Django 處理http請求之使用session
by:授客 QQ:1033553122 歡迎加入全國軟體測驗交流群:7156436
測驗環境
Win7
Django 1.11
Django提供了匿名會話支持,允許用戶存盤和檢索任意資料,它在服務端存盤資料,并對cookie的發送和接收做了抽象,Cookie包含了一個會話ID--并非資料本身(除非使用cookie based backend)
開啟會話
會話是通過中間件實作的,要開啟會話功能,需要編輯settings.py檔案,編輯MIDDLEWARE變數,確保變數包含 'django.contrib.sessions.middleware.SessionMiddleware'.通過django-admin startproject創建的默認settings.py已經開啟了SessionMiddleware
如果不想使用會話,需要從MIDDLEWARE變數中移除SessionMiddleware,并且移除INSTALLED_APPS中的django.contrib.sessions
配置會話引擎
默認的,Django在資料庫中存盤會話(使用django.contrib.sessions.models.Session model),雖然很方便,但是在某些情況下,存盤會話到別的地方會更快,所以,Django 可以配置為存盤會話資料到你的檔案系統上,或者是快取中,
Using database-backed sessions
必須添加'django.contrib.sessions'到settings.py中的INSTALLED_APPS配置
Using cached sessions
略
Using file-based sessions
略
Using cookie-based sessions
略
在views視圖中使用會話
當開啟會話功能,傳遞給每個Django view視圖函式的第一個引數,都會攜帶一個會話屬性--一個類似字典的物件
任何時候,都可以對request.session進行讀寫,可以多次編輯,
class backends.base.SessionBase
所有會話物件的基類,擁有以下標準字典方法:
__getitem__(key)
例子: fav_color = request.session['fav_color']
__setitem__(key, value)
例子: request.session['fav_color'] = 'blue'
__delitem__(key)
例子: del request.session['fav_color']. 如果給定key不存在會話中,會拋出KeyError,
__contains__(key)
例子: 'fav_color' in request.session
get(key, default=None)
根據session_key獲取值,如果key不存在則回傳default引數指定的值,
例子: fav_color = request.session.get('fav_color', 'red')
pop(key, default=__not_given)
例子: fav_color = request.session.pop('fav_color', 'blue')
keys()
獲取session_key,型別<class 'dict_keys'>
items()
#setdefault()
setdefault(session_key, value)
如果會話字典的鍵session_key不存在,則設定session_key的值為value,如果session_key已經存在則不做任何操作
clear()
flush()
從會話中洗掉當前會話資料和會話cookie,在無法再次通過用戶瀏覽器訪問之前的會話資料時這很有用,(比如呼叫django.contrib.auth.logout()函式將會呼叫它),
set_test_cookie()
設定測驗cookie來判斷用戶瀏覽器是否支持cookie,出于cookie的作業方式考慮,僅在用戶發起下一次頁面請求時才可以進行判斷,
test_cookie_worked()
根據用戶瀏覽器是否接受test cookie回傳True、False,出于cookie的作業方式考慮,必須在前一個獨立頁面請求中才可以呼叫set_test_cookie(),查看 Setting test cookies獲取更多資訊,
delete_test_cookie()
洗掉測驗cookie
set_expiry(value)
為session設定過期時間,
- 如果value為整數,無活動超過那個數,會話將過期,例如,request.session.set_expiry(300) 將設定會話過期時間為5分鐘,
- 如果 value 為一個datetime 、timedelta物件,那么會話將在指定的日期/時間過期,注意,datetime和timedelta值僅在使用PickleSerializer時可序列化,
- 如果value為0,當用戶關閉瀏覽器會話cookie將會過期,
- 如果value為None,將使用全域會話過期策略
讀取會話并不會改變會話的活動狀態,會話過期時間是從會話上一次被修改的時間算起的,
get_expiry_age()
獲取會話過期時間,對于那些沒有定義過期時間,或者設定為瀏覽器關閉后才過期的會話,將回傳SESSION_COOKIE_AGE
該函式接受兩個可選關鍵詞引數:
modification: 表示會話最后修改時間的datetime物件,默認為當前時間,
expiry: 會話過期資訊,一個datetime物件、或者是一個int(秒為單位)、或者None,默認為set_expiry()函式存盤在會話中的值,如果有的話,否則為None,
get_expiry_date()
回傳會話過期日期,對于那些沒有定義過期時間,或者設定為瀏覽器關閉后才過期的會話,等同于從現在開始算起,加上SESSION_COOKIE_AGE秒后的日期,(For sessions with no custom expiration (or those set to expire at browser close), this will equal the date SESSION_COOKIE_AGE seconds from now)
該函式同get_expiry_age()一樣,接受統一的關鍵詞引數,
get_expire_at_browser_close()
根據用戶關閉瀏覽器用戶會話是否過期回傳True、False,
clear_expired()
從會話存盤中移除過期會話,該類方法被 clearsessions呼叫,
cycle_key()
