Django 处理http请求之使用session
测试环境
Win7
Django 1.11
Django提供了匿名会话支持。允许用户存储和检索任意数据。它在服务端存储数据,并对cookie的发送和接收做了抽象。Cookie包含了一个会话ID--并非数据本身(除非使用cookie based backend)
开启会话
会话是通过中间件实现的。要开启会话功能,需要编辑settings.py文件,编辑MIDDLEWARE变量,确保变量包含 'django.contrib.sessions.middleware.SessionMiddleware'.通过django-admin startproject创建的默认settings.py已经开启了SessionMiddleware
如果不想使用会话,需要从MIDDLEWARE变量中移除SessionMiddleware,并且移除INSTALLED_APPS中的django.contrib.sessions
配置会话引擎
默认的,Django在数据库中存储会话(使用django.contrib.sessions.models.Session model)。虽然很方便,但是在某些情况下,存储会话到别的地方会更快,所以,Django 可以配置为存储会话数据到你的文件系统上,或者是缓存中。
Using database-backed sessions
必须添加'django.contrib.sessions'到settings.py中的INSTALLED_APPS配置
Using cached sessions
略
Using file-based sessions
略
Using cookie-based sessions
略
在views视图中使用会话
当开启会话功能,传递给每个Django view视图函数的第一个参数,都会携带一个会话属性--一个类似字典的对象
任何时候,都可以对request.session进行读写,可以多次编辑。
class backends.base.SessionBase
所有会话对象的基类,拥有以下标准字典方法:
__getitem__
(key)
例子: fav_color = request.session['fav_color']
__setitem__
(key, value)
例子: request.session['fav_color'] = 'blue'
__delitem__
(key)
例子: del request.session['fav_color']. 如果给定key不存在会话中,会抛出KeyError。
__contains__
(key)
例子: 'fav_color' in request.session
get
(key, default=None)
根据session_key获取值,如果key不存在则返回default参数指定的值。
例子: fav_color = request.session.get('fav_color', 'red')
pop
(key, default=__not_given)
例子: fav_color = request.session.pop('fav_color', 'blue')
keys
()
获取session_key,类型<class 'dict_keys'>
items
()
#setdefault()
setdefault(session_key, value)
如果会话字典的键session_key不存在,则设置session_key的值为value,如果session_key已经存在则不做任何操作
clear
()
flush
()
从会话中删除当前会话数据和会话cookie。在无法再次通过用户浏览器访问之前的会话数据时这很有用。(比如调用django.contrib.auth.logout()函数将会调用它)。
set_test_cookie
()
设置测试cookie来判断用户浏览器是否支持cookie。出于cookie的工作方式考虑,仅在用户发起下一次页面请求时才可以进行判断。
test_cookie_worked
()
根据用户浏览器是否接受test cookie返回True、False。出于cookie的工作方式考虑,必须在前一个独立页面请求中才可以调用set_test_cookie()。查看 Setting test cookies获取更多信息。
delete_test_cookie
()
删除测试cookie
set_expiry
(value)
为session设置过期时间。
- 如果value为整数,无活动超过那个数,会话将过期。例如,request.session.set_expiry(300) 将设定会话过期时间为5分钟。
- 如果 value 为一个datetime 、timedelta对象,那么会话将在指定的日期/时间过期。注意,datetime和timedelta值仅在使用PickleSerializer时可序列化。
- 如果value为0,当用户关闭浏览器会话cookie将会过期。
- 如果value为None,将使用全局会话过期策略
读取会话并不会改变会话的活动状态。会话过期时间是从会话上一次被修改的时间算起的。
get_expiry_age
()
获取会话过期时间。对于那些没有定义过期时间,或者设置为浏览器关闭后才过期的会话,将返回SESSION_COOKIE_AGE
该函数接受两个可选关键词参数:
modification: 表示会话最后修改时间的datetime对象,默认为当前时间。
expiry: 会话过期信息,一个datetime对象、或者是一个int(秒为单位)、或者None。默认为set_expiry()函数存储在会话中的值,如果有的话,否则为None。
get_expiry_date()
返回会话过期日期。对于那些没有定义过期时间,或者设置为浏览器关闭后才过期的会话,等同于从现在开始算起,加上SESSION_COOKIE_AGE秒后的日期。(For sessions with no custom expiration (or those set to expire at browser close), this will equal the date SESSION_COOKIE_AGE seconds from now)
该函数同get_expiry_age()一样,接受统一的关键词参数。
get_expire_at_browser_close
()
根据用户关闭浏览器用户会话是否过期返回True、False。
clear_expired
()
从会话存储中移除过期会话。该类方法被 clearsessions调用。
cycle_key
()
