Django 處理http請求之使用session
by:授客 QQ:1033553122 歡迎加入全國軟件測試交流群:7156436
測試環境
Win7
Django 1.11
Django提供了匿名會話支持。允許用戶存儲和檢索任意數據。它在服務端存儲數據,並對cookie的發送和接收做了抽象。Cookie包含了一個會話ID--並非數據本身(除非使用cookie based backend)
開啟會話
會話是通過中間件實現的。要開啟會話功能,需要編輯settings.py文件,編輯MIDDLEWARE變量,確保變量包含 'django.contrib.sessions.middleware.SessionMiddleware'.通過django-admin startproject創建的默認settings.py已經開啟了SessionMiddleware
如果不想使用會話,需要從MIDDLEWARE變量中移除SessionMiddleware,並且移除INSTALLED_APPS中的django.contrib.sessions
配置會話引擎
默認的,Django在數據庫中存儲會話(使用django.contrib.sessions.models.Session model)。雖然很方便,但是在某些情況下,存儲會話到別的地方會更快,所以,Django 可以配置為存儲會話數據到你的文件系統上,或者是緩存中。
Using database-backed sessions
必須添加'django.contrib.sessions'到settings.py中的INSTALLED_APPS配置
Using cached sessions
略
Using file-based sessions
略
Using cookie-based sessions
略
在views視圖中使用會話
當開啟會話功能,傳遞給每個Django view視圖函數的第一個參數,都會攜帶一個會話屬性--一個類似字典的對象
任何時候,都可以對request.session進行讀寫,可以多次編輯。
class backends.base.SessionBase
所有會話對象的基類,擁有以下標准字典方法:
__getitem__(key)
例子: fav_color = request.session['fav_color']
__setitem__(key, value)
例子: request.session['fav_color'] = 'blue'
__delitem__(key)
例子: del request.session['fav_color']. 如果給定key不存在會話中,會拋出KeyError。
__contains__(key)
例子: 'fav_color' in request.session
get(key, default=None)
根據session_key獲取值,如果key不存在則返回default參數指定的值。
例子: fav_color = request.session.get('fav_color', 'red')
pop(key, default=__not_given)
例子: fav_color = request.session.pop('fav_color', 'blue')
keys()
獲取session_key,類型<class 'dict_keys'>
items()
#setdefault()
setdefault(session_key, value)
如果會話字典的鍵session_key不存在,則設置session_key的值為value,如果session_key已經存在則不做任何操作
clear()
flush()
從會話中刪除當前會話數據和會話cookie。在無法再次通過用戶瀏覽器訪問之前的會話數據時這很有用。(比如調用django.contrib.auth.logout()函數將會調用它)。
set_test_cookie()
設置測試cookie來判斷用戶瀏覽器是否支持cookie。出於cookie的工作方式考慮,僅在用戶發起下一次頁面請求時才可以進行判斷。
test_cookie_worked()
根據用戶瀏覽器是否接受test cookie返回True、False。出於cookie的工作方式考慮,必須在前一個獨立頁面請求中才可以調用set_test_cookie()。查看 Setting test cookies獲取更多信息。
delete_test_cookie()
刪除測試cookie
set_expiry(value)
為session設置過期時間。
- 如果value為整數,無活動超過那個數,會話將過期。例如,request.session.set_expiry(300) 將設定會話過期時間為5分鍾。
- 如果 value 為一個datetime 、timedelta對象,那么會話將在指定的日期/時間過期。注意,datetime和timedelta值僅在使用PickleSerializer時可序列化。
- 如果value為0,當用戶關閉瀏覽器會話cookie將會過期。
- 如果value為None,將使用全局會話過期策略
讀取會話並不會改變會話的活動狀態。會話過期時間是從會話上一次被修改的時間算起的。
get_expiry_age()
獲取會話過期時間。對於那些沒有定義過期時間,或者設置為瀏覽器關閉后才過期的會話,將返回SESSION_COOKIE_AGE
該函數接受兩個可選關鍵詞參數:
modification: 表示會話最后修改時間的datetime對象,默認為當前時間。
expiry: 會話過期信息,一個datetime對象、或者是一個int(秒為單位)、或者None。默認為set_expiry()函數存儲在會話中的值,如果有的話,否則為None。
get_expiry_date()