保留當前會話資料時創建一個新的會話key,django.contrib.auth.login()會呼叫該方法
例子
#-*- encoding:utf-8 -*-
__author__ = 'shouke'
from django.shortcuts import render
# Create your views here.
from django.template.response import TemplateResponse
# 可以把request.session當字典使用
def test_view(request):
print(request.session.keys())# 輸出鍵,資料型別:dict_keys
print(request.session.values())# 輸出值, 資料型別:dict_values
print(request.session.items())# 輸出鍵值對, 資料型別:dict_items
username = request.session.get('username', 'unknow') #獲取鍵對應的值,如果鍵不存在則回傳unknow
print('username: %s ' % username)
username = request.session.get('myusername', 'unknow')
print('myusername: %s ' % username)# 輸出myusername: unknow
# request.session.setdefault(session_key, value)
# 設定session_key的默認值為value,如果session_key已存在則不設定
request.session.setdefault('myusername', 'shouke')
request.session.setdefault('myusername', 'shouke2')
username = request.session.get('myusername')
print('myusername: %s ' % username)# 輸出myusername: shouke
request.session['myusername'] = 'keshou'# 設定鍵的值
username = request.session['myusername']
print('myusername: %s ' % username)# 輸出myusername: keshou
# 洗掉鍵值對
username = request.session.pop('myusername')
print('myusername: %s ' % username)
# 等價實作
# delrequest.session['myusername']
print(request.session.session_key)# 會話ID,# 即SESSION_COOKIE_NAME,存放在資料表.欄位:django_session.session_key
print(request.session.exists(request.session.session_key))# 判斷會話ID是否存在
request.session.clear_expired()# 洗掉過期會話(過期時間小于當前時間的會話)
request.session.delete(request.session.session_key)# 洗掉指定會話
request.session.clear() # 清除所有會話資料
# request.session.flush() # 清除所有會話資料并洗掉會話cookie
print(request.session.keys()) # 輸出[]
return render(request, 'website/pages/mytest.html',{})
注意:使用request.session.get('username') 比使用#request.session['username']安全,前者如果不存在名為username的字典key,則回傳None,后者則會報錯,
會話序列化
默認的Django使用JSON序列化session資料,可以使用SESSION_SERIALIZER 配置自定義會話序列化格式,強烈推薦使用JSON序列化,特別是使用backend cookie的情況下(存在安全問題),
Bundled serializers
class serializers.JSONSerializer
注意:保存字典型別的內容到會話中,django會對被保存的字典內容執行序列化,這會導致字典中的鍵值對失去原有的順序,解決方案:
所以得先采用json.dumps把內容轉為字串,再次從會話中取出該字串時,使用json.loads轉字串為字典,這樣可以保持字典內容的順序不變
其它,略
class serializers.PickleSerializer
支持任意python物件,但是存在安全問題,略
Write your own serializer
略
會話物件指南
- 使用普通python字串作為request.session字典的key,這更是一種約定,而非硬性規則.
- 下劃線開頭的會話字典key保留為Django內部使用.
