Django 处理http请求之使用session

Django 处理http请求之使用session

by:授客 QQ：1033553122 欢迎加入全国软件测试交流群：7156436

测试环境

Win7

Django 1.11

 

Django提供了匿名会话支持。允许用户存储和检索任意数据。它在服务端存储数据，并对cookie的发送和接收做了抽象。Cookie包含了一个会话ID--并非数据本身(除非使用cookie based backend)

开启会话

会话是通过中间件实现的。要开启会话功能，需要编辑settings.py文件，编辑MIDDLEWARE变量，确保变量包含 'django.contrib.sessions.middleware.SessionMiddleware'.通过django-admin startproject创建的默认settings.py已经开启了SessionMiddleware

如果不想使用会话，需要从MIDDLEWARE变量中移除SessionMiddleware，并且移除INSTALLED_APPS中的django.contrib.sessions

配置会话引擎

默认的，Django在数据库中存储会话(使用django.contrib.sessions.models.Session model)。虽然很方便，但是在某些情况下，存储会话到别的地方会更快，所以，Django 可以配置为存储会话数据到你的文件系统上，或者是缓存中。

Using database-backed sessions

必须添加'django.contrib.sessions'到settings.py中的INSTALLED_APPS配置

Using cached sessions

略

Using file-based sessions

略

Using cookie-based sessions

略

在views视图中使用会话

当开启会话功能，传递给每个Django view视图函数的第一个参数，都会携带一个会话属性--一个类似字典的对象

任何时候，都可以对request.session进行读写，可以多次编辑。

class backends.base.SessionBase

所有会话对象的基类，拥有以下标准字典方法:

__getitem__(key)

例子: fav_color = request.session['fav_color']

 

__setitem__(key, value)

例子: request.session['fav_color'] = 'blue'

 

__delitem__(key)

例子: del request.session['fav_color']. 如果给定key不存在会话中，会抛出KeyError。

 

__contains__(key)

例子: 'fav_color' in request.session

 

get(key, default=None)

根据session_key获取值，如果key不存在则返回default参数指定的值。

例子: fav_color = request.session.get('fav_color', 'red')

 

pop(key, default=__not_given)

例子: fav_color = request.session.pop('fav_color', 'blue')

 

keys()

获取session_key，类型<class 'dict_keys'>

items()

#setdefault()

setdefault(session_key, value)

如果会话字典的键session_key不存在，则设置session_key的值为value，如果session_key已经存在则不做任何操作

clear()

flush()

从会话中删除当前会话数据和会话cookie。在无法再次通过用户浏览器访问之前的会话数据时这很有用。（比如调用django.contrib.auth.logout()函数将会调用它）。

set_test_cookie()

设置测试cookie来判断用户浏览器是否支持cookie。出于cookie的工作方式考虑，仅在用户发起下一次页面请求时才可以进行判断。

test_cookie_worked()

根据用户浏览器是否接受test cookie返回True、False。出于cookie的工作方式考虑，必须在前一个独立页面请求中才可以调用set_test_cookie()。查看 Setting test cookies获取更多信息。

delete_test_cookie()

删除测试cookie

 

set_expiry(value)

为session设置过期时间。

• 如果value为整数，无活动超过那个数，会话将过期。例如,request.session.set_expiry(300) 将设定会话过期时间为5分钟。
• 如果 value 为一个datetime 、timedelta对象，那么会话将在指定的日期/时间过期。注意，datetime和timedelta值仅在使用PickleSerializer时可序列化。 
• 如果value为0，当用户关闭浏览器会话cookie将会过期。
• 如果value为None，将使用全局会话过期策略

读取会话并不会改变会话的活动状态。会话过期时间是从会话上一次被修改的时间算起的。

 

get_expiry_age()

