django中Cookie和Session

最新推荐文章于 2023-08-10 19:30:28 发布
最新推荐文章于 2023-08-10 19:30:28 发布
阅读量432 收藏
点赞数
分类专栏: python django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fksfdh/article/details/104718435
版权
django中session源码分析

在学习django时,先通过设置request.session[“user_id”] = user.pk ,然后发送请求后 'request.session.get(‘user_id’)获取到用户id时产生了下面一个问题

在request请求模块里,默认是不带session功能的,也就是说request没有session属性的,为何我们还能使用呢?因为session功能是以中间件形式提供,由于在settings里配置了MIDDLEWARE_CLASSES这个变量,同时将模块’django.contrib.sessions.middleware.SessionMiddleware’添加到项目里,Django1.8以后的版本改名为MIDDLEWARE,所以我们才能通过request.session方式设置session。那么这个中间件对我们的request做了些什么呢?

一 、 request.session[“user_id”] = user.pk是如何执行的

在我们进入session中间件中,可以看到如下代码:

class SessionMiddleware(MiddlewareMixin):
    def __init__(self, get_response=None):
    #所有 engine = import_module(settings.SESSION_ENGINE)获取到的engine 是一个db模块
	#接下来的代码self.SessionStore = engine.SessionStore是拿到了一个db模块下的SessionStore对象
	#该模块是对数据库的一些操作,后续我们在看这块的源码
        self.get_response = get_response
        engine = import_module(settings.SESSION_ENGINE)
        self.SessionStore = engine.SessionStore

    def process_request(self, request):
        session_key = request.COOKIES.get(settings.SESSION_COOKIE_NAME)
        request.session = self.SessionStore(session_key)

#中间件首先从我们的请求request.COOKIES获取对应的cookie信息,这个信息最开始是从浏览器的cookie获取的,如果浏览器没有相应的cookie信息,则服务器会为这个浏览器创建一个cookie实例,本质上cookie对象就是一个继承了dict字典的对象,
接着从cookie对象取出session_key,也就是cookie为 sessionid的值,,然后拿着这个值到self.SessionStore进行实例化,

这个初始化方法我们在SessionBase中找到了,就是 self._session_key = session_key ,也就是self._session_key = ‘sessionid’

..\django\contrib\sessions\backends\base.py

class SessionBase:
    """
    Base class for all Session classes.
    """
    TEST_COOKIE_NAME = 'testcookie'
    TEST_COOKIE_VALUE = 'worked'

    __not_given = object()
#这里通过代码意思也能猜到是赋值session_key以及accessed是标识是否获取过session,
#以及modified 是否进行对session进行修改操作,serializer就是对session进行序列化,然后存入数据库级别
    def __init__(self, session_key=None):
        self._session_key = session_key
        self.accessed = False
        self.modified = False
        self.serializer = import_string(settings.SESSION_SERIALIZER)

图一:
图一
在python标准库中,对象利用字典式的添加属性,会调用__setitem__方法,获取操作调用__getitem__方法
当我们执行 request.session[“user_id”] 就会触发__getitem__

    def __getitem__(self, key):
        return self._session[key]

而 _session = property(_get_session) :property调用会再次执行_get_session方法,这是标准库的内置函数,这里就不赘述了,看下_get_session代码

    def _get_session(self, no_load=False):
        """
        Lazily load session from storage (unless "no_load" is True, when only
        an empty dict is stored) and store it in the current instance.
        """
        self.accessed = True
        try:
            return self._session_cache
        except AttributeError:
            if self.session_key is None or no_load:
                self._session_cache = {}
            else:
                self._session_cache = self.load()
        return self._session_cache

    _session = property(_get_session)

当第一访问服务器时,self._session_cache是空的,所有会执行AttributeError异常代码,no_load默认是False,所以会执行异常代码块的如下部分,返回一个空字典

            if self.session_key is None or no_load:
                self._session_cache = {}

request.session[“user_id”] = user.pk 赋值操作,会执行如下的代码:

 def __setitem__(self, key, value):
        self._session[key] = value
        self.modified = True  #表示修改了session