- 不要使用新的物件覆寫request.session,并且不要訪問、設定其屬性,像字典一樣使用它,
例子
用戶提交一個評論后設定has_commented為True,即限制用戶只提交一次:
def post_comment(request, new_comment):
if request.session.get('has_commented', False):
return HttpResponse("You've already commented.")
c = comments.Comment(comment=new_comment)
c.save()
request.session['has_commented'] = True
return HttpResponse('Thanks for your comment!')
設定測驗cookies
典型用法:
from django.http import HttpResponse
from django.shortcuts import render
def login(request):
if request.method=='POST':
if request.session.test_cookie_worked():
request.session.delete_test_cookie()
return HttpResponse("You're logged in.")
else:
return HttpResponse("Please enable cookies and try again.")
request.session.set_test_cookie()
return render(request,'foo/login_form.html')
注意:實踐驗證,要按以下形式寫才可以
request.session.set_test_cookie()
if request.session.test_cookie_worked():
request.session.delete_test_cookie()
else:
# do something
view視圖之外使用會話
注意:
以下例子,直接從django.contrib.sessions.backends.db引入SessionStore 物件,實際編碼中需要結合實際,從SESSION_ENGINE設定的對應會話引擎中引入 SessionStore:
>>> from importlib import import_module
>>> from django.conf import settings
>>> SessionStore=import_module(settings.SESSION_ENGINE).SessionStore
提供了在視圖之外維護session資料的api
>>> from django.contrib.sessions.backends.db import SessionStore
>>> s=SessionStore()
>>> # 由于datetime不支持按JSON格式序列化,所以存盤為對應的秒數
>>> s['last_login']=1376587691
>>> s.create()
>>> s.session_key
'2b1189a188b44ad18c35e113ac6ceead'
>>> s=SessionStore(session_key='2b1189a188b44ad18c35e113ac6ceead')
>>> s['last_login']
1376587691
SessionStore.create() 用于創建一個新的會話(比如,一個不是從會話存盤中加載并且攜帶session_key=None的會話), save() 用于保存一個已有會話(比如,一個從會話存盤中加載的會話),對一個新會話執行save()呼叫,也可起作用,生成一個和已存在session_key沖突的session_key的機率更小, create() 呼叫save()方法,假如生成的session_key已經存在,會回圈呼叫直到生成一個未使用session_key.
如果當前使用的是django.contrib.sessions.backends.db ,每個會話都是一個普通的Django model實體,Sessionmodel定義在django/contrib/sessions/models.py,因為它是一個普通的model,所以可以通過普通的Django資料庫api訪問會話:
>>>from django.contrib.sessions.models import Session
>>>s=Session.objects.get(pk='2b1189a188b44ad18c35e113ac6ceead')
>>>s.expire_date
datetime.datetime(2005, 8, 20, 13, 35, 12)
注意,必須呼叫 get_decoded() 來獲取session字典,因為session字典是按一定格式編碼后存盤的,
>>>s.session_data
'KGRwMQpTJ19hdXRoX3VzZXJfaWQnCnAyCkkxCnMuMTExY2ZjODI2Yj...'
>>>s.get_decoded()
{'user_id': 42}
何時存盤會話
默認的,Django僅在會話被修改后存盤到會話資料庫--也就是說,只要任意會話字典值被賦值或者洗掉:
#修改會話
request.session['foo']='bar'
del request.session['foo']