获取会话过期时间。对于那些没有定义过期时间，或者设置为浏览器关闭后才过期的会话，将返回SESSION_COOKIE_AGE

该函数接受两个可选关键词参数：

modification: 表示会话最后修改时间的datetime对象，默认为当前时间。

expiry: 会话过期信息，一个datetime对象、或者是一个int(秒为单位)、或者None。默认为set_expiry()函数存储在会话中的值，如果有的话，否则为None。

get_expiry_date()

返回会话过期日期。对于那些没有定义过期时间，或者设置为浏览器关闭后才过期的会话，等同于从现在开始算起，加上SESSION_COOKIE_AGE秒后的日期。（For sessions with no custom expiration (or those set to expire at browser close), this will equal the date SESSION_COOKIE_AGE seconds from now）

该函数同get_expiry_age()一样，接受统一的关键词参数。

get_expire_at_browser_close()

根据用户关闭浏览器用户会话是否过期返回True、False。

clear_expired()

从会话存储中移除过期会话。该类方法被 clearsessions调用。

cycle_key()

保留当前会话数据时创建一个新的会话key。django.contrib.auth.login()会调用该方法

例子

 

#-*- encoding:utf-8 -*-

 

 

__author__ = 'shouke'

 

from django.shortcuts import render

# Create your views here.

from django.template.response import TemplateResponse

# 可以把request.session当字典使用

def test_view(request):

print(request.session.keys())# 输出键,数据类型：dict_keys

print(request.session.values())# 输出值, 数据类型：dict_values

print(request.session.items())# 输出键值对, 数据类型：dict_items

username = request.session.get('username', 'unknow') #获取键对应的值，如果键不存在则返回unknow

print('username: %s ' % username)

username = request.session.get('myusername', 'unknow')

print('myusername: %s ' % username)# 输出myusername: unknow

# request.session.setdefault(session_key, value)

# 设置session_key的默认值为value,如果session_key已存在则不设置

request.session.setdefault('myusername', 'shouke')

request.session.setdefault('myusername', 'shouke2')

username = request.session.get('myusername')

print('myusername: %s ' % username)# 输出myusername: shouke

request.session['myusername'] = 'keshou'# 设置键的值

username = request.session['myusername']

print('myusername: %s ' % username)# 输出myusername: keshou

# 删除键值对

username = request.session.pop('myusername')

print('myusername: %s ' % username)

# 等价实现

# delrequest.session['myusername']

print(request.session.session_key)# 会话ID，# 即SESSION_COOKIE_NAME，存放在数据表.字段：django_session.session_key

print(request.session.exists(request.session.session_key))# 判断会话ID是否存在

request.session.clear_expired()# 删除过期会话（过期时间小于当前时间的会话）

request.session.delete(request.session.session_key)# 删除指定会话

 

request.session.clear() # 清除所有会话数据

# request.session.flush() # 清除所有会话数据并删除会话cookie

print(request.session.keys()) # 输出[]

 

return render(request, 'website/pages/mytest.html',{})

注意：使用request.session.get('username') 比使用#request.session['username']安全，前者如果不存在名为username的字典key,则返回None，后者则会报错。

会话序列化

默认的Django使用JSON序列化session数据。可以使用SESSION_SERIALIZER 配置自定义会话序列化格式。强烈推荐使用JSON序列化，特别是使用backend cookie的情况下(存在安全问题)。

Bundled serializers

class serializers.JSONSerializer

注意：保存字典类型的内容到会话中，django会对被保存的字典内容执行序列化，这会导致字典中的键值对失去原有的顺序，解决方案：

所以得先采用json.dumps把内容转为字符串，再次从会话中取出该字符串时，使用json.loads转字符串为字典，这样可以保持字典内容的顺序不变

其它，略

class serializers.PickleSerializer

支持任意python对象，但是存在安全问题。略

Write your own serializer

略

会话对象指南

• 使用普通python字符串作为request.session字典的key。这更是一种约定，而非硬性规则.
• 下划线开头的会话字典key保留为Django内部使用.
• 不要使用新的对象覆盖request.session,并且不要访问、设置其属性。像字典一样使用它。

例子

用户提交一个评论后设置has_commented为True，即限制用户只提交一次:

def post_comment(request, new_comment):

if request.session.get('has_commented', False):

return HttpResponse("You've already commented.")

c = comments.Comment(comment=new_comment)

c.save()

request.session['has_commented'] = True

return HttpResponse('Thanks for your comment!')