这里我们看到将accessed 修改为True,标识获取了session,然后去_session_cache缓存中获取,如果缓存中不存在,那么就去self.load()加载,所以这次会获取到self._session_cache缓存值。

..\django\contrib\sessions\backends\db.py

class SessionStore(SessionBase):

       def _get_session_from_db(self):
        try:
            return self.model.objects.get(
                session_key=self.session_key,
                expire_date__gt=timezone.now()
            )
        except (self.model.DoesNotExist, SuspiciousOperation) as e:
            if isinstance(e, SuspiciousOperation):
                logger = logging.getLogger('django.security.%s' % e.__class__.__name__)
                logger.warning(str(e))
            self._session_key = None

	 	def load(self):
	        s = self._get_session_from_db()
	        return self.decode(s.session_data) if s else {}

以上就是process_request的执行流程,以上几个方法还没有真正保存,我们注意一点在process_request还没有保存到数据库中,只是在缓存级别进行操作。

处理完视图逻辑后进入下面:

二 、request.session.save()是如何保存到数据库的

接下来是process_response中的执行流程:

进入后首先定义了三个变量来接收request.session中的三个变量:
accessed = request.session.accessed
modified = request.session.modified
empty = request.session.is_empty()

其中 accessed是标识是否获取过session,以及modified 是否进行对session进行修改操作。
接下来我们看is_empty()这个方法是干了什么:
 def is_empty(self):
        "Returns True when there is no session_key and the session is empty"
        try:
            return not bool(self._session_key) and not self._session_cache
        except AttributeError:
            return True
意思就是当没有session_key且session 是空时候为True,我们之前的代码可以分析出self._session_cache有值,所以最后返回False。
try里面如果没有异常,会执行else部分代码,由于empty为False,会执行如下代码
            if settings.SESSION_COOKIE_NAME in request.COOKIES and empty:
                response.delete_cookie(
                    settings.SESSION_COOKIE_NAME,
                    path=settings.SESSION_COOKIE_PATH,
                    domain=settings.SESSION_COOKIE_DOMAIN,
                )
            else:
                if accessed:
                #大概意思就是django中间件对response进行了修改,然后将Cookie添加进去,构建新的headers
                    patch_vary_headers(response, ('Cookie',))
                    ‘’‘
                    1、SESSION_SAVE_EVERY_REQUEST 
如果设置为True,django为每次request请求都保存session的内容,默认为False。
					2、如果修改了session
					3、有值(必须)
					‘’‘
                if (modified or settings.SESSION_SAVE_EVERY_REQUEST) and not empty:
                	#如果session失效,或者设置时间为0,也就是关闭浏览器就失效。
                    if request.session.get_expire_at_browser_close():
                        max_age = None
                        expires = None
                    else:
                    #否则,获取设置的session时效
                        max_age = request.session.get_expiry_age()
                        expires_time = time.time() + max_age
                        expires = http_date(expires_time)
                    # Save the session data and refresh the client cookie.
                    # Skip session save for 500 responses, refs #3881.
                    if response.status_code != 500:
                        try:
                        #保存到数据库中
                            request.session.save()
                        except UpdateError:
                            raise SuspiciousOperation(
                                "The request's session was deleted before the "
                                "request completed. The user may have logged "
                                "out in a concurrent request, for example."
                            )
                           #设置cookie
                        response.set_cookie(
                            settings.SESSION_COOKIE_NAME,
                            request.session.session_key, max_age=max_age,
                            expires=expires, domain=settings.SESSION_COOKIE_DOMAIN,
                            path=settings.SESSION_COOKIE_PATH,
                            secure=settings.SESSION_COOKIE_SECURE or None,
                            httponly=settings.SESSION_COOKIE_HTTPONLY or None,
                            samesite=settings.SESSION_COOKIE_SAMESITE,
                        )
        return response