request.session['foo']={}
# 會話未被修改,因為它更改的是request.session['foo'],而非request.session.
request.session['foo']['bar']='baz'
上述最后一種情況下,如果我們想顯示的告訴django會話已經被修改,需要增加以下陳述句:
request.session.modified=True
如果想要改變這種默認行為,可以設定SESSION_SAVE_EVERY_REQUEST 配置為True,這樣以后,Django將會針對每個請求存盤會話到資料庫,
注意,默認的,會話cookie僅在會話被修改、創建時才會發送給客戶端,如果SESSION_SAVE_EVERY_REQUEST被設定為True,針對每個請求,都會發送會話cookie,
類似的,每次發送會話cookie,都會更新會話cookie組成部分expires
如果回應狀態碼為500,不會保存會話,
Browser-length sessions vs. persistent sessions
可以通過修改SESSION_EXPIRE_AT_BROWSER_CLOSE配置,控制會話框架使用browser-length sessions 還是 persistent sessions ,
默認的,SESSION_EXPIRE_AT_BROWSER_CLOSE被設定為False,也就是說會話cookie會存盤在用戶瀏覽器中,存盤時長和SESSION_COOKIE_AGE一樣久,這樣就重新打開瀏覽器不需要重新登錄
如果SESSION_EXPIRE_AT_BROWSER_CLOSE被設定為True,Django將使用browser-length cookies – 用戶一關閉瀏覽器,cookie就失效,這樣,每次重新打開瀏覽器,用戶都要重新登錄,
該配置是全域配置的,可以通過呼叫 request.session的set_expiry()的方法對單個視圖中的會話進行配置,
注意:一些瀏覽器,比如chrome,提供允許用戶關閉瀏覽器,重新打開瀏覽器后用戶可以不用重新登錄繼續會話操作,這會影響SESSION_EXPIRE_AT_BROWSER_CLOSE配置
清除會話存盤
會話后端當使用資料庫時,用戶登錄時,Django會添加一行記錄到django_session資料表,每次會話被修改時,Django會更新對應記錄,如果用戶手動退出,Django會洗掉該行資料,但是如果用戶一直不退出,該行記錄不會被洗掉,會話后端使用檔案時也是類似這個處理程序,
Django 不提供過期會話自動清理,所以,需要自己定期清理過期會話,出于這個目的,Django 提供了一個清理管理命令: clearsessions. 推薦定期執行這個命令
注意,假如會話后端使用快取,則不存這個問題,因為快取會自動清理過期資料,
Settings.py中的配置
- SESSION_CACHE_ALIAS
- SESSION_COOKIE_AGE
設定session cookie失效日期(默認值:2周,1209600毫秒)
SESSION_COOKIE_AGE = 1209600 #默認
- SESSION_COOKIE_DOMAIN
設定session cookie的域名,例子:
SESSION_COOKIE_DOMAIN = None # 默認
- SESSION_COOKIE_HTTPONLY
設定session cookie是否只支持http傳輸,例子:
SESSION_COOKIE_HTTPONLY = True # 默認
- SESSION_COOKIE_NAME
設定session cookie名稱,即session的cookie保存在瀏覽器上時的key,例子:
SESSION_COOKIE_NAME = 'sessionid' #默認
- SESSION_COOKIE_PATH
設定session cookie路徑,例子:
session_cookie_name = '/' # 默認
- SESSION_COOKIE_SAMESITE
- SESSION_COOKIE_SECURE
設定是否Https傳輸cookie,例子:
SESSION_COOKIE_SECURE = False # 默認
- SESSION_ENGINE
配置會話引擎,例子:
SESSION_ENGINE = 'django.contrib.sessions.backends.db' #默認
- SESSION_EXPIRE_AT_BROWSER_CLOSE
設定是否關閉瀏器session立即過期
SESSION_EXPIRE_AT_BROWSER_CLOSE = False #默認
- SESSION_FILE_PATH
- SESSION_SAVE_EVERY_REQUEST
設定是否每次請求都保存session,例子:
SESSION_SAVE_EVERY_REQUEST = False #默認
- SESSION_SERIALIZER
會話安全
- 盡量使用JSONSerializer,而不是PickleSerializer
- 存盤會話資料到django_session資料表,
- 僅在需要時發送cookie
SessionStore 物件
當在內部處理會話時,Django使用來自相應會話引擎的會話存盤物件,按約定,會話存盤物件類名為SessionStore,并且位于SESSION_ENGINE指定的模塊中,
Django中可獲取的SessionStore物件繼承與SessionBase ,并實作了以下資料維護方法:
- exists()
- create()
- save()
- delete()
- load()
- clear_expired()
Extending database-backed session engines
略
Session IDs in URLs
略
參考鏈接
https://docs.djangoproject.com/en/dev/topics/http/sessions/
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/30861.html
標籤:Python