• Django(34)Django操作session(超详细)


    前言

    session: sessioncookie的作用有点类似,都是为了存储用户相关的信息。不同的是,cookie是存储在本地浏览器,session是一个思路、一个概念、一个服务器存储授权信息的解决方案,不同的服务器,不同的框架,不同的语言有不同的实现。虽然实现不一样,但是他们的目的都是服务器为了方便存储数据的。session的出现,是为了解决cookie存储数据不安全的问题的。
     

    cookie和session的使用

    web开发发展至今,cookiesession的使用已经出现了一些非常成熟的方案。在如今的市场或者企业里,一般有两种存储方式:

    • 存储在服务端:通过cookie存储一个sessionid,然后具体的数据则是保存在session中。如果用户已经登录,则服务器会在cookie中保存一个sessionid,下次再次请求的时候,会把该sessionid携带上来,服务器根据sessionid在session库中获取用户的session数据。就能知道该用户到底是谁,以及之前保存的一些状态信息。这种专业术语叫做server side session。Django把session信息默认存储到数据库中,当然也可以存储到其他地方,比如缓存中,文件系统中等。存储在服务器的数据会更加的安全,不容易被窃取。但存储在服务器也有一定的弊端,就是会占用服务器的资源,但现在服务器已经发展至今,一些session信息还是绰绰有余的。
    • session数据加密,然后存储在cookie中。这种专业术语叫做client side sessionflask框架默认采用的就是这种方式,但是也可以替换成其他形式。

    django中应用session

    1.启用session

    要应用session,必须开启session中间层,在settings中:

    MIDDLEWARE = [
        # 启用 Session 中间层
        'django.contrib.sessions.middleware.SessionMiddleware',
    ]
    

    2.session的5种存储机制

    默认情况下,session数据是存储到数据库中的。我们如何得知呢?可以从Django的默认配置中查看到,Django的默认配置路径是from django.conf import global_settings,我们可以打开然后查看到默认配置,代码如下:

    # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认)
    SESSION_COOKIE_NAME = 'sessionid'
    # Session的cookie失效日期(2周)(默认)
    SESSION_COOKIE_AGE = 60 * 60 * 24 * 7 * 2
    # Session的cookie保存的域名(默认)
    SESSION_COOKIE_DOMAIN = None
    # 是否Https传输cookie(默认)
    SESSION_COOKIE_SECURE = False
    # Session的cookie保存的路径(默认)
    SESSION_COOKIE_PATH = '/'
    # 是否Session的cookie只支持http传输(默认)
    SESSION_COOKIE_HTTPONLY = True
    # 是否每次请求都保存Session,默认修改之后才保存(默认)
    SESSION_SAVE_EVERY_REQUEST = False
    # 是否关闭浏览器使得Session过期(默认)
    SESSION_EXPIRE_AT_BROWSER_CLOSE = False
    # 存储session数据默认使用的模块
    SESSION_ENGINE = 'django.contrib.sessions.backends.db'
    # session数据的序列化类
    SESSION_SERIALIZER = 'django.contrib.sessions.serializers.JSONSerializer'
    

    这里我们可以看到SESSION_ENGINE = 'django.contrib.sessions.backends.db'django默认使用的是存储到数据库中,这只是存储机制中的其中一种,下面我们逐一介绍
     

    1.数据库方式

    使用数据库。默认就是这种方案。

    # 数据库方式(默认):
    SESSION_ENGINE = 'django.contrib.sessions.backends.db'   
    
    # 数据库类型的session引擎需要开启此应用,启用 sessions 应用
    INSTALLED_APPS = [
        'django.contrib.sessions',
    ]
    

    2.缓存

    使用缓存来存储session。想要将数据存储到缓存中,前提是你必须要在settings.py中配置好CACHES,并且是需要使用Memcached,而不能使用纯内存作为缓存。

    SESSION_ENGINE = 'django.contrib.sessions.backends.cache'   
    