我们可以看懂在process_response中有这么一句request.session.save(),这里才是将session保存到数据库中,

    def save(self, must_create=False):
        """
        Save the current session data to the database. If 'must_create' is
        True, raise a database error if the saving operation doesn't create a
        new entry (as opposed to possibly updating an existing entry).
        """
        if self.session_key is None:
            return self.create()
        data = self._get_session(no_load=must_create)
        obj = self.create_model_instance(data)
        using = router.db_for_write(self.model, instance=obj)
        try:
            with transaction.atomic(using=using):
                obj.save(force_insert=must_create, force_update=not must_create, using=using)
        except IntegrityError:
            if must_create:
                raise CreateError
            raise
        except DatabaseError:
            if not must_create:
                raise UpdateError
            raise
注意:但是当我们第一次访问的时候是没有session_key的,但是会执行两边save()

也就是执行了这段代码,返回了一个session_key

if self.session_key is None:
            return self.create()

    def create(self):
        while True:
            self._session_key = self._get_new_session_key()    #返回生成的加密后的随机字符串
            try:
                # Save immediately to ensure we have a unique entry in the
                # database.
                self.save(must_create=True)
            except CreateError:
                # Key wasn't unique. Try again.
                continue
            self.modified = True
            return
我们在create中可以看到这段代码:self.save(must_create=True),它就会再次执行一遍上面的save()方法,但是这一次我们就已经产生了session_key了。
接下来:会到save()方法中,这次在判断self.session_key就不为None了,进而执行余下的代码1、data = self._get_session(no_load=must_create)。
    def _get_session(self, no_load=False):
        """
        Lazily loads session from storage (unless "no_load" is True, when only
        an empty dict is stored) and stores it in the current instance.
        """
        self.accessed = True
        try:
            return self._session_cache
        except AttributeError:
            if self.session_key is None or no_load:
                self._session_cache = {}
            else:
                self._session_cache = self.load()
        return self._session_cache

因为no_load=True,我们分析过了,在process_request中是进行了session缓存操作,如果有缓存的化,就直接返回缓存数据,在某种意外的前提下,或者缓存数据丢失,就执行self._session_cache = {}构建一个字典数据类型。因为我们进行request.session[“user_id”] = user.pk 操作后self._session_cache已经有了值,就会直接返回这个字典。

接下来:2、obj = self.create_model_instance(data)
  def create_model_instance(self, data):
        """
        Return a new instance of the session model object, which represents the
        current session state. Intended to be used for saving the session data
        to the database.
        """
        return self.model(
            session_key=self._get_or_create_session_key(),
            session_data=self.encode(data),
            expire_date=self.get_expiry_date(),
        )
self.model()
    def model(self):
        return self.get_model_class()

 @classmethod
    def get_model_class(cls):
        # Avoids a circular import and allows importing SessionStore when
        # django.contrib.sessions is not in INSTALLED_APPS.
        from django.contrib.sessions.models import Session
        return Session

返回了一个Session模型类,这个Session就是django给我们创建的Session模型。

class Session(AbstractBaseSession):

    objects = SessionManager()

    @classmethod
    def get_session_store_class(cls):
        from django.contrib.sessions.backends.db import SessionStore
        return SessionStore

    class Meta(AbstractBaseSession.Meta):
        db_table = 'django_session'
我们进入AbstractBaseSession初始化方法中可以看到下面三个字段
 session_key=self._get_or_create_session_key(),
 session_data=self.encode(data),
 expire_date=self.get_expiry_date(),

class AbstractBaseSession(models.Model):
    session_key = models.CharField(_('session key'), max_length=40, primary_key=True)
    session_data = models.TextField(_('session data'))
    expire_date = models.DateTimeField(_('expire date'), db_index=True)
3、using = router.db_for_write(self.model, instance=obj)
db_for_write = _router_func('db_for_write')

 def _router_func(action):
        def _route_db(self, model, **hints):
            chosen_db = None
            for router in self.routers:
                try:
                    method = getattr(router, action)
                except AttributeError:
                    # If the router doesn't have a method, skip to the next one.
                    pass
                else:
                    chosen_db = method(model, **hints)
                    if chosen_db:
                        return chosen_db
            instance = hints.get('instance')
            if instance is not None and instance._state.db:
                return instance._state.db
            return DEFAULT_DB_ALIAS
        return _route_db

