码迷,mamicode.com
首页 > 其他好文 > 详细

转:django中session的实现机制

时间:2017-03-30 18:31:54      阅读:1494      评论:0      收藏:0      [点我收藏+]

标签:安全性   change   status   原理   wsgi   购物车   modified   dom   .class   

转:www.jianshu.com

要理解session,首先要搞清楚cookie的概念。由于http是无状态的,服务器不能记住用户的信息状态,因此若由同一个客户端发起的多条请求,服务器不能辨别这些请求来自哪个用户。http无状态的限制为web应用程序的设计带来了许多不便,购物网站中的"购物车"功能就是一个很好的例子,当用户把商品放进购物车后,客户端必须要保存购物车的状态,否则当用户下次浏览网站时,购物车拥有的商品状态便不复存在。客户端和服务器必须有通信的媒介,方便服务器追踪客户端的状态,于是cookie技术应运而生,cookie是服务器产生的一段随机的字符串,发送给客户端,随后客户端便保存cookie,并使用这个cookie附带进后续的请求,以下是cookie设置的详细流程:

1、客户端发起一个请求连接(如HTTP GET)

2、服务器在http响应头上加上Set-Cookie,里面存放字符串的键值对

3、客户端随后的http请求头加上cookie首部,它包含了之前服务器响应中设置cookie的信息

根据这个Cookie首部的信息,服务器便能记住当前用户的信息

再来看看在python中是如何设置Cookie的:

from BaseHTTPServer import HTTPServer

from SimpleHTTPServer import SimpleHTTPRequestHandler

import Cookie

 

class MyRequestHandler(SimpleHTTPRequestHandler):

  def do_GET(self);

    content = "<html><body>Path is:%s</body></html>"%self.path

    self.send_response(200)

    self.send_header(‘Content-type‘,‘text/html‘)

    self.senf_header(‘Content-length‘,str(len(content)))

    cookie = Cookie.SimpleCookie()

    cookie[‘id‘] = ‘some_value_42‘

    self.wfile.write(cookie.output())

    self.wfile.write(‘\r\n‘)

    self.end_headers()

    self.wfile.write(content)

server = HTTPServer((‘‘,59900),MyRequestHandler)

server.serve_forever()

查看服务器端的http响应头,会发现以下字段:

Set-Cookie:id=some_value_42

而在django中,可以用如下的方式获取或设置Cookie:

def test_cookie(request):

  if ‘id‘ in request.COOKIES:

    cookie_id = request.COOKIES[‘id‘]

    return HttpResponse(‘Got cookie with id=%s‘%cookie_id)

  else:

    resp = HttpPesponse(‘No id cookie!sending cookie to client‘)

    resp.set_cookie(‘id‘,‘some_value_99‘)

    return resp

Django通过一系列的包装使得封装Cookie的操作变得更加简单,那么它在其中是怎么实现cookie的读取的呢,下面来窥探原理:

def _get_cookies(self):

  if not hasattr(self,‘_cookies‘):

    self._cookies = http.parse_cookie(self.environ.get(‘HTTP_COOKIE‘,‘‘))

  return self._cookies

 

可以看出,获取cookie的操作用了Lazyinitialization(延迟加载)的技术,因为如果客户端不需要用到cookie,这个过程只会浪费不必要的操作

再来看parse_cookie的实现:

def parse_cookie(cookie):

  if cookie == ‘‘:

    return {}

  if not isinstance(cookie,Cookie.BaseCookie):

    try:

      c = SimpleCookie()

      c.load(cookie,ignore_parse_errors=True)

    except Cookie.CookieError:

      return {}

  else:

    c= cookie

  cookiedict = {}

  for key in c.keys():

    cookieddict[key] = c.get(key).value

  return cookiedict

它负责解析Cookie并把结果集成到一个dict(字典)对象中,并返回字典。而设置cookie的操作则会被WSGIHandler执行

注意:django的底层实现了WSGI的接口(如WSGIRequest,WSGIServer等)

