前言
session: session
和cookie
的作用有点类似,都是为了存储用户相关的信息。不同的是,cookie
是存储在本地浏览器,session
是一个思路、一个概念、一个服务器存储授权信息的解决方案,不同的服务器,不同的框架,不同的语言有不同的实现。虽然实现不一样,但是他们的目的都是服务器为了方便存储数据的。session
的出现,是为了解决cookie存储数据不安全
的问题的。
cookie和session的使用
web开发发展至今,cookie
和session
的使用已经出现了一些非常成熟的方案。在如今的市场或者企业里,一般有两种存储方式:
- 存储在服务端:通过
cookie
存储一个sessionid
,然后具体的数据则是保存在session
中。如果用户已经登录,则服务器会在cookie
中保存一个sessionid
,下次再次请求的时候,会把该sessionid
携带上来,服务器根据sessionid
在session库中获取用户的session数据。就能知道该用户到底是谁,以及之前保存的一些状态信息。这种专业术语叫做server side session。Django把session
信息默认存储到数据库中,当然也可以存储到其他地方,比如缓存中,文件系统中等。存储在服务器的数据会更加的安全,不容易被窃取。但存储在服务器也有一定的弊端,就是会占用服务器的资源,但现在服务器已经发展至今,一些session
信息还是绰绰有余的。 - 将
session
数据加密,然后存储在cookie
中。这种专业术语叫做client side session
。flask
框架默认采用的就是这种方式,但是也可以替换成其他形式。
django中应用session
1.启用session
要应用session
,必须开启session
中间层,在settings
中:
MIDDLEWARE = [
# 启用 Session 中间层
'django.contrib.sessions.middleware.SessionMiddleware',
]
2.session的5种存储机制
默认情况下,session
数据是存储到数据库中的。我们如何得知呢?可以从Django的默认配置中查看到,Django的默认配置路径是from django.conf import global_settings
,我们可以打开然后查看到默认配置,代码如下:
# Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认)
SESSION_COOKIE_NAME = 'sessionid'
# Session的cookie失效日期(2周)(默认)
SESSION_COOKIE_AGE = 60 * 60 * 24 * 7 * 2
# Session的cookie保存的域名(默认)
SESSION_COOKIE_DOMAIN = None
# 是否Https传输cookie(默认)
SESSION_COOKIE_SECURE = False
# Session的cookie保存的路径(默认)
SESSION_COOKIE_PATH = '/'
# 是否Session的cookie只支持http传输(默认)
SESSION_COOKIE_HTTPONLY = True
# 是否每次请求都保存Session,默认修改之后才保存(默认)
SESSION_SAVE_EVERY_REQUEST = False
# 是否关闭浏览器使得Session过期(默认)
SESSION_EXPIRE_AT_BROWSER_CLOSE = False
# 存储session数据默认使用的模块
SESSION_ENGINE = 'django.contrib.sessions.backends.db'
# session数据的序列化类
SESSION_SERIALIZER = 'django.contrib.sessions.serializers.JSONSerializer'
这里我们可以看到SESSION_ENGINE = 'django.contrib.sessions.backends.db'
django默认使用的是存储到数据库中,这只是存储机制中的其中一种,下面我们逐一介绍
1.数据库方式
使用数据库。默认就是这种方案。
# 数据库方式(默认):
SESSION_ENGINE = 'django.contrib.sessions.backends.db'
# 数据库类型的session引擎需要开启此应用,启用 sessions 应用
INSTALLED_APPS = [
'django.contrib.sessions',
]
2.缓存
使用缓存来存储session
。想要将数据存储到缓存中,前提是你必须要在settings.py
中配置好CACHES
,并且是需要使用Memcached
,而不能使用纯内存作为缓存。
SESSION_ENGINE = 'django.contrib.sessions.backends.cache'
3.缓存+数据库
在存储数据的时候,会将数据先存到缓存中,再存到数据库中。这样就可以保证万一缓存系统出现问题,session
数据也不会丢失。在获取数据的时候,会先从缓存中获取,如果缓存中没有,那么就会从数据库中获取。
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'
4.文件
使用文件来存储session
。
SESSION_ENGINE = 'django.contrib.sessions.backends.file'
# 设置文件位置, 默认是 tempfile.gettempdir(),
# linux下是:/tmp
# windows下是: C:Users51508AppDataLocalTemp
SESSION_FILE_PATH = 'd:session_dir'
5.加密cookie
基于cookie的session,所有数据都保存在cookie中,一般情况下不建议使用这种方式
- cookie有长度限制,4096个字节
- cookie不会因为服务端的注销而无效,那么可能造成攻击者使用已经登出的cookie模仿用户继续访问网站
- SECRET_KEY这个配置项绝对不能泄露,否则会让攻击者可以远程执行任意代码
- cookie过大,会影响用户访问速度
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'
3.操作session
- get:用来从session中获取指定值。
- pop:从session中删除一个值。
- keys:从session中获取所有的键。
- items:从session中获取所有的值。
- clear:清除当前这个用户的session数据。
- flush:删除session并且删除在浏览器中存储的
session_id
,一般在注销的时候用得比较多。 - set_expiry(value):设置过期时间。
- 整形:代表秒数,表示多少秒后过期。
- 0:代表只要浏览器关闭,
session
就会过期。 - None:会使用全局的session配置。在settings.py中可以设置
SESSION_COOKIE_AGE
来配置全局的过期时间。默认是1209600
秒,也就是2周的时间。
- clear_expired:清除过期的
session
。Django并不会清除过期的session
,需要定期手动的清理,或者是在终端,使用命令行python manage.py clearsessions
来清除过期的session
。
实战案例
session
其实本质也是基于cookie
使用的,使用起来跟session差不多,先创建3个路由地址
urlpatterns = [
path('set_session/', views.set_session, name='set_session'),
path('get_session/', views.get_session, name='get_session'),
path('clear_session/', views.clear_session, name='clear_session')
]
然后编写对应的视图
def set_session(request):
"""设置session"""
request.session["username"] = "jkc"
return HttpResponse("session_view")
def get_session(request):
"""获取session"""
username = request.session.get("username")
return HttpResponse(f"session的值为{username}")
def clear_session(request):
"""清除session"""
request.session.clear()
return HttpResponse("清除session成功")
接着我们在浏览器上先打开F12,然后输入url地址http://127.0.0.1:8000/session/set_session/
,我们可以看到响应头中有后台返回的set-cookie
里面有个sessionid
,这个sessionid
就是前端传给后台,后台经过一系列加密操作后返回给前端浏览器的key
因为我们django默认存储session的机制是数据库,所以数据库中的django_session
表中也会有同样key的一条数据
接着我们在浏览器上访问http://127.0.0.1:8000/session/get_session/
,浏览器页面上会返回session的值为jkc
,说明我们的session的key是正确的,且没有过期。
最后再访问http://127.0.0.1:8000/session/clear_session/
,浏览器页面返回清除session成功
,如何证明呢?我们可以再次访问http://127.0.0.1:8000/session/get_session/
,我们会发现这次返回的是session的值为None
,值为None
说明session已经被清空