Django 中Session的使用

Session的基本原理

前面說了， Cookie就是一個(gè)類似字典的鍵值對(duì)，把數(shù)據(jù)保存在客戶端上，可以是臨時(shí)保存在內(nèi)存中，也可以長(zhǎng)期保存在硬盤上。Cookie可以通過后臺(tái)或者前端的Javascript創(chuàng)建，而且在客戶端可以直接看見，因此一些敏感信息不適合放在Cookie里面

和Cookie相對(duì)應(yīng)的，Session則是在用戶訪問的時(shí)候，創(chuàng)建一個(gè)隨機(jī)的字符串，保存在客戶端的Cookie里面，默認(rèn)名是sessionid，然后在服務(wù)器端，給這個(gè)字符串創(chuàng)建一個(gè)鍵值對(duì)，這個(gè)字符串的值又可以是一個(gè)字典結(jié)構(gòu)，保存所有相關(guān)的信息。因此可以這么理解，Session是服務(wù)器端的一個(gè)巨大的鍵值對(duì)，每一個(gè)key都對(duì)應(yīng)一個(gè)登錄用戶的隨機(jī)字符串，每個(gè)key都有自己的value，這個(gè)value同樣是一個(gè)字典，包括這個(gè)登錄賬號(hào)的所有信息。

用戶訪問一個(gè)頁面的時(shí)候，服務(wù)器會(huì)查看cookie里面的sessionid,然后通過session去查找匹配的key，然后判斷是否已經(jīng)登錄。因此Session是依賴于cookie的，無論是cookie清空或者session清空，都會(huì)導(dǎo)致需要重新登錄創(chuàng)建新的鍵值對(duì)。

Session常見的基本操作

獲?。豪绔@取值為X的Session鍵值對(duì)，如果沒有則返回None
request.session.get('X', None)

創(chuàng)建或者修改：
request.session['X']=M

刪除：
例如清空整個(gè)session
request.session.clear()
清空這個(gè)session里面的一個(gè)key
del request.session['key']

設(shè)置超時(shí)時(shí)間:
例如：設(shè)置200秒之后超時(shí)，他的默認(rèn)時(shí)間是兩周
request.session.set_expire(200)

獲取用戶的隨機(jī)字符串:
request.session.session_key

將過期的session都刪掉:
request.session.clear_expired()

獲取鍵值對(duì)的值
request.session.keys()
request.session.values()
request.session.items()

Session的保存

Django里面，session默認(rèn)是保存在數(shù)據(jù)庫里面的，因此如果是第一次使用，和通過models配置數(shù)據(jù)庫一樣，需要先執(zhí)行python manage.py makemigrations 和 python manage.py migrate生成對(duì)應(yīng)的表

可以看見他默認(rèn)生成的表結(jié)構(gòu)大概如下所示

基本的配置文件（默認(rèn)配置）

    SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎（默認(rèn)）
   
    SESSION_COOKIE_NAME ＝ "sessionid"                       # Session的cookie保存在瀏覽器上時(shí)的key，即：sessionid＝隨機(jī)字符串（默認(rèn)）
    SESSION_COOKIE_PATH ＝ "/"                               # Session的cookie保存的路徑（默認(rèn)）
    SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名（默認(rèn)）
    SESSION_COOKIE_SECURE = False                            # 是否Https傳輸cookie（默認(rèn)）
    SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http傳輸（默認(rèn)）
    SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期（2周）（默認(rèn)）
    SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否關(guān)閉瀏覽器使得Session過期（默認(rèn)）
    SESSION_SAVE_EVERY_REQUEST = False                       # 是否每次請(qǐng)求都保存Session，默認(rèn)修改之后才保存（默認(rèn)

另外Session還可以保存在緩存(memcache),文件，緩存+數(shù)據(jù)庫或者加密的Cookie，他們對(duì)應(yīng)的配置文件略有不同

緩存，默認(rèn)是memcache,但是有插件可以支持redis

    SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
    SESSION_CACHE_ALIAS = 'default'                            # 使用的緩存別名（默認(rèn)內(nèi)存緩存，也可以是memcache），此處別名依賴緩存的設(shè)置
 
