flask 状态保持session和上下文session的区别

问题场景：

　　在falsk项目中导入了两个session：

　   首先，配置文件config.py文件中 有个 flask_session扩展导入了Session  ( from flask_session import Session )；

　　然后，在login.py文件的登录接口中  有从flask导入了session   (from flask import session)；

先阐述一下状态保持的概念以及浏览器服务器如何实现状态保持：

　　1 状态保持：
　　　　有时需要保持下来用户浏览的状态，比如用户是否登录过，浏览过哪些商品等，
　　　　实现状态保持主要有两种方式：使用Cookie在客户端存储信息，使用Session在服务器端存储信息

　　　　1.1.Cookie：
　　　　▪Cookie是由服务器端生成，发送给客户端浏览器，浏览器会将Cookie的key/value保存，下次请求同一网站时就发送该Cookie给服务器（前提是浏览器设置为启用cookie）。

　　　　▪应用：最典型的应用是判定注册用户是否已经登录网站，用户可能会得到提示，是否在下一次进入此网站时保留用户信息以便简化登录手续，这些都是Cookie的功用。
　　　　▪提示：Cookie基于域名安全，不同域名的Cookie是不能互相访问的
如:访问jingdong.com时向浏览器中写了Cookie信息，使用同一浏览器访问baidu.com时，无法访问到jingdong.com写的Cookie信息，浏览器的同源策略。

　　　　1.2.session：
对于敏感、重要的信息，建议要存储在服务器端，不能存储在浏览器中，如用户名、余额、等级、验证码等信息，在服务器端进行状态保持的方案就是Session，Session依赖于Cookie

　　2、区别：

　　　　2.1  当然，在flask项目中也要实现状态保持，把Cookie存储在浏览器，session存储到服务器，但是当我们的用户量较大时，各种状态保持信息（用户信息，浏览历史信息等）都放到session中，就会大大的增加服务器的负荷，为了减轻服务器的压力，我们就把session放到redis数据库中，另外，redis数据库读取数据也是更快的，这个功能的实现靠的就是flask-session扩展中的Session;  即session是基于浏览器的cookie进行保存在服务器上的，flask_session可以把session的值存储在redis数据库中。这个session无论用户登录还是退出，只要不过期，就一直存在，与框架无关，与语言无关，便于用户在浏览器端再次便捷登录。

　　　　2.2  from flask import session  这个sesssion是flask框架内置的请求上下文对象，用来操作记录http请求的数据或session信息，在请求过程中存在，请求结束后就被销毁；比如只有登录的用户并且发送http请求时,它才被唤醒存储内容，用户退出时，它又被销毁；在本flask项目的应用场景：

　　　　　　(1) 在登录接口，用户用过mobile 和password验证后(用户存在且密码正确)，我们就通过mobile查询出该用户对象user, 再把该登录用户的name,user_id, mobile 保存到上下文session中，方便其他模块接口的调用当前登陆的用户信息。

　　　　　　(2) 在登录接口实现登陆以后，我们如何在其他接口判断用户是否登录呢？很简单，我们只需用user_id = session.get("user_id")，如果user_id存在，就说明用户已经通过了登录接口的验证和session信息的保存。因为很多接口都要判断登录状态，我们通常把这个功能放到装饰其中(即重写flask_login的login_required方法)，方便各接口调用

　　　　在utils/common.py文件中重写login_required方法：

　　　　

 def login_required(func):
     '''检查用户的登录状态'''
     @wraps(func)
     def wrapper(*args, **kwargs):
         # 核心逻辑 获取session的id
         user_id = session.get('user_id')
         if user_id is not None:
             # 表示用户已经登录
             # 后面的接口仍需要user_id数据，来获取当前登陆的用户
             # 为了方便,可以使用g变量来记录，避免多次访问保存session的redis服务器或项目服务器(根据session存放的位置)
             g.user_id = user_id
             return func(*args, **kwargs)
         else:
             retrun jsonify(error='', errmsg='用户未登录')
      return wrapper

　　　　在其他接口的应用：(判断是否登录和获取登录用户id,这也是login_required的两个功能， 不重写的话只有判断功能)

 from ihome.utils.common import login_required

 @api.route("/sessions", methods=["DELETE"])
 @login_required    # 验证登录装饰器
 def logout():
     """登出"""
     # 清除session数据, csrf_token需要保留.
     csrf_token = session['csrf_token']
     session.clear()
     session['csrf_token'] = csrf_token

     # 删除session的方式:3种
     # 1.session.pop()  2. 和Django所学相同  3. session.clear()全部删除

     return jsonify(errno=RET.OK, errmsg="OK")