返回會話過期日期。對於那些沒有定義過期時間,或者設置為瀏覽器關閉后才過期的會話,等同於從現在開始算起,加上SESSION_COOKIE_AGE秒后的日期。(For sessions with no custom expiration (or those set to expire at browser close), this will equal the date SESSION_COOKIE_AGE seconds from now)
該函數同get_expiry_age()一樣,接受統一的關鍵詞參數。
get_expire_at_browser_close()
根據用戶關閉瀏覽器用戶會話是否過期返回True、False。
clear_expired()
從會話存儲中移除過期會話。該類方法被 clearsessions調用。
cycle_key()
保留當前會話數據時創建一個新的會話key。django.contrib.auth.login()會調用該方法
例子
#-*- encoding:utf-8 -*-
__author__ = 'shouke'
from django.shortcuts import render
# Create your views here.
from django.template.response import TemplateResponse
# 可以把request.session當字典使用
def test_view(request):
print(request.session.keys())# 輸出鍵,數據類型:dict_keys
print(request.session.values())# 輸出值, 數據類型:dict_values
print(request.session.items())# 輸出鍵值對, 數據類型:dict_items
username = request.session.get('username', 'unknow') #獲取鍵對應的值,如果鍵不存在則返回unknow
print('username: %s ' % username)
username = request.session.get('myusername', 'unknow')
print('myusername: %s ' % username)# 輸出myusername: unknow
# request.session.setdefault(session_key, value)
# 設置session_key的默認值為value,如果session_key已存在則不設置
request.session.setdefault('myusername', 'shouke')
request.session.setdefault('myusername', 'shouke2')
username = request.session.get('myusername')
print('myusername: %s ' % username)# 輸出myusername: shouke
request.session['myusername'] = 'keshou'# 設置鍵的值
username = request.session['myusername']
print('myusername: %s ' % username)# 輸出myusername: keshou
# 刪除鍵值對
username = request.session.pop('myusername')
print('myusername: %s ' % username)
# 等價實現
# delrequest.session['myusername']
print(request.session.session_key)# 會話ID,# 即SESSION_COOKIE_NAME,存放在數據表.字段:django_session.session_key
print(request.session.exists(request.session.session_key))# 判斷會話ID是否存在
request.session.clear_expired()# 刪除過期會話(過期時間小於當前時間的會話)
request.session.delete(request.session.session_key)# 刪除指定會話
request.session.clear() # 清除所有會話數據
# request.session.flush() # 清除所有會話數據並刪除會話cookie
print(request.session.keys()) # 輸出[]
return render(request, 'website/pages/mytest.html',{})
注意:使用request.session.get('username') 比使用#request.session['username']安全,前者如果不存在名為username的字典key,則返回None,后者則會報錯。
會話序列化
默認的Django使用JSON序列化session數據。可以使用SESSION_SERIALIZER 配置自定義會話序列化格式。強烈推薦使用JSON序列化,特別是使用backend cookie的情況下(存在安全問題)。
Bundled serializers
class serializers.JSONSerializer
注意:保存字典類型的內容到會話中,django會對被保存的字典內容執行序列化,這會導致字典中的鍵值對失去原有的順序,解決方案:
所以得先采用json.dumps把內容轉為字符串,再次從會話中取出該字符串時,使用json.loads轉字符串為字典,這樣可以保持字典內容的順序不變
其它,略
class serializers.PickleSerializer
支持任意python對象,但是存在安全問題。略
Write your own serializer
略
會話對象指南
- 使用普通python字符串作為request.session字典的key。這更是一種約定,而非硬性規則.