 
    SESSION_COOKIE_NAME ＝ "sessionid"                        # Session的cookie保存在瀏覽器上時(shí)的key，即：sessionid＝隨機(jī)字符串
    SESSION_COOKIE_PATH ＝ "/"                                # Session的cookie保存的路徑
    SESSION_COOKIE_DOMAIN = None                              # Session的cookie保存的域名
    SESSION_COOKIE_SECURE = False                             # 是否Https傳輸cookie
    SESSION_COOKIE_HTTPONLY = True                            # 是否Session的cookie只支持http傳輸
    SESSION_COOKIE_AGE = 1209600                              # Session的cookie失效日期（2周）
    SESSION_EXPIRE_AT_BROWSER_CLOSE = False                   # 是否關(guān)閉瀏覽器使得Session過期
    SESSION_SAVE_EVERY_REQUEST = False                        # 是否每次請(qǐng)求都保存Session，默認(rèn)修改之后才保存

文件

    SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎
    SESSION_FILE_PATH = None                                    # 緩存文件路徑，如果為None，則使用tempfile模塊獲取一個(gè)臨時(shí)地址tempfile.gettempdir()                                                            # 如：/var/folders/d3/j9tj0gz93dg06bmwxmhh7_xm0000gn/T
 
 
    SESSION_COOKIE_NAME ＝ "sessionid"                          # Session的cookie保存在瀏覽器上時(shí)的key，即：sessionid＝隨機(jī)字符串
    SESSION_COOKIE_PATH ＝ "/"                                  # Session的cookie保存的路徑
    SESSION_COOKIE_DOMAIN = None                                # Session的cookie保存的域名
    SESSION_COOKIE_SECURE = False                               # 是否Https傳輸cookie
    SESSION_COOKIE_HTTPONLY = True                              # 是否Session的cookie只支持http傳輸
    SESSION_COOKIE_AGE = 1209600                                # Session的cookie失效日期（2周）
    SESSION_EXPIRE_AT_BROWSER_CLOSE = False                     # 是否關(guān)閉瀏覽器使得Session過期
    SESSION_SAVE_EVERY_REQUEST = False                          # 是否每次請(qǐng)求都保存Session，默認(rèn)修改之后才保存

緩存+數(shù)據(jù)庫

    
    SESSION_ENGINE ='django.contrib.sessions.backends.cached_db'# 引擎

加密cookie

 
    SESSION_ENGINE ='django.contrib.sessions.backends.signed_cookies'# 引擎

下面看個(gè)簡(jiǎn)單的登錄例子

登錄的時(shí)候，獲取用戶名和密碼，然后如果正確，設(shè)置session的值和超時(shí)時(shí)間

def login(request):
    
    if request.method == "GET":
        return render(request,'login.html')
    elif request.method == "POST":
        user = request.POST.get('user')
        pwd = request.POST.get('pwd')
        if user == 'root' and pwd == "123":
            # session中設(shè)置值
            request.session['username'] = user
            request.session['is_login'] = True
            if request.POST.get('rmb',None) == '1':
                # 超時(shí)時(shí)間
                request.session.set_expiry(10)
            return redirect('/index/')
        else:
            return render(request,'login.html')

主頁顯示登錄用戶信息，如果session超時(shí)，顯示錯(cuò)誤信息

def index(request):
    # session中獲取值
    print(request.session)
    if request.session.get('is_login',None):
        return render(request,'index.html',{'username': request.session['username']})
    else:
        return HttpResponse('Session expired')

效果：

登錄

主頁，Django默認(rèn)情況下2周內(nèi)session有效，但是cookie在關(guān)閉瀏覽器之后自動(dòng)清空

如果查看cookie看見出現(xiàn)了一個(gè)sessionid的隨機(jī)字符串

如果我們登錄的時(shí)候勾選了10秒超時(shí)，10秒后刷新頁面會(huì)顯示已經(jīng)超時(shí)

查看cookie發(fā)現(xiàn)對(duì)應(yīng)的sessionid已經(jīng)消失了