保留当前会话数据时创建一个新的会话key。django.contrib.auth.login()会调用该方法
例子
#-*- encoding:utf-8 -*-
__author__ = 'shouke'
from django.shortcuts import render
# Create your views here.
from django.template.response import TemplateResponse
# 可以把request.session当字典使用
def test_view(request):
print(request.session.keys())# 输出键,数据类型:dict_keys
print(request.session.values())# 输出值, 数据类型:dict_values
print(request.session.items())# 输出键值对, 数据类型:dict_items
username = request.session.get('username', 'unknow') #获取键对应的值,如果键不存在则返回unknow
print('username: %s ' % username)
username = request.session.get('myusername', 'unknow')
print('myusername: %s ' % username)# 输出myusername: unknow
# request.session.setdefault(session_key, value)
# 设置session_key的默认值为value,如果session_key已存在则不设置
request.session.setdefault('myusername', 'shouke')
request.session.setdefault('myusername', 'shouke2')
username = request.session.get('myusername')
print('myusername: %s ' % username)# 输出myusername: shouke
request.session['myusername'] = 'keshou'# 设置键的值
username = request.session['myusername']
print('myusername: %s ' % username)# 输出myusername: keshou
# 删除键值对
username = request.session.pop('myusername')
print('myusername: %s ' % username)
# 等价实现
# delrequest.session['myusername']
print(request.session.session_key)# 会话ID,# 即SESSION_COOKIE_NAME,存放在数据表.字段:django_session.session_key
print(request.session.exists(request.session.session_key))# 判断会话ID是否存在
request.session.clear_expired()# 删除过期会话(过期时间小于当前时间的会话)
request.session.delete(request.session.session_key)# 删除指定会话
request.session.clear() # 清除所有会话数据
# request.session.flush() # 清除所有会话数据并删除会话cookie
print(request.session.keys()) # 输出[]
return render(request, 'website/pages/mytest.html',{})
注意:使用request.session.get('username') 比使用#request.session['username']安全,前者如果不存在名为username的字典key,则返回None,后者则会报错。
会话序列化
默认的Django使用JSON序列化session数据。可以使用SESSION_SERIALIZER 配置自定义会话序列化格式。强烈推荐使用JSON序列化,特别是使用backend cookie的情况下(存在安全问题)。
Bundled serializers
class serializers.JSONSerializer
注意:保存字典类型的内容到会话中,django会对被保存的字典内容执行序列化,这会导致字典中的键值对失去原有的顺序,解决方案:
所以得先采用json.dumps把内容转为字符串,再次从会话中取出该字符串时,使用json.loads转字符串为字典,这样可以保持字典内容的顺序不变
其它,略
class serializers.PickleSerializer
支持任意python对象,但是存在安全问题。略
Write your own serializer
略
会话对象指南
- 使用普通python字符串作为request.session字典的key。这更是一种约定,而非硬性规则.
- 下划线开头的会话字典key保留为Django内部使用.
- 不要使用新的对象覆盖request.session,并且不要访问、设置其属性。像字典一样使用它。
例子
用户提交一个评论后设置has_commented为True,即限制用户只提交一次:
def post_comment(request, new_comment):
if request.session.get('has_commented', False):
return HttpResponse("You've already commented.")
c = comments.Comment(comment=new_comment)
c.save()
request.session['has_commented'] = True
return HttpResponse('Thanks for your comment!')
设置测试cookies
典型用法:
from django.http import HttpResponse
from django.shortcuts import render
def login(request):
if request.method=='POST':
if request.session.test_cookie_worked():
request.session.delete_test_cookie()
return HttpResponse("You're logged in.")
else:
return HttpResponse("Please enable cookies and try again.")
request.session.set_test_cookie()
return render(request,'foo/login_form.html')
注意:实践验证,要按以下形式写才可以
request.session.set_test_cookie()
if request.session.test_cookie_worked():
request.session.delete_test_cookie()
else:
# do something
view视图之外使用会话
注意:
以下例子,直接从django.contrib.sessions.backends.db引入SessionStore 对象,实际编码中需要结合实际,从SESSION_ENGINE设置的对应会话引擎中引入 SessionStore:
>>> from importlib import import_module
>>> from django.conf import settings
>>> SessionStore=import_module(settings.SESSION_ENGINE).SessionStore
提供了在视图之外维护session数据的api
>>> from django.contrib.sessions.backends.db import SessionStore
>>> s=SessionStore()
>>> # 由于datetime不支持按JSON格式序列化,所以存储为对应的秒数
>>> s['last_login']=1376587691
>>> s.create()
>>> s.session_key
'2b1189a188b44ad18c35e113ac6ceead'
>>> s=SessionStore(session_key='2b1189a188b44ad18c35e113ac6ceead')
>>> s['last_login']
1376587691
SessionStore.create() 用于创建一个新的会话(比如,一个不是从会话存储中加载并且携带session_key=None的会话)。 save() 用于保存一个已有会话(比如,一个从会话存储中加载的会话)。对一个新会话执行save()调用,也可起作用,生成一个和已存在session_key冲突的session_key的机率更小。 create() 调用save()方法,假如生成的session_key已经存在,会循环调用直到生成一个未使用session_key.
