Flask中的session机制
cookie和session
cookie:网站中,http请求是无状态的,第一次和服务器连接后并且登陆成功后,第二次请求服务器依然不能知道当前请求是哪个用户。cookie的出现就是解决了改问题,第一次登陆后服务器返回数据(cookie是存储数据的一种格式)给浏览器,然后浏览器保存到本地,用户第二次请求的时候,就会携带cookie数据自动携带给服务器,服务器通过浏览器携带的数据就能判断当前用户。cookie存储数据有限,不同浏览器不同的存储大小,但一般不超过4kb,因此cookie只能存储小量数据。
session:session与cookie类似,都是存储用户相关信息,不同的是cookie存储在本地浏览器,session存储在服务器,存储在服务器的数据会更安全。但是存储在服务器会占用服务器的资源。
cookie和session的结合使用:
存储在服务端:通过cookie存储一个session_id,具体数据保存在session(存储数据的方式)中。用户如果已经登陆服务器会在cookie中保存一个session_id,下次请求的时候会把sessin_id携带上来,服务器根据session_id在session库中获取用户的session数据,就可以知道用户是谁。专业术语叫:sever side session
flask中将session数据加密,存储在cookie中,专业术语叫client side session。flask采用的就是这个方式。
flask中的session
flask中的session机制是:把敏感数据加密后放入session中,然后把session存放到cookie中,下次请求的时候,从浏览器发来的cookie中读取session,再从session中读取敏感数据,并进行解密,来获取用户数据
flask的这种session机制,可以节省服务器的开销,因为把所有的信息都存储到了客户端。
安全是相对的,把session放到cookie中,经过加密也是比较安全的。
flask中使用cookie和session
cookies:在flask中操作cookie,通过response对象来操作,可以在response返回之前,通过response.set_cookie来设置。
key:设置的cookie的key
value:key对应的value
max_age:改cookie的过期时间,如果不设置,浏览器关闭就会过期
expires:过期时间,应该是datetime类型
domain:该cookie在哪个域名中有效,一般设置子域名。
path:该cookie在哪个路径下有效
session:flask中的session是通过 from flask import session。然后添加key和value进去就可以。并且,flask中的session机制是将session信息加密,然后存储在cookie中。专业术语叫client side session
操作session
session的操作:
使用session需要从flask中导入session,以后所有和session相关的操作都是通过这个变量来的。
使用session需要设置SECRET_KEY,用来作为加密用的,并且这个SECRET_KEY在每次启动服务器后都变化的话,之前的session就不能通过SECRET_KEY来解密
操作session和操作字典一样。
添加session['username']
删除session.pop()
清除所有session.clear()
获取session.get()
设置session的过期时间
没有制定session的过期时间,默认是浏览器关闭就自动结束。
设置了session的permanent属性为True,那么过期时间是31天
可以通过给app.config设置PERMANENT_SESSION_LEFTTIME来更改时间,这个值的数据类型是datetime.timedelta类型
import os from datetime import timedelta import config app = Flask(__name__) # app.config.from_object(config) app.config['SECRET_KEY'] = os.urandom(24) # 做加密用的,加密一般是加密算法或者加盐 app.config['PERMANENT_SESSION_LIFETIME'] = timedelta(days=7) # 添加数据到session中 # 操作session的时候,跟操作字典一样 # SECRET_KEY @app.route('/') def hello_world(): session['username'] = 'hubo' # 不指定session的过期时间,默认是浏览器关闭就结束 session.permanent = True # 默认时间是一个月 return 'Hello World!' @app.route('/get/') def get(): return session.get('username') @app.route('/delete/') def delete(): print(session.get('username')) session.pop('username') print(session.get('username')) return 'success' @app.route('/clear') def clear(): print(session.get('username')) session.clear() print(session.get('username')) return 'success' if __name__ == '__main__': app.run(debug=True)