Session

前面介绍了Cookie的作用,有了Cookie,为什么还需要Session呢?其实很多情况下,只使用Cookie便能完成大部分目的。但是人们发现,只使用Cookie往往是不够的,考虑用户登录信息或一些重要的敏感信息,用Cookie会把信息保存到本地,因此信息的安全性可能受到威胁。Session的出现和好解决了这个问题,Session与Cooike类似,但他们最明显的区别是,Session会将信息保存到服务器端,客户端需要一个session_id,它是一段随机的字符串,类似身份证的功能,从服务器端根据这个凭证来获取信息。而这个session_id通常保存在Cookie中的,换句话说,Session的信息传递一般要借用到Cookie,如果Cookie被禁用,它则可能通过url加上query string来添加session_id

下面来看一个简单的session应用例子

def test_count_session(request):

  if ‘count‘ in request.session:

    request.session[‘count‘] +=1

    return HttpResponse(‘new count=%s‘%request.session[‘count‘])

  else:

    request.session[‘count‘]=1

    return HttpResponse(‘No count in session.Setting to 1‘)//可以用来写被访问了多少次

它用session实现了一个计数器,当每一个请求到来时,就为计数器加一,把新的结果更新到session中

查看http的响应头,会得到类似下面的信息

Set-Cookie:sessionid=q99e9e9e992939383838;  

      exoires = Thu,07-Jul-2011 04:16:28 GMT;

      Max-Age=1209600

      Path=/

里面包含了session_id以及过期时间等信息

那么服务器端是如何保存session呢?

在django中,默认会把session保存在setting指定的数据库中,除此之外,也可以通过指定session engine,使session保存在文件(file),内存(cache)中

如果保存在数据库中,django会在数据库中创建一个如下的session表

CREATE TABLE "django_session"(

  ‘session_key vachar(40) NOT NULL PRIMARY KEY,

  ‘session_data‘ text NOT NULL,

  ‘expire_date‘ datetime NOT NULL

);

session_key是放置在cookie中的id,它是唯一的,而session_data则存放序列化后的session数据字符串。

通过session_key可以在数据库中取得这条session的信息:

from django.contrib.session.models import Session

sess = Session.objects.get(pk=‘a9sjsjsjsjjs‘)

print(sess.session_data)

print(sess.get_decoded)

输出

ZmEy...

{‘count‘:6}

回看第一个例子,我们是通过request.session来获取session的,为什么请求对象会附带一个session对象呢,这其中做了什么呢?

这就引出了下面要说的django里的中间件技术

session middleware

关于中间件,django book是这样解释的:

django的中间件框架,是django处理请求和响应的一套钩子函数的集合

我们看传统的django师徒模式一般是这样的:http请求->view->http响应,而加入中间件框架后,则变为:http请求->中间件处理->app->中间件处理->http响应

而在django中这两个处理分别对应process_request和process_reponse函数,这两个钩子函数将会在特定的时候触发

直接看SessionMiddleware可能更清晰一些

class SessionMiddleware(object):

  def __init__(self):

    engine = import_module(settings.SESSION_ENGINE)

    self.SessionStore = engine.SessionStore

  def process_request(self,request):

    session_key= request.COOKIES.get(settings.SESSION_COOKIE_NAME)

    request.session = self.SessionStore(session_key)

  def process_response(self,request,response):

    ‘‘‘

    If request.session was modifid,or if the configuration is to save the session every time,save the changes and set a session cookie or delete the session cookie if the session has been emptied

    ‘‘‘

    try:

      accessded = request.session.accessed

      modified = request.session.modified

      empty = request.session.is_empty()

    except AttributeError:

      pass

    else:

    #First check if we need to delete this cookie.

