Django 處理http請求之使用session
Django 處理http請求之使用session
by:授客 QQ:1033553122 歡迎加入全國軟體測試交流群:7156436
測試環境
Win7
Django 1.11
Django提供了匿名會話支援。允許使用者儲存和檢索任意資料。它在服務端儲存資料,並對cookie的傳送和接收做了抽象。Cookie包含了一個會話ID--並非資料本身(除非使用cookie based backend)
開啟會話
會話是通過中介軟體實現的。要開啟會話功能,需要編輯settings.py檔案,編輯MIDDLEWARE變數,確保變數包含'django.contrib.sessions.middleware.SessionMiddleware'
如果不想使用會話,需要從MIDDLEWARE變數中移除SessionMiddleware,並且移除INSTALLED_APPS中的django.contrib.sessions
配置會話引擎
預設的,Django在資料庫中儲存會話(使用django.contrib.sessions.models.Session model)。雖然很方便,但是在某些情況下,儲存會話到別的地方會更快,所以,Django 可以配置為儲存會話資料到你的檔案系統上,或者是快取中。
Using database-backed sessions
必須新增'django.contrib.sessions'到settings.py中的INSTALLED_APPS配置
Using cached sessions
略
Using file-based sessions
略
Using cookie-based sessions
略
在views檢視中使用會話
當開啟會話功能,傳遞給每個Django view檢視函式的第一個引數,都會攜帶一個會話屬性--一個類似字典的物件
任何時候,都可以對request.session進行讀寫,可以多次編輯。
classbackends.base.SessionBase
所有會話物件的基類,擁有以下標準字典方法:
__getitem__(key)
例子:fav_color=request.session['fav_color']
__setitem__(key,value)
例子:request.session['fav_color']='blue'
__delitem__(key)
例子:delrequest.session['fav_color']. 如果給定key不存在會話中,會丟擲KeyError。
__contains__(key)
例子:'fav_color'inrequest.session
get(key,default=None)
根據session_key獲取值,如果key不存在則返回default引數指定的值。
例子:fav_color=request.session.get('fav_color','red')
pop(key,default=__not_given)
例子:fav_color=request.session.pop('fav_color','blue')
keys()
獲取session_key,型別<class 'dict_keys'>
items()
#setdefault()
setdefault(session_key, value)
如果會話字典的鍵session_key不存在,則設定session_key的值為value,如果session_key已經存在則不做任何操作
clear()
flush()
從會話中刪除當前會話資料和會話cookie。在無法再次通過使用者瀏覽器訪問之前的會話資料時這很有用。(比如呼叫django.contrib.auth.logout()函式將會呼叫它)。
set_test_cookie()
設定測試cookie來判斷使用者瀏覽器是否支援cookie。出於cookie的工作方式考慮,僅在使用者發起下一次頁面請求時才可以進行判斷。
test_cookie_worked()
根據使用者瀏覽器是否接受test cookie返回True、False。出於cookie的工作方式考慮,必須在前一個獨立頁面請求中才可以呼叫set_test_cookie()。檢視Setting test cookies獲取更多資訊。
delete_test_cookie()
刪除測試cookie
set_expiry(value)
為session設定過期時間。
- 如果value為整數,無活動超過那個數,會話將過期。例如,request.session.set_expiry(300)將設定會話過期時間為5分鐘。
- 如果value為一個datetime、timedelta物件,那麼會話將在指定的日期/時間過期。注意,datetime和timedelta值僅在使用PickleSerializer時可序列化。
- 如果value為0,當用戶關閉瀏覽器會話cookie將會過期。
- 如果value為None,將使用全域性會話過期策略
讀取會話並不會改變會話的活動狀態。會話過期時間是從會話上一次被修改的時間算起的。
get_expiry_age()
獲取會話過期時間。對於那些沒有定義過期時間,或者設定為瀏覽器關閉後才過期的會話,將返回SESSION_COOKIE_AGE
該函式接受兩個可選關鍵詞引數:
modification: 表示會話最後修改時間的datetime物件,預設為當前時間。
expiry: 會話過期資訊,一個datetime物件、或者是一個int(秒為單位)、或者None。預設為set_expiry()函式儲存在會話中的值,如果有的話,否則為None。
get_expiry_date()
返回會話過期日期。對於那些沒有定義過期時間,或者設定為瀏覽器關閉後才過期的會話,等同於從現在開始算起,加上SESSION_COOKIE_AGE秒後的日期。(For sessions with no custom expiration (or those set to expire at browser close), this will equal the dateSESSION_COOKIE_AGEseconds from now)
該函式同get_expiry_age()一樣,接受統一的關鍵詞引數。
get_expire_at_browser_close()
根據使用者關閉瀏覽器使用者會話是否過期返回True、False。
clear_expired()
從會話儲存中移除過期會話。該類方法被clearsessions呼叫。
cycle_key()