    3.缓存+数据库

    在存储数据的时候,会将数据先存到缓存中,再存到数据库中。这样就可以保证万一缓存系统出现问题,session数据也不会丢失。在获取数据的时候,会先从缓存中获取,如果缓存中没有,那么就会从数据库中获取。

    SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db' 
    

    4.文件

    使用文件来存储session

    SESSION_ENGINE = 'django.contrib.sessions.backends.file' 
    
    # 设置文件位置, 默认是 tempfile.gettempdir(),
    # linux下是:/tmp
    # windows下是: C:Users51508AppDataLocalTemp
    SESSION_FILE_PATH = 'd:session_dir'
    

    5.加密cookie

    基于cookie的session,所有数据都保存在cookie中,一般情况下不建议使用这种方式

    1. cookie有长度限制,4096个字节
    2. cookie不会因为服务端的注销而无效,那么可能造成攻击者使用已经登出的cookie模仿用户继续访问网站
    3. SECRET_KEY这个配置项绝对不能泄露,否则会让攻击者可以远程执行任意代码
    4. cookie过大,会影响用户访问速度
    SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'
    

    3.操作session

    1. get:用来从session中获取指定值。
    2. pop:从session中删除一个值。
    3. keys:从session中获取所有的键。
    4. items:从session中获取所有的值。
    5. clear:清除当前这个用户的session数据。
    6. flush:删除session并且删除在浏览器中存储的session_id,一般在注销的时候用得比较多。
    7. set_expiry(value):设置过期时间。
    • 整形:代表秒数,表示多少秒后过期。
    • 0:代表只要浏览器关闭,session就会过期。
    • None:会使用全局的session配置。在settings.py中可以设置SESSION_COOKIE_AGE来配置全局的过期时间。默认是1209600秒,也就是2周的时间。
    1. clear_expired:清除过期的session。Django并不会清除过期的session,需要定期手动的清理,或者是在终端,使用命令行python manage.py clearsessions来清除过期的session

    实战案例

    session其实本质也是基于cookie使用的,使用起来跟session差不多,先创建3个路由地址

    urlpatterns = [
        path('set_session/', views.set_session, name='set_session'),
        path('get_session/', views.get_session, name='get_session'),
        path('clear_session/', views.clear_session, name='clear_session')
    ]
    

    然后编写对应的视图

    def set_session(request):
        """设置session"""
        request.session["username"] = "jkc"
        return HttpResponse("session_view")
    
    
    def get_session(request):
        """获取session"""
        username = request.session.get("username")
        return HttpResponse(f"session的值为{username}")
    
    
    def clear_session(request):
        """清除session"""
        request.session.clear()
        return HttpResponse("清除session成功")
    

    接着我们在浏览器上先打开F12,然后输入url地址http://127.0.0.1:8000/session/set_session/,我们可以看到响应头中有后台返回的set-cookie里面有个sessionid,这个sessionid就是前端传给后台,后台经过一系列加密操作后返回给前端浏览器的key

    因为我们django默认存储session的机制是数据库,所以数据库中的django_session表中也会有同样key的一条数据

     

    接着我们在浏览器上访问http://127.0.0.1:8000/session/get_session/,浏览器页面上会返回session的值为jkc,说明我们的session的key是正确的,且没有过期。
     
    最后再访问http://127.0.0.1:8000/session/clear_session/,浏览器页面返回清除session成功,如何证明呢?我们可以再次访问http://127.0.0.1:8000/session/get_session/,我们会发现这次返回的是session的值为None,值为None说明session已经被清空

  • 相关阅读:
    how to use epoll with python
    tornado ioloop current和instance的一些区别
    网络标准及路由器速度
    C语言接口

    Dalvik 与 ART
    Android学习笔记47-使用HttpClient接口实现网络通信
    Android学习笔记46-使用Post方式提交数据
    Android学习笔记45-JSON数据解析(GSON方式)
    Android学习笔记44-JSON数据解析
  • 原文地址:https://www.cnblogs.com/jiakecong/p/14809957.html
Copyright © 2020-2023  润新知