Django(34)Django操作session(超详细)

前言

session: sessioncookie的作用有点类似,都是为了存储用户相关的信息。不同的是,cookie是存储在本地浏览器,session是一个思路、一个概念、一个服务器存储授权信息的解决方案,不同的服务器,不同的框架,不同的语言有不同的实现。虽然实现不一样,但是他们的目的都是服务器为了方便存储数据的。session的出现,是为了解决cookie存储数据不安全的问题的。
 

cookie和session的使用

web开发发展至今,cookiesession的使用已经出现了一些非常成熟的方案。在如今的市场或者企业里,一般有两种存储方式:

  • 存储在服务端:通过cookie存储一个sessionid,然后具体的数据则是保存在session中。如果用户已经登录,则服务器会在cookie中保存一个sessionid,下次再次请求的时候,会把该sessionid携带上来,服务器根据sessionid在session库中获取用户的session数据。就能知道该用户到底是谁,以及之前保存的一些状态信息。这种专业术语叫做server side session。Django把session信息默认存储到数据库中,当然也可以存储到其他地方,比如缓存中,文件系统中等。存储在服务器的数据会更加的安全,不容易被窃取。但存储在服务器也有一定的弊端,就是会占用服务器的资源,但现在服务器已经发展至今,一些session信息还是绰绰有余的。
  • session数据加密,然后存储在cookie中。这种专业术语叫做client side sessionflask框架默认采用的就是这种方式,但是也可以替换成其他形式。

 

django中应用session

 

1.启用session

要应用session,必须开启session中间层,在settings中:

MIDDLEWARE = [
    # 启用 Session 中间层
    'django.contrib.sessions.middleware.SessionMiddleware',
]

 

2.session的5种存储机制

默认情况下,session数据是存储到数据库中的。我们如何得知呢?可以从Django的默认配置中查看到,Django的默认配置路径是from django.conf import global_settings,我们可以打开然后查看到默认配置,代码如下:

# Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认)
SESSION_COOKIE_NAME = 'sessionid'
# Session的cookie失效日期(2周)(默认)
SESSION_COOKIE_AGE = 60 * 60 * 24 * 7 * 2
# Session的cookie保存的域名(默认)
SESSION_COOKIE_DOMAIN = None
# 是否Https传输cookie(默认)
SESSION_COOKIE_SECURE = False
# Session的cookie保存的路径(默认)
SESSION_COOKIE_PATH = '/'
# 是否Session的cookie只支持http传输(默认)
SESSION_COOKIE_HTTPONLY = True
# 是否每次请求都保存Session,默认修改之后才保存(默认)
SESSION_SAVE_EVERY_REQUEST = False
# 是否关闭浏览器使得Session过期(默认)
SESSION_EXPIRE_AT_BROWSER_CLOSE = False
# 存储session数据默认使用的模块
SESSION_ENGINE = 'django.contrib.sessions.backends.db'
# session数据的序列化类
SESSION_SERIALIZER = 'django.contrib.sessions.serializers.JSONSerializer'

这里我们可以看到SESSION_ENGINE = 'django.contrib.sessions.backends.db'django默认使用的是存储到数据库中,这只是存储机制中的其中一种,下面我们逐一介绍
 

1.数据库方式

使用数据库。默认就是这种方案。

# 数据库方式(默认):
SESSION_ENGINE = 'django.contrib.sessions.backends.db'   

# 数据库类型的session引擎需要开启此应用,启用 sessions 应用
INSTALLED_APPS = [
    'django.contrib.sessions',
]

 

2.缓存

使用缓存来存储session。想要将数据存储到缓存中,前提是你必须要在settings.py中配置好CACHES,并且是需要使用Memcached,而不能使用纯内存作为缓存。

SESSION_ENGINE = 'django.contrib.sessions.backends.cache'   

 

3.缓存+数据库

在存储数据的时候,会将数据先存到缓存中,再存到数据库中。这样就可以保证万一缓存系统出现问题,session数据也不会丢失。在获取数据的时候,会先从缓存中获取,如果缓存中没有,那么就会从数据库中获取。

SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db' 

 

4.文件

使用文件来存储session

SESSION_ENGINE = 'django.contrib.sessions.backends.file' 

# 设置文件位置, 默认是 tempfile.gettempdir(),
# linux下是:/tmp
# windows下是: C:\Users\51508\AppData\Local\Temp
SESSION_FILE_PATH = 'd:\session_dir'

 

5.加密cookie

基于cookie的session,所有数据都保存在cookie中,一般情况下不建议使用这种方式

  1. cookie有长度限制,4096个字节
  2. cookie不会因为服务端的注销而无效,那么可能造成攻击者使用已经登出的cookie模仿用户继续访问网站
  3. SECRET_KEY这个配置项绝对不能泄露,否则会让攻击者可以远程执行任意代码
  4. cookie过大,会影响用户访问速度
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'

 

3.操作session

  1. get:用来从session中获取指定值。
  2. pop:从session中删除一个值。
  3. keys:从session中获取所有的键。
  4. items:从session中获取所有的值。
  5. clear:清除当前这个用户的session数据。
  6. flush:删除session并且删除在浏览器中存储的session_id,一般在注销的时候用得比较多。
  7. set_expiry(value):设置过期时间。
  • 整形:代表秒数,表示多少秒后过期。
  • 0:代表只要浏览器关闭,session就会过期。
  • None:会使用全局的session配置。在settings.py中可以设置SESSION_COOKIE_AGE来配置全局的过期时间。默认是1209600秒,也就是2周的时间。
  1. clear_expired:清除过期的session。Django并不会清除过期的session,需要定期手动的清理,或者是在终端,使用命令行python manage.py clearsessions来清除过期的session

 

实战案例

session其实本质也是基于cookie使用的,使用起来跟session差不多,先创建3个路由地址

urlpatterns = [
    path('set_session/', views.set_session, name='set_session'),
    path('get_session/', views.get_session, name='get_session'),
    path('clear_session/', views.clear_session, name='clear_session')
]

然后编写对应的视图

def set_session(request):
    """设置session"""
    request.session["username"] = "jkc"
    return HttpResponse("session_view")


def get_session(request):
    """获取session"""
    username = request.session.get("username")
    return HttpResponse(f"session的值为{username}")


def clear_session(request):
    """清除session"""
    request.session.clear()
    return HttpResponse("清除session成功")

接着我们在浏览器上先打开F12,然后输入url地址http://127.0.0.1:8000/session/set_session/,我们可以看到响应头中有后台返回的set-cookie里面有个sessionid,这个sessionid就是前端传给后台,后台经过一系列加密操作后返回给前端浏览器的key

因为我们django默认存储session的机制是数据库,所以数据库中的django_session表中也会有同样key的一条数据

 

接着我们在浏览器上访问http://127.0.0.1:8000/session/get_session/,浏览器页面上会返回session的值为jkc,说明我们的session的key是正确的,且没有过期。
 
最后再访问http://127.0.0.1:8000/session/clear_session/,浏览器页面返回清除session成功,如何证明呢?我们可以再次访问http://127.0.0.1:8000/session/get_session/,我们会发现这次返回的是session的值为None,值为None说明session已经被清空

posted @ 2021-05-26 10:46  Silent丿丶黑羽  阅读(1390)  评论(0编辑  收藏  举报