_router_func大概意思就是找到可以使用的db数据库,比如代码里面的settings.DATABASE_ROUTERS去项目下的settings.py配置文件去找。

try:
            with transaction.atomic(using=using):
                obj.save(force_insert=must_create, force_update=not must_create, using=using)

写入数据库。

三、 当写入浏览器cookie返回,下次浏览器就会带着sessionid键值对进行服务器访问,我们来看下在访问时候,是如何加载load数据的。
    def _get_session_from_db(self):
        try:
            return self.model.objects.get(
                session_key=self.session_key,
                expire_date__gt=timezone.now()
            )
        except (self.model.DoesNotExist, SuspiciousOperation) as e:
            if isinstance(e, SuspiciousOperation):
                logger = logging.getLogger('django.security.%s' % e.__class__.__name__)
                logger.warning(str(e))
            self._session_key = None

    def load(self):
        s = self._get_session_from_db()
        return self.decode(s.session_data) if s else {}

@cached_property
    def model(self):
        return self.get_model_class()  #在前面讲过

可以看到就是通过模型类从数据库中获取到值。

四、切换用户的问题

如果当我们在当前浏览器切换用户时会发生什么呢?
使用同一个浏览器,带来还是第一个用户的sessionid中的键值session_key
session_key依然从缓存拿(可以看前面第一步)requset.session[‘new_user_id’]= user.pk,我们着重看下
当我们请求时,session_key已经存在了.(具体登录的源码以后分析)

  def save(self, must_create=False):
        if self.session_key is None:
            return self.create()
        data = self._get_session(no_load=must_create)
        obj = self.create_model_instance(data)
        using = router.db_for_write(self.model, instance=obj)
        try:
            with transaction.atomic(using=using):
                obj.save(force_insert=must_create, force_update=not must_create, using=using)
        except IntegrityError:
            if must_create:
                raise CreateError
            raise
        except DatabaseError:
            if not must_create:
                raise UpdateError
            raise

我们从缓存中获取的data = self._get_session(no_load=must_create)获取到data是新的数据{‘new_user_id’:user.pk}
因此data是新的用户,是对数据库进行的更新操作,session_key是不变的,session_data进行了更新。