- 下划線開頭的會話字典key保留為Django內部使用.
- 不要使用新的對象覆蓋request.session,並且不要訪問、設置其屬性。像字典一樣使用它。
例子
用戶提交一個評論后設置has_commented為True,即限制用戶只提交一次:
def post_comment(request, new_comment):
if request.session.get('has_commented', False):
return HttpResponse("You've already commented.")
c = comments.Comment(comment=new_comment)
c.save()
request.session['has_commented'] = True
return HttpResponse('Thanks for your comment!')
設置測試cookies
典型用法:
from django.http import HttpResponse
from django.shortcuts import render
def login(request):
if request.method=='POST':
if request.session.test_cookie_worked():
request.session.delete_test_cookie()
return HttpResponse("You're logged in.")
else:
return HttpResponse("Please enable cookies and try again.")
request.session.set_test_cookie()
return render(request,'foo/login_form.html')
注意:實踐驗證,要按以下形式寫才可以
request.session.set_test_cookie()
if request.session.test_cookie_worked():
request.session.delete_test_cookie()
else:
# do something
view視圖之外使用會話
注意:
以下例子,直接從django.contrib.sessions.backends.db引入SessionStore 對象,實際編碼中需要結合實際,從SESSION_ENGINE設置的對應會話引擎中引入 SessionStore:
>>> from importlib import import_module
>>> from django.conf import settings
>>> SessionStore=import_module(settings.SESSION_ENGINE).SessionStore
提供了在視圖之外維護session數據的api
>>> from django.contrib.sessions.backends.db import SessionStore
>>> s=SessionStore()
>>> # 由於datetime不支持按JSON格式序列化,所以存儲為對應的秒數
>>> s['last_login']=1376587691
>>> s.create()
>>> s.session_key
'2b1189a188b44ad18c35e113ac6ceead'
>>> s=SessionStore(session_key='2b1189a188b44ad18c35e113ac6ceead')
>>> s['last_login']
1376587691
SessionStore.create() 用於創建一個新的會話(比如,一個不是從會話存儲中加載並且攜帶session_key=None的會話)。 save() 用於保存一個已有會話(比如,一個從會話存儲中加載的會話)。對一個新會話執行save()調用,也可起作用,生成一個和已存在session_key沖突的session_key的機率更小。 create() 調用save()方法,假如生成的session_key已經存在,會循環調用直到生成一個未使用session_key.
如果當前使用的是django.contrib.sessions.backends.db ,每個會話都是一個普通的Django model實例。Sessionmodel定義在django/contrib/sessions/models.py,因為它是一個普通的model,所以可以通過普通的Django數據庫api訪問會話:
>>>from django.contrib.sessions.models import Session
>>>s=Session.objects.get(pk='2b1189a188b44ad18c35e113ac6ceead')
>>>s.expire_date
datetime.datetime(2005, 8, 20, 13, 35, 12)
注意,必須調用 get_decoded() 來獲取session字典,因為session字典是按一定格式編碼后存儲的。
>>>s.session_data
'KGRwMQpTJ19hdXRoX3VzZXJfaWQnCnAyCkkxCnMuMTExY2ZjODI2Yj...'
>>>s.get_decoded()
{'user_id': 42}
何時存儲會話
默認的,Django僅在會話被修改后存儲到會話數據庫--也就是說,只要任意會話字典值被賦值或者刪除:
#修改會話
request.session['foo']='bar'
del request.session['foo']