保留當前會話資料時建立一個新的會話key。django.contrib.auth.login()會呼叫該方法
例子
#-*- encoding:utf-8 -*-
__author__ = 'shouke'
from django.shortcuts import render
# Create your views here.
from django.template.response import TemplateResponse
# 可以把request.session當字典使用
def test_view(request):
print(request.session.keys())# 輸出鍵,資料型別:dict_keys
print(request.session.values())# 輸出值, 資料型別:dict_values
print(request.session.items())# 輸出鍵值對, 資料型別:dict_items
username = request.session.get('username', 'unknow') #獲取鍵對應的值,如果鍵不存在則返回unknow
print('username: %s ' % username)
username = request.session.get('myusername', 'unknow')
print('myusername: %s ' % username)# 輸出myusername: unknow
# request.session.setdefault(session_key, value)
# 設定session_key的預設值為value,如果session_key已存在則不設定
request.session.setdefault('myusername', 'shouke')
request.session.setdefault('myusername', 'shouke2')
username = request.session.get('myusername')
print('myusername: %s ' % username)# 輸出myusername: shouke
request.session['myusername'] = 'keshou'# 設定鍵的值
username = request.session['myusername']
print('myusername: %s ' % username)# 輸出myusername: keshou
# 刪除鍵值對
username = request.session.pop('myusername')
print('myusername: %s ' % username)
# 等價實現
# delrequest.session['myusername']
print(request.session.session_key)# 會話ID,# 即SESSION_COOKIE_NAME,存放在資料表.欄位:django_session.session_key
print(request.session.exists(request.session.session_key))# 判斷會話ID是否存在
request.session.clear_expired()# 刪除過期會話(過期時間小於當前時間的會話)
request.session.delete(request.session.session_key)# 刪除指定會話
request.session.clear() # 清除所有會話資料
# request.session.flush() # 清除所有會話資料並刪除會話cookie
print(request.session.keys()) # 輸出[]
return render(request, 'website/pages/mytest.html',{})
注意:使用request.session.get('username') 比使用#request.session['username']安全,前者如果不存在名為username的字典key,則返回None,後者則會報錯。
會話序列化
預設的Django使用JSON序列化session資料。可以使用SESSION_SERIALIZER配置自定義會話序列化格式。強烈推薦使用JSON序列化,特別是使用backend cookie的情況下(存在安全問題)。
Bundled serializers
classserializers.JSONSerializer
注意:儲存字典型別的內容到會話中,django會對被儲存的字典內容執行序列化,這會導致字典中的鍵值對失去原有的順序,解決方案:
所以得先採用json.dumps把內容轉為字串,再次從會話中取出該字串時,使用json.loads轉字串為字典,這樣可以保持字典內容的順序不變
其它,略
classserializers.PickleSerializer
支援任意python物件,但是存在安全問題。略
Write your own serializer
略
會話物件指南
- 使用普通python字串作為request.session字典的key。這更是一種約定,而非硬性規則.
- 下劃線開頭的會話字典key保留為Django內部使用.
- 不要使用新的物件覆蓋request.session,並且不要訪問、設定其屬性。像字典一樣使用它。
例子
使用者提交一個評論後設置has_commented為True,即限制使用者只提交一次:
def post_comment(request, new_comment):
if request.session.get('has_commented', False):
return HttpResponse("You've already commented.")
c = comments.Comment(comment=new_comment)
c.save()
request.session['has_commented'] = True
return HttpResponse('Thanks for your comment!')
設定測試cookies
典型用法:
from django.http import HttpResponse
from django.shortcuts import render
def login(request):
if request.method=='POST':
if request.session.test_cookie_worked():
request.session.delete_test_cookie()
return HttpResponse("You're logged in.")
else:
return HttpResponse("Please enable cookies and try again.")
request.session.set_test_cookie()
return render(request,'foo/login_form.html')
注意:實踐驗證,要按以下形式寫才可以
request.session.set_test_cookie()
if request.session.test_cookie_worked():
request.session.delete_test_cookie()
else:
# do something
view檢視之外使用會話
注意:
以下例子,直接從django.contrib.sessions.backends.db引入SessionStore物件,實際編碼中需要結合實際,從SESSION_ENGINE設定的對應會話引擎中引入SessionStore:
>>> from importlib import import_module
>>> from django.conf import settings
>>> SessionStore=import_module(settings.SESSION_ENGINE).SessionStore
提供了在檢視之外維護session資料的api
>>> from django.contrib.sessions.backends.db import SessionStore
>>> s=SessionStore()
>>> # 由於datetime不支援按JSON格式序列化,所以儲存為對應的秒數
>>> s['last_login']=1376587691
>>> s.create()
>>> s.session_key
'2b1189a188b44ad18c35e113ac6ceead'
>>> s=SessionStore(session_key='2b1189a188b44ad18c35e113ac6ceead')
>>> s['last_login']
1376587691
SessionStore.create()用於建立一個新的會話(比如,一個不是從會話儲存中載入並且攜帶session_key=None的會話)。save()用於儲存一個已有會話(比如,一個從會話儲存中載入的會話)。對一個新會話執行save()呼叫,也可起作用,生成一個和已存在session_key衝突的session_key的機率更小。create()呼叫save()方法,假如生成的session_key已經存在,會迴圈呼叫直到生成一個未使用session_key.