    #The session should be deleted only if the session is entirely empty

    if settings.SESSION_COOKIE_NAME in request.COOKIES and empty:

      response.delete_cookie(setting.SESSION_COOKIE_NAME,domain=setting.SESSION_COOKIE_DOMAIN)

    else:

      if accessed;

        patch_vary_headers(response)

      if (modified or settings.SESSION_SAVE_EVERY_REQUEST) and not empty:

        if request.session.get_expire_at_browser_close():

          max_age = None

          expired = None

        else:

          max_age = request.session.get_expiry_age()

          expired_time = time.time()+max_age

          expires = cookie_date(expires_time)

        #Save the session data and refresh the client cookie

        #skip session save for 500 responses,refs #3883

        if response.status_code != 500:

          try:

            request.session.save()

          except UpdateError:

            #The user is now logged out;redirecting to same page  will resilt in a redirect to the login pagr if required

            return redirect(request.path)

          response.set_cookie(settings.SESSION_COOKIE_NAME,request.session.session_key,max_age=max_age,expires=expires,domain=settings.SESSION_COOKIE_DOMAIN,path = settings.SESSIONG_COOKIE_PATH,secure=setting.SESSION_COOKIE_SECURE or None,httponly=settings.SESSION_COOKIE_HTTPONLY or None)

     return response

在请求过来后,SessionMiddleware的process_request在请求取出session_key,并把一个新的session对象赋给request.session,而在返回响应时,process_response则判断session是否被修改或过期,来更新session的信息

Django用户认证中的Session

在django中,用下面的方法来验证用户是否登录是常见的事情

def test_user(request):

  user_str = str(request.user)

  if request.user.is_authenticated():

    return HttpResponse(‘%s is logged in‘ %user_str)

  else:

    return HttpResponse(‘%s is not logged in‘%user_str)

其实request.user的实现也借助到了session

在这个例子中,成功登录后,session表会保存类似下面的信息,里面记录了用户的id,以后进行验证时,便会到这个表中获取用户的信息。

{‘_auth_user_id‘: 1, ‘_auth_user_backend‘: ‘django.contrib.auth.backends.ModelBackend‘}

跟上面提到的Session中间件相似,用户验证也有一个中间件:AuthenticationMiddleware,在process_request中,通过request.class.user = LazyUser()在request设置了一个全局的可缓存的用户对象。
class LazyUser(object):
  def __get__(self,request,obj_type=None):
    if not hasattr(request,‘_chached_user‘):
      from django.contrib.auth import get_user
      request_._cached_user = get_user(request)
    return request._cached_user

class AuthenticationMiddleware(object):
  def process_request(self,request):
    request.__class__.user = LazyUser()
    return None
在get_user里,会在检查session中是否存放了当前用户对应的user_id,如果有,则通过id在model查找相应的用户返回,否则返回一个匿名的用户对象(AnonymousUser)
def get_user(request):
   from django.contrib.auth.models import AnonymousUser
   try:
      user_id = request.session[SESSION_KEY]
      backend_path = request.session[BACKEND_SESSION_KEY]
      backend = load_backend(backend_path)
      user = backend.get_user(user_id) or AnonymousUser()
   except KeyError:
    user = AnonymousUser()
   return user

Django中的Session实现

Django使用的Session默认都继承于SessionBase类里,这个类实现了一些session操作方法,以及hash,decode,encode等方法

class SessionBase(object):

‘‘‘

Base class for all Session classes.

‘‘‘

def __init__(self,session_key=None):

  self._session_key = session_key

  self.accessed = False

  self.modified = False

  self.serializer = import_string(settings.SESSION_SERIALIZER)

说的更直白一些,其实django中的session就是一个模拟dict的对象,并实现了一系列的hash和序列化方法,默认持久化在数据库中(有时候也可能由于为了提高性能,用redis之类的内存数据库来缓存session)。


   

 

转:django中session的实现机制

标签:安全性   change   status   原理   wsgi   购物车   modified   dom   .class   

原文地址:http://www.cnblogs.com/yingqml/p/6644231.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!