request.session['foo']={}
# 會話未被修改,因為它更改的是request.session['foo'],而非request.session.
request.session['foo']['bar']='baz'
上述最后一種情況下,如果我們想顯示的告訴django會話已經被修改,需要增加以下語句:
request.session.modified=True
如果想要改變這種默認行為,可以設置SESSION_SAVE_EVERY_REQUEST 配置為True。這樣以后,Django將會針對每個請求存儲會話到數據庫。
注意,默認的,會話cookie僅在會話被修改、創建時才會發送給客戶端。如果SESSION_SAVE_EVERY_REQUEST被設置為True,針對每個請求,都會發送會話cookie。
類似的,每次發送會話cookie,都會更新會話cookie組成部分expires
如果響應狀態碼為500,不會保存會話。
Browser-length sessions vs. persistent sessions
可以通過修改SESSION_EXPIRE_AT_BROWSER_CLOSE配置,控制會話框架使用browser-length sessions 還是 persistent sessions 。
默認的,SESSION_EXPIRE_AT_BROWSER_CLOSE被設置為False,也就是說會話cookie會存儲在用戶瀏覽器中,存儲時長和SESSION_COOKIE_AGE一樣久。這樣就重新打開瀏覽器不需要重新登錄
如果SESSION_EXPIRE_AT_BROWSER_CLOSE被設置為True,Django將使用browser-length cookies – 用戶一關閉瀏覽器,cookie就失效。這樣,每次重新打開瀏覽器,用戶都要重新登錄。
該配置是全局配置的,可以通過調用 request.session的set_expiry()的方法對單個視圖中的會話進行配置。
注意:一些瀏覽器,比如chrome,提供允許用戶關閉瀏覽器,重新打開瀏覽器后用戶可以不用重新登錄繼續會話操作。這會影響SESSION_EXPIRE_AT_BROWSER_CLOSE配置
清除會話存儲
會話后端當使用數據庫時,用戶登錄時,Django會添加一行記錄到django_session數據表,每次會話被修改時,Django會更新對應記錄,如果用戶手動退出,Django會刪除該行數據,但是如果用戶一直不退出,該行記錄不會被刪除。會話后端使用文件時也是類似這個處理過程。
Django 不提供過期會話自動清理,所以,需要自己定期清理過期會話。出於這個目的,Django 提供了一個清理管理命令: clearsessions. 推薦定期執行這個命令
注意,假如會話后端使用緩存,則不存這個問題,因為緩存會自動清理過期數據。
Settings.py中的配置
設置session cookie失效日期(默認值:2周,1209600毫秒)
SESSION_COOKIE_AGE = 1209600 #默認
設置session cookie的域名,例子:
SESSION_COOKIE_DOMAIN = None # 默認
設置session cookie是否只支持http傳輸,例子:
SESSION_COOKIE_HTTPONLY = True # 默認
設置session cookie名稱,即session的cookie保存在瀏覽器上時的key,例子:
SESSION_COOKIE_NAME = 'sessionid' #默認
設置session cookie路徑,例子:
session_cookie_name = '/' # 默認
設置是否Https傳輸cookie,例子:
SESSION_COOKIE_SECURE = False # 默認
配置會話引擎,例子:
SESSION_ENGINE = 'django.contrib.sessions.backends.db' #默認
設置是否關閉瀏器session立即過期
SESSION_EXPIRE_AT_BROWSER_CLOSE = False #默認
設置是否每次請求都保存session,例子:
SESSION_SAVE_EVERY_REQUEST = False #默認
會話安全
- 盡量使用JSONSerializer,而不是PickleSerializer
- 存儲會話數據到django_session數據表。
- 僅在需要時發送cookie
SessionStore 對象
當在內部處理會話時,Django使用來自相應會話引擎的會話存儲對象。按約定,會話存儲對象類名為SessionStore,並且位於SESSION_ENGINE指定的模塊中。
Django中可獲取的SessionStore對象繼承與SessionBase ,並實現了以下數據維護方法:
- exists()
- create()
- save()
- delete()
- load()
- clear_expired()
Extending database-backed session engines
略
Session IDs in URLs
略
參考鏈接
https://docs.djangoproject.com/en/dev/topics/http/sessions/