设置测试cookies

典型用法:

from django.http import HttpResponse

from django.shortcuts import render

def login(request):

if request.method=='POST':

if request.session.test_cookie_worked():

request.session.delete_test_cookie()

return HttpResponse("You're logged in.")

else:

return HttpResponse("Please enable cookies and try again.")

request.session.set_test_cookie()

return render(request,'foo/login_form.html')

注意：实践验证，要按以下形式写才可以

request.session.set_test_cookie()

if request.session.test_cookie_worked():

request.session.delete_test_cookie()

else:

# do something

view视图之外使用会话

注意：

以下例子，直接从django.contrib.sessions.backends.db引入SessionStore 对象，实际编码中需要结合实际，从SESSION_ENGINE设置的对应会话引擎中引入 SessionStore:

>>> from importlib import import_module

>>> from django.conf import settings

>>> SessionStore=import_module(settings.SESSION_ENGINE).SessionStore

提供了在视图之外维护session数据的api

>>> from django.contrib.sessions.backends.db import SessionStore

>>> s=SessionStore()

>>> # 由于datetime不支持按JSON格式序列化，所以存储为对应的秒数

>>> s['last_login']=1376587691

>>> s.create()

>>> s.session_key

'2b1189a188b44ad18c35e113ac6ceead'

>>> s=SessionStore(session_key='2b1189a188b44ad18c35e113ac6ceead')

>>> s['last_login']

1376587691

SessionStore.create() 用于创建一个新的会话(比如，一个不是从会话存储中加载并且携带session_key=None的会话)。 save() 用于保存一个已有会话（比如，一个从会话存储中加载的会话）。对一个新会话执行save()调用，也可起作用，生成一个和已存在session_key冲突的session_key的机率更小。 create() 调用save()方法，假如生成的session_key已经存在，会循环调用直到生成一个未使用session_key.

如果当前使用的是django.contrib.sessions.backends.db ，每个会话都是一个普通的Django model实例。Sessionmodel定义在django/contrib/sessions/models.py，因为它是一个普通的model，所以可以通过普通的Django数据库api访问会话：

>>>from django.contrib.sessions.models import Session

>>>s=Session.objects.get(pk='2b1189a188b44ad18c35e113ac6ceead')

>>>s.expire_date

datetime.datetime(2005, 8, 20, 13, 35, 12)

注意，必须调用 get_decoded() 来获取session字典，因为session字典是按一定格式编码后存储的。

>>>s.session_data

'KGRwMQpTJ19hdXRoX3VzZXJfaWQnCnAyCkkxCnMuMTExY2ZjODI2Yj...'

>>>s.get_decoded()

{'user_id': 42}

何时存储会话

默认的，Django仅在会话被修改后存储到会话数据库--也就是说，只要任意会话字典值被赋值或者删除:

#修改会话

request.session['foo']='bar'

del request.session['foo']

request.session['foo']={}

# 会话未被修改，因为它更改的是request.session['foo']，而非request.session.

request.session['foo']['bar']='baz'

上述最后一种情况下，如果我们想显示的告诉django会话已经被修改，需要增加以下语句：

request.session.modified=True

如果想要改变这种默认行为，可以设置SESSION_SAVE_EVERY_REQUEST 配置为True。这样以后，Django将会针对每个请求存储会话到数据库。

注意，默认的，会话cookie仅在会话被修改、创建时才会发送给客户端。如果SESSION_SAVE_EVERY_REQUEST被设置为True,针对每个请求，都会发送会话cookie。