如果当前使用的是django.contrib.sessions.backends.db ,每个会话都是一个普通的Django model实例。Sessionmodel定义在django/contrib/sessions/models.py,因为它是一个普通的model,所以可以通过普通的Django数据库api访问会话:
>>>from django.contrib.sessions.models import Session
>>>s=Session.objects.get(pk='2b1189a188b44ad18c35e113ac6ceead')
>>>s.expire_date
datetime.datetime(2005, 8, 20, 13, 35, 12)
注意,必须调用 get_decoded() 来获取session字典,因为session字典是按一定格式编码后存储的。
>>>s.session_data
'KGRwMQpTJ19hdXRoX3VzZXJfaWQnCnAyCkkxCnMuMTExY2ZjODI2Yj...'
>>>s.get_decoded()
{'user_id': 42}
何时存储会话
默认的,Django仅在会话被修改后存储到会话数据库--也就是说,只要任意会话字典值被赋值或者删除:
#修改会话
request.session['foo']='bar'
del request.session['foo']
request.session['foo']={}
# 会话未被修改,因为它更改的是request.session['foo'],而非request.session.
request.session['foo']['bar']='baz'
上述最后一种情况下,如果我们想显示的告诉django会话已经被修改,需要增加以下语句:
request.session.modified=True
如果想要改变这种默认行为,可以设置SESSION_SAVE_EVERY_REQUEST 配置为True。这样以后,Django将会针对每个请求存储会话到数据库。
注意,默认的,会话cookie仅在会话被修改、创建时才会发送给客户端。如果SESSION_SAVE_EVERY_REQUEST被设置为True,针对每个请求,都会发送会话cookie。
类似的,每次发送会话cookie,都会更新会话cookie组成部分expires
如果响应状态码为500,不会保存会话。
Browser-length sessions vs. persistent sessions
可以通过修改SESSION_EXPIRE_AT_BROWSER_CLOSE配置,控制会话框架使用browser-length sessions 还是 persistent sessions 。
默认的,SESSION_EXPIRE_AT_BROWSER_CLOSE被设置为False,也就是说会话cookie会存储在用户浏览器中,存储时长和SESSION_COOKIE_AGE一样久。这样就重新打开浏览器不需要重新登录
如果SESSION_EXPIRE_AT_BROWSER_CLOSE被设置为True,Django将使用browser-length cookies – 用户一关闭浏览器,cookie就失效。这样,每次重新打开浏览器,用户都要重新登录。
该配置是全局配置的,可以通过调用 request.session的set_expiry()的方法对单个视图中的会话进行配置。
注意:一些浏览器,比如chrome,提供允许用户关闭浏览器,重新打开浏览器后用户可以不用重新登录继续会话操作。这会影响SESSION_EXPIRE_AT_BROWSER_CLOSE配置
清除会话存储
会话后端当使用数据库时,用户登录时,Django会添加一行记录到django_session数据表,每次会话被修改时,Django会更新对应记录,如果用户手动退出,Django会删除该行数据,但是如果用户一直不退出,该行记录不会被删除。会话后端使用文件时也是类似这个处理过程。
Django 不提供过期会话自动清理,所以,需要自己定期清理过期会话。出于这个目的,Django 提供了一个清理管理命令: clearsessions. 推荐定期执行这个命令
注意,假如会话后端使用缓存,则不存这个问题,因为缓存会自动清理过期数据。
Settings.py中的配置
设置session cookie失效日期(默认值:2周,1209600毫秒)
SESSION_COOKIE_AGE = 1209600 #默认
设置session cookie的域名,例子:
SESSION_COOKIE_DOMAIN = None # 默认
设置session cookie是否只支持http传输,例子:
SESSION_COOKIE_HTTPONLY = True # 默认
设置session cookie名称,即session的cookie保存在浏览器上时的key,例子:
SESSION_COOKIE_NAME = 'sessionid' #默认
设置session cookie路径,例子:
session_cookie_name = '/' # 默认
设置是否Https传输cookie,例子:
SESSION_COOKIE_SECURE = False # 默认
配置会话引擎,例子:
SESSION_ENGINE = 'django.contrib.sessions.backends.db' #默认
设置是否关闭浏器session立即过期
SESSION_EXPIRE_AT_BROWSER_CLOSE = False #默认
设置是否每次请求都保存session,例子:
SESSION_SAVE_EVERY_REQUEST = False #默认
会话安全
- 尽量使用JSONSerializer,而不是PickleSerializer
- 存储会话数据到django_session数据表。
- 仅在需要时发送cookie
SessionStore 对象
当在内部处理会话时,Django使用来自相应会话引擎的会话存储对象。按约定,会话存储对象类名为SessionStore,并且位于SESSION_ENGINE指定的模块中。
Django中可获取的SessionStore对象继承与SessionBase ,并实现了以下数据维护方法:
- exists()
- create()
- save()
- delete()
- load()
- clear_expired()
Extending database-backed session engines
略
Session IDs in URLs
略
参考链接
https://docs.djangoproject.com/en/dev/topics/http/sessions/