假設用戶登錄Django站點。django如何知道http請求已通過身份驗證?
對於後續請求,django知道它是同一個用戶。 它是如何知道的?
用戶(瀏覽器)是否發送某種類型的ID? 如果是這樣,什麼阻止惡意用戶可以嘗試隨機ID登錄爲用戶?
我試圖將此應用程序轉換爲使用django。
應用程序給用戶標識賦予一個標記(某種id),並且用戶將其附加到http-header以用於所有後續請求。
如果我將應用程序轉換爲與django對話,我是否做了基本相同的事情?
編輯
我想要一個外行的解釋,並試圖讓一個自己。
當用戶登錄時,服務器生成一個id(django世界中的session_key)。 服務器可以通過此ID來識別用戶。
服務器通過cookie的形式給出了這樣的ID給客戶端(response.set_cookie(cookie_name, id)
)
客戶端發送這個cookie在服務器上作爲cookie每個請求。
(我猜程序員不需要做任何事情來發送cookie到服務器)
Cookie在django服務器設置的某個將來到期。
(是否有可能防止過期?)
所以Django的基本上是做同樣的事情,我的問題描述(不同的是一個是餅乾,一個是HTTP頭),並有描述我同樣的問題猜測?