器根本就不知道访问者是“谁”。那么上述的Cookie就起到桥接的作用。

我们可以给每个客户端的Cookie分配一个唯一的id，这样用户在访问时，通过Cookie，服务器就知道来的人是“谁”。然后我们再根据不同的Cookie的id，在服务器上保存一段时间的私密资料，如“账号密码”等等。

总结而言：Cookie弥补了HTTP无状态的不足，让服务器知道来的人是“谁”；但是Cookie以文本的形式保存在本地，自身安全性较差；所以我们就通过Cookie识别不同的用户，对应的在Session里保存私密的信息以及超过4096字节的文本。

另外，上述所说的Cookie和Session其实是共通性的东西，不限于语言和框架。

　　#django中的session相关方法

Django中使用session时，做的事：

　　# django中的session配置

思考，如果第二人再次在同一个浏览器上登录，django-session表会怎样

　　# CBV中加装饰器

三、auth组件

　　1.Auth模块是什么

Auth模块是Django自带的用户认证模块：

我们在开发一个网站的时候，无可避免的需要设计实现网站系统，此时我们需要实现包括用户注册、用户登录、用户认证、注销、修改密码等功能，这还真是个麻烦的事情

Django作为一个完美主义者的终极框架，当然也会想到用户的这些痛点。它内置了强大的用户认证系统--auth，它默认使用 auth_user 表来存储用户数据。

　　2.auth模块常用方法

导入模块

　　#authenticate()

提供了用户认证功能，即验证用户名以及密码是否正确，一般需要username 、password两个关键字参数。

如果认证成功（用户名和密码正确有效），便会返回一个 User 对象。

authenticate()会在该 User 对象上设置一个属性来标识后端已经认证了该用户，且该信息在后续的登录过程中是需要的。

用法：

　　#login(HttpRequest,user)

该函数接受一个HttpRequest对象，以及一个经过认证的User对象。

该函数实现一个用户登录的功能。它本质上会在后端为该用户生成相关session数据。

用法：

　　#logout(request)

该函数接受一个HttpRequest对象，无返回值

当调用该函数时，当前请求的session信息会全部清除，该用户即使没有登录，使用该函数也不会报错，

用法：

　　# is_authenticated()

用来判断当前请求是否通过了认证。

用法：

　　#login_requier()

auth给我们提供的一个装饰工具，用来快捷的给某个函数图添加登录校验

用法：

若用户没有登录，则会跳转到django默认的 登录URL '/accounts/login/ ' 并传递当前访问url的绝对路径 (登陆成功后，会重定向到该路径)。

如果需要自定义登录的URL，则需要在settings.py文件中通过LOGIN_URL进行修改。

示例：

　　#create_user()

auth提供一个创建新用户的方法，需要提供必要参数（username、password）等

用法

　　#create_superuser()

auth提供的一个创建的超级用户的方法，需要提供必要的参数（username、password）等

用法

　　#check_password(password)

auth 提供的一个检查密码是否正确的方法，需要提供当前请求用户的密码。

密码正确返回True，否则返回False。

用法：

　　3.扩展默认的auth_user表

这内置的认证系统这么好用，但是auth_user表字段都是固定的那几个，我在项目中没法拿来直接使用啊！

比如，我想要加一个存储用户手机号的字段，怎么办？

聪明的你可能会想到新建另外一张表然后通过一对一和内置的auth_user表关联，这样虽然能满足要求但是有没有更好的实现方式呢？

答案是当然有了。

我们可以通过继承内置的 AbstractUser 类，来定义一个自己的Model类。

这样既能根据项目需求灵活的设计用户表，又能使用Django强大的认证系统了。

注意：

　　按上面的方式扩展内置的auth_user表之后，一定要在settings.py中告诉Django，我现在使用我新定的User表来做用户认证，写法如下：

再次注意：

一旦我们指定了新的认证系统所使用的表，我们就需要重新在数据库中创建该表，而不能继续使用原来默认的auth_user表了