标签:安全性 change status 原理 wsgi 购物车 modified dom .class
转:www.jianshu.com
要理解session,首先要搞清楚cookie的概念。由于http是无状态的,服务器不能记住用户的信息状态,因此若由同一个客户端发起的多条请求,服务器不能辨别这些请求来自哪个用户。http无状态的限制为web应用程序的设计带来了许多不便,购物网站中的"购物车"功能就是一个很好的例子,当用户把商品放进购物车后,客户端必须要保存购物车的状态,否则当用户下次浏览网站时,购物车拥有的商品状态便不复存在。客户端和服务器必须有通信的媒介,方便服务器追踪客户端的状态,于是cookie技术应运而生,cookie是服务器产生的一段随机的字符串,发送给客户端,随后客户端便保存cookie,并使用这个cookie附带进后续的请求,以下是cookie设置的详细流程:
1、客户端发起一个请求连接(如HTTP GET)
2、服务器在http响应头上加上Set-Cookie,里面存放字符串的键值对
3、客户端随后的http请求头加上cookie首部,它包含了之前服务器响应中设置cookie的信息
根据这个Cookie首部的信息,服务器便能记住当前用户的信息
再来看看在python中是如何设置Cookie的:
from BaseHTTPServer import HTTPServer
from SimpleHTTPServer import SimpleHTTPRequestHandler
import Cookie
class MyRequestHandler(SimpleHTTPRequestHandler):
def do_GET(self);
content = "<html><body>Path is:%s</body></html>"%self.path
self.send_response(200)
self.send_header(‘Content-type‘,‘text/html‘)
self.senf_header(‘Content-length‘,str(len(content)))
cookie = Cookie.SimpleCookie()
cookie[‘id‘] = ‘some_value_42‘
self.wfile.write(cookie.output())
self.wfile.write(‘\r\n‘)
self.end_headers()
self.wfile.write(content)
server = HTTPServer((‘‘,59900),MyRequestHandler)
server.serve_forever()
查看服务器端的http响应头,会发现以下字段:
Set-Cookie:id=some_value_42
而在django中,可以用如下的方式获取或设置Cookie:
def test_cookie(request):
if ‘id‘ in request.COOKIES:
cookie_id = request.COOKIES[‘id‘]
return HttpResponse(‘Got cookie with id=%s‘%cookie_id)
else:
resp = HttpPesponse(‘No id cookie!sending cookie to client‘)
resp.set_cookie(‘id‘,‘some_value_99‘)
return resp
Django通过一系列的包装使得封装Cookie的操作变得更加简单,那么它在其中是怎么实现cookie的读取的呢,下面来窥探原理:
def _get_cookies(self):
if not hasattr(self,‘_cookies‘):
self._cookies = http.parse_cookie(self.environ.get(‘HTTP_COOKIE‘,‘‘))
return self._cookies
可以看出,获取cookie的操作用了Lazyinitialization(延迟加载)的技术,因为如果客户端不需要用到cookie,这个过程只会浪费不必要的操作
再来看parse_cookie的实现:
def parse_cookie(cookie):
if cookie == ‘‘:
return {}
if not isinstance(cookie,Cookie.BaseCookie):
try:
c = SimpleCookie()
c.load(cookie,ignore_parse_errors=True)
except Cookie.CookieError:
return {}
else:
c= cookie
cookiedict = {}
for key in c.keys():
cookieddict[key] = c.get(key).value
return cookiedict
它负责解析Cookie并把结果集成到一个dict(字典)对象中,并返回字典。而设置cookie的操作则会被WSGIHandler执行
注意:django的底层实现了WSGI的接口(如WSGIRequest,WSGIServer等)
Session
前面介绍了Cookie的作用,有了Cookie,为什么还需要Session呢?其实很多情况下,只使用Cookie便能完成大部分目的。但是人们发现,只使用Cookie往往是不够的,考虑用户登录信息或一些重要的敏感信息,用Cookie会把信息保存到本地,因此信息的安全性可能受到威胁。Session的出现和好解决了这个问题,Session与Cooike类似,但他们最明显的区别是,Session会将信息保存到服务器端,客户端需要一个session_id,它是一段随机的字符串,类似身份证的功能,从服务器端根据这个凭证来获取信息。而这个session_id通常保存在Cookie中的,换句话说,Session的信息传递一般要借用到Cookie,如果Cookie被禁用,它则可能通过url加上query string来添加session_id
下面来看一个简单的session应用例子
def test_count_session(request):
if ‘count‘ in request.session:
request.session[‘count‘] +=1
return HttpResponse(‘new count=%s‘%request.session[‘count‘])
else:
request.session[‘count‘]=1
return HttpResponse(‘No count in session.Setting to 1‘)//可以用来写被访问了多少次
它用session实现了一个计数器,当每一个请求到来时,就为计数器加一,把新的结果更新到session中
查看http的响应头,会得到类似下面的信息
Set-Cookie:sessionid=q99e9e9e992939383838;
exoires = Thu,07-Jul-2011 04:16:28 GMT;
Max-Age=1209600
Path=/
里面包含了session_id以及过期时间等信息
那么服务器端是如何保存session呢?