类似的，每次发送会话cookie，都会更新会话cookie组成部分expires

如果响应状态码为500，不会保存会话。

Browser-length sessions vs. persistent sessions

可以通过修改SESSION_EXPIRE_AT_BROWSER_CLOSE配置，控制会话框架使用browser-length sessions 还是 persistent sessions 。

默认的，SESSION_EXPIRE_AT_BROWSER_CLOSE被设置为False,也就是说会话cookie会存储在用户浏览器中，存储时长和SESSION_COOKIE_AGE一样久。这样就重新打开浏览器不需要重新登录

如果SESSION_EXPIRE_AT_BROWSER_CLOSE被设置为True，Django将使用browser-length cookies – 用户一关闭浏览器，cookie就失效。这样，每次重新打开浏览器，用户都要重新登录。

该配置是全局配置的，可以通过调用 request.session的set_expiry()的方法对单个视图中的会话进行配置。

注意：一些浏览器，比如chrome，提供允许用户关闭浏览器，重新打开浏览器后用户可以不用重新登录继续会话操作。这会影响SESSION_EXPIRE_AT_BROWSER_CLOSE配置

 

清除会话存储

会话后端当使用数据库时，用户登录时，Django会添加一行记录到django_session数据表，每次会话被修改时，Django会更新对应记录，如果用户手动退出，Django会删除该行数据，但是如果用户一直不退出，该行记录不会被删除。会话后端使用文件时也是类似这个处理过程。

Django 不提供过期会话自动清理，所以，需要自己定期清理过期会话。出于这个目的，Django 提供了一个清理管理命令： clearsessions. 推荐定期执行这个命令

注意，假如会话后端使用缓存，则不存这个问题，因为缓存会自动清理过期数据。

Settings.py中的配置

• SESSION_CACHE_ALIAS
• SESSION_COOKIE_AGE

设置session cookie失效日期（默认值：2周，1209600毫秒）

SESSION_COOKIE_AGE = 1209600                             #默认

• SESSION_COOKIE_DOMAIN

设置session cookie的域名，例子：

SESSION_COOKIE_DOMAIN = None            # 默认

• SESSION_COOKIE_HTTPONLY

设置session cookie是否只支持http传输，例子：

SESSION_COOKIE_HTTPONLY = True                           # 默认

• SESSION_COOKIE_NAME

设置session cookie名称，即session的cookie保存在浏览器上时的key，例子：

SESSION_COOKIE_NAME = 'sessionid' #默认

• SESSION_COOKIE_PATH

设置session cookie路径,例子：

session_cookie_name = '/'  # 默认

• SESSION_COOKIE_SAMESITE
• SESSION_COOKIE_SECURE

设置是否Https传输cookie，例子：

SESSION_COOKIE_SECURE = False    # 默认

• SESSION_ENGINE

配置会话引擎，例子：

SESSION_ENGINE = 'django.contrib.sessions.backends.db'   #默认

• SESSION_EXPIRE_AT_BROWSER_CLOSE

设置是否关闭浏器session立即过期

SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  #默认

• SESSION_FILE_PATH
• SESSION_SAVE_EVERY_REQUEST

设置是否每次请求都保存session,例子：

SESSION_SAVE_EVERY_REQUEST = False                       #默认

• SESSION_SERIALIZER

会话安全

• 尽量使用JSONSerializer，而不是PickleSerializer
• 存储会话数据到django_session数据表。
• 仅在需要时发送cookie

SessionStore 对象

当在内部处理会话时，Django使用来自相应会话引擎的会话存储对象。按约定，会话存储对象类名为SessionStore，并且位于SESSION_ENGINE指定的模块中。

Django中可获取的SessionStore对象继承与SessionBase ，并实现了以下数据维护方法:

• exists()
• create()
• save()
• delete()
• load()
• clear_expired()

Extending database-backed session engines

略

Session IDs in URLs

略

参考链接

https://docs.djangoproject.com/en/dev/topics/http/sessions/