如果當前使用的是django.contrib.sessions.backends.db,每個會話都是一個普通的Django model例項。Sessionmodel定義在django/contrib/sessions/models.py,因為它是一個普通的model,所以可以通過普通的Django資料庫api訪問會話:
>>>from django.contrib.sessions.models import Session
>>>s=Session.objects.get(pk='2b1189a188b44ad18c35e113ac6ceead')
>>>s.expire_date
datetime.datetime(2005, 8, 20, 13, 35, 12)
注意,必須呼叫get_decoded()來獲取session字典,因為session字典是按一定格式編碼後儲存的。
>>>s.session_data
'KGRwMQpTJ19hdXRoX3VzZXJfaWQnCnAyCkkxCnMuMTExY2ZjODI2Yj...'
>>>s.get_decoded()
{'user_id': 42}
何時儲存會話
預設的,Django僅在會話被修改後儲存到會話資料庫--也就是說,只要任意會話字典值被賦值或者刪除:
#修改會話
request.session['foo']='bar'
del request.session['foo']
request.session['foo']={}
# 會話未被修改,因為它更改的是request.session['foo'],而非request.session.
request.session['foo']['bar']='baz'
上述最後一種情況下,如果我們想顯示的告訴django會話已經被修改,需要增加以下語句:
request.session.modified=True
如果想要改變這種預設行為,可以設定SESSION_SAVE_EVERY_REQUEST配置為True。這樣以後,Django將會針對每個請求儲存會話到資料庫。
注意,預設的,會話cookie僅在會話被修改、建立時才會傳送給客戶端。如果SESSION_SAVE_EVERY_REQUEST被設定為True,針對每個請求,都會發送會話cookie。
類似的,每次傳送會話cookie,都會更新會話cookie組成部分expires
如果響應狀態碼為500,不會儲存會話。
Browser-length sessions vs. persistent sessions
可以通過修改SESSION_EXPIRE_AT_BROWSER_CLOSE配置,控制會話框架使用browser-length sessions 還是 persistent sessions 。
預設的,SESSION_EXPIRE_AT_BROWSER_CLOSE被設定為False,也就是說會話cookie會儲存在使用者瀏覽器中,儲存時長和SESSION_COOKIE_AGE一樣久。這樣就重新開啟瀏覽器不需要重新登入
如果SESSION_EXPIRE_AT_BROWSER_CLOSE被設定為True,Django將使用browser-length cookies – 使用者一關閉瀏覽器,cookie就失效。這樣,每次重新開啟瀏覽器,使用者都要重新登入。
該配置是全域性配置的,可以通過呼叫request.session的set_expiry()的方法對單個檢視中的會話進行配置。
注意:一些瀏覽器,比如chrome,提供允許使用者關閉瀏覽器,重新開啟瀏覽器後用戶可以不用重新登入繼續會話操作。這會影響SESSION_EXPIRE_AT_BROWSER_CLOSE配置
清除會話儲存
會話後端當使用資料庫時,使用者登入時,Django會新增一行記錄到django_session資料表,每次會話被修改時,Django會更新對應記錄,如果使用者手動退出,Django會刪除該行資料,但是如果使用者一直不退出,該行記錄不會被刪除。會話後端使用檔案時也是類似這個處理過程。
Django 不提供過期會話自動清理,所以,需要自己定期清理過期會話。出於這個目的,Django 提供了一個清理管理命令:clearsessions. 推薦定期執行這個命令
注意,假如會話後端使用快取,則不存這個問題,因為快取會自動清理過期資料。
Settings.py中的配置
設定session cookie失效日期(預設值:2周,1209600毫秒)
SESSION_COOKIE_AGE = 1209600 #預設
設定session cookie的域名,例子:
SESSION_COOKIE_DOMAIN = None # 預設
設定session cookie是否只支援http傳輸,例子:
SESSION_COOKIE_HTTPONLY = True # 預設
設定session cookie名稱,即session的cookie儲存在瀏覽器上時的key,例子:
SESSION_COOKIE_NAME = 'sessionid' #預設
設定session cookie路徑,例子:
session_cookie_name = '/' # 預設
設定是否Https傳輸cookie,例子:
SESSION_COOKIE_SECURE = False # 預設
配置會話引擎,例子:
SESSION_ENGINE = 'django.contrib.sessions.backends.db' #預設
設定是否關閉瀏器session立即過期
SESSION_EXPIRE_AT_BROWSER_CLOSE = False #預設
設定是否每次請求都儲存session,例子:
SESSION_SAVE_EVERY_REQUEST = False #預設
會話安全
- 儘量使用JSONSerializer,而不是PickleSerializer
- 儲存會話資料到django_session資料表。
- 僅在需要時傳送cookie
SessionStore物件
當在內部處理會話時,Django使用來自相應會話引擎的會話儲存物件。按約定,會話儲存物件類名為SessionStore,並且位於SESSION_ENGINE指定的模組中。
Django中可獲取的SessionStore物件繼承與SessionBase,並實現了以下資料維護方法:
- exists()
- create()
- save()
- delete()
- load()
- clear_expired()
Extending database-backed session engines
略
Session IDs in URLs
略
參考連結
https://docs.djangoproject.com/en/dev/topics/http/sessions/