在django中,默认会把session保存在setting指定的数据库中,除此之外,也可以通过指定session engine,使session保存在文件(file),内存(cache)中
如果保存在数据库中,django会在数据库中创建一个如下的session表
CREATE TABLE "django_session"(
‘session_key vachar(40) NOT NULL PRIMARY KEY,
‘session_data‘ text NOT NULL,
‘expire_date‘ datetime NOT NULL
);
session_key是放置在cookie中的id,它是唯一的,而session_data则存放序列化后的session数据字符串。
通过session_key可以在数据库中取得这条session的信息:
from django.contrib.session.models import Session
sess = Session.objects.get(pk=‘a9sjsjsjsjjs‘)
print(sess.session_data)
print(sess.get_decoded)
输出
ZmEy...
{‘count‘:6}
回看第一个例子,我们是通过request.session来获取session的,为什么请求对象会附带一个session对象呢,这其中做了什么呢?
这就引出了下面要说的django里的中间件技术
session middleware
关于中间件,django book是这样解释的:
django的中间件框架,是django处理请求和响应的一套钩子函数的集合
我们看传统的django师徒模式一般是这样的:http请求->view->http响应,而加入中间件框架后,则变为:http请求->中间件处理->app->中间件处理->http响应
而在django中这两个处理分别对应process_request和process_reponse函数,这两个钩子函数将会在特定的时候触发
直接看SessionMiddleware可能更清晰一些
class SessionMiddleware(object):
def __init__(self):
engine = import_module(settings.SESSION_ENGINE)
self.SessionStore = engine.SessionStore
def process_request(self,request):
session_key= request.COOKIES.get(settings.SESSION_COOKIE_NAME)
request.session = self.SessionStore(session_key)
def process_response(self,request,response):
‘‘‘
If request.session was modifid,or if the configuration is to save the session every time,save the changes and set a session cookie or delete the session cookie if the session has been emptied
‘‘‘
try:
accessded = request.session.accessed
modified = request.session.modified
empty = request.session.is_empty()
except AttributeError:
pass
else:
#First check if we need to delete this cookie.
#The session should be deleted only if the session is entirely empty
if settings.SESSION_COOKIE_NAME in request.COOKIES and empty:
response.delete_cookie(setting.SESSION_COOKIE_NAME,domain=setting.SESSION_COOKIE_DOMAIN)
else:
if accessed;
patch_vary_headers(response)
if (modified or settings.SESSION_SAVE_EVERY_REQUEST) and not empty:
if request.session.get_expire_at_browser_close():
max_age = None
expired = None
else:
max_age = request.session.get_expiry_age()
expired_time = time.time()+max_age
expires = cookie_date(expires_time)
#Save the session data and refresh the client cookie
#skip session save for 500 responses,refs #3883
if response.status_code != 500:
try:
request.session.save()
except UpdateError:
#The user is now logged out;redirecting to same page will resilt in a redirect to the login pagr if required
return redirect(request.path)
response.set_cookie(settings.SESSION_COOKIE_NAME,request.session.session_key,max_age=max_age,expires=expires,domain=settings.SESSION_COOKIE_DOMAIN,path = settings.SESSIONG_COOKIE_PATH,secure=setting.SESSION_COOKIE_SECURE or None,httponly=settings.SESSION_COOKIE_HTTPONLY or None)
return response
在请求过来后,SessionMiddleware的process_request在请求取出session_key,并把一个新的session对象赋给request.session,而在返回响应时,process_response则判断session是否被修改或过期,来更新session的信息
在django中,用下面的方法来验证用户是否登录是常见的事情
def test_user(request):
user_str = str(request.user)
if request.user.is_authenticated():
return HttpResponse(‘%s is logged in‘ %user_str)
else:
return HttpResponse(‘%s is not logged in‘%user_str)
其实request.user的实现也借助到了session
在这个例子中,成功登录后,session表会保存类似下面的信息,里面记录了用户的id,以后进行验证时,便会到这个表中获取用户的信息。
{‘_auth_user_id‘: 1, ‘_auth_user_backend‘: ‘django.contrib.auth.backends.ModelBackend‘}
跟上面提到的Session中间件相似,用户验证也有一个中间件:AuthenticationMiddleware,在process_request中,通过request.class.user = LazyUser()在request设置了一个全局的可缓存的用户对象。
class LazyUser(object):
def __get__(self,request,obj_type=None):
if not hasattr(request,‘_chached_user‘):
from django.contrib.auth import get_user
request_._cached_user = get_user(request)
return request._cached_user
class AuthenticationMiddleware(object):
def process_request(self,request):
request.__class__.user = LazyUser()
return None
在get_user里,会在检查session中是否存放了当前用户对应的user_id,如果有,则通过id在model查找相应的用户返回,否则返回一个匿名的用户对象(AnonymousUser)
def get_user(request):
from django.contrib.auth.models import AnonymousUser
try:
user_id = request.session[SESSION_KEY]
backend_path = request.session[BACKEND_SESSION_KEY]
backend = load_backend(backend_path)
user = backend.get_user(user_id) or AnonymousUser()
except KeyError:
user = AnonymousUser()
return user
Django使用的Session默认都继承于SessionBase类里,这个类实现了一些session操作方法,以及hash,decode,encode等方法
class SessionBase(object):
‘‘‘
Base class for all Session classes.
‘‘‘
def __init__(self,session_key=None):
self._session_key = session_key
self.accessed = False
self.modified = False
self.serializer = import_string(settings.SESSION_SERIALIZER)
说的更直白一些,其实django中的session就是一个模拟dict的对象,并实现了一系列的hash和序列化方法,默认持久化在数据库中(有时候也可能由于为了提高性能,用redis之类的内存数据库来缓存session)。
标签:安全性 change status 原理 wsgi 购物车 modified dom .class
原文地址:http://www.cnblogs.com/yingqml/p/6644231.html