fksfdh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django学习笔记6——CookieSession
Dev-L的博客
08-02 382
Cookie
djangoCookieSession、Token
Shawn派大星
04-21 480
一.CookieSession、Token的由来 我们知道HTTP协议无连接的, 也就是不保存用户的状态信息 早期(十几年前)的网页是静态的, 数据都是写死的, 人们访问网页只是用来查看新闻的, 没有保存用户状态的需求 而往后出现了像论坛、博客、网购这一类需要保存用户信息的网站, 如果网站不保存用户的状态信息, 意味着用户每次访问都需要重新输入用户名和密码, 这无疑对用户的体验是极其不好的 于是, 就出现了会话跟踪技术, 我们可以把它理解为客户端与服务端之间的一次会晤, 一次会晤包含的多次请求与响应, 每
CookieSession和自定义分页
weixin_30918633的博客
01-24 229
cookie Cookie的由来 大家都知道HTTP协议是无状态的。 无状态的意思是每次请求都是独立的,它的执行情况和结果与前面的请求和之后的请求都无直接关系,它不会受前面的请求响应情况直接影响,也不会直接影响后面的请求响应情况。 一句有意思的话来描述就是人生只如初见,对服务器来说,每次的请求都是全新的。 状态可以理解为客户端和服务器在某次会话产生的数据,那无状态的就以为这些数据不会被...
DjangoCookieSession
weixin_30472035的博客
08-19 87
目录 Cookie Cookie的由来 什么是cookie Django操作Cookie 获取Cookie 设置Cookie 删除cookie 案例(cookie版登录校验及登出) ...
djangosession cookie
dayingxie3009的博客
09-25 99
cookiesession 前提:由于http协议是无状态的,无法记录用户的状态,因此我们就利用cookiesession来帮助我们完成状态记录保存。 cookie cookie就是保存在客户端浏览器上的键值对   工作原理:当你登陆成功之后 浏览器上会保存一些信息,下次再访问的时候,就会带着这些信息去访问服务端 服务端通过这些信息就可以识别出你的身份   cookie虽然...
Djangocookiesession
weixin_30300225的博客
06-27 102
cookiesession Cookie可以翻译为“小甜品,小饼干” ,Cookie 在网络系统几乎无处不在,当我们浏览以前访问过的网站时,网页可能会出现 :你好 .xx,Cookie其实是客户端记录用户行为的一个文件,形式通常是键值对的方式,大家可能有过这种经历,登录网站有的浏览器会提示,是否保存Cookie cookies是指某些网站为了辨别用户身份、进行session跟踪 而储存在...
Django---Django使用COOKIESESSION
dayinji1212的博客
09-06 181
Django---Django使用COOKIESESSION 一丶Cookie cookie的由来 # HTTP协议是无状态的。 # 无状态的意思是每次请求都是独立的,它的执行情况和结果与前面的请求和之后的请求都无直接关系,它不会受前面的请求响应情况直接影响,也不会直接影响后面的请求响应情况。 # 对服务器来说,每次的请求都是全新的。 # 状态可以理解为客户端和服务器在某次会话...
Python Web框架之Django框架cookiesession用法分析
01-20
本文实例讲述了Python Web框架之Django框架cookiesession用法。分享给大家供大家参考,具体如下: part 1 概念 在Django里面,cookiesession都记录了客户端的某种状态,用来跟踪用户访问网站的整个回话。 两者...
Djangocookiesession操作实例代码
10-19
在Web开发CookieSession是两种常见的用户状态管理机制,它们用于跟踪用户的会话...在实际应用,通常会结合使用两者,例如使用Cookie来存储用户ID,然后通过这个ID在服务器端的Session查找并处理用户信息。
django框架cookiesession用法实例详解
09-18
在上面的示例,通过`request.session`字典,我们可以检查用户是否登录(通过`"is_login"`这个键),也可以根据需要向Session添加或修改数据。 Django提供了多种操作Session的方法,例如: - `session.save()`...
Django Session Cookie使用
wanglei_storage的博客
12-20 815
一、cookiesession说明 由于http是无状态的协议,不像tcp一样可以保持连接,那么这个时候用户在通过http协议访问时,服务器并不知道具体是哪个用户,导致无法根据某种状态做一些特殊的处理,那么这个时候,cookie就产生了 cookie就是服务器基于不同的用户或者用户不同的状态进行区分,进而执行不同的操作,如可以根据用户cookie进行判定用户是否登录,也可以通过web服务器来根据...
Django开发学习之SessionCookie
qq_38799933的博客
06-16 178
会话跟踪技术 1.什么是会话跟踪技术 我们需要先了解一下什么是会话!可以把会话理解为客户端与服务器之间的一次会晤,在一次会晤可能会包含多次请求和响应。例如你给10086打个电话,你就是客户端,而10086服务人员就是服务器了。从双方接通电话那一刻起,会话就开始了,到某一方挂断电话表示会话结束。在通话过程,你会向10086发出多个请求,那么这多个请求都在一个会话。 在JavaWeb,客户向某一服务器发出第一个请求开始,会话就开始了,直到客户关闭了浏览器会话结束。 在一个会话的多个请求共享数据,这就是
djangocookiesession操作
sinat_31907813的博客
10-31 789
Djangocookiesession操作 一、关于Cookie cookie及特点 Cookie是由服务器(网站)生成的,存储在浏览器端的 键值对数据(通常经过加密) 在响应请求时,服务器会把生成 Cookie数据 发给浏览器,浏览器会自动保存 (前提:浏览器开启了cookie功能) 浏览器请求服务器(网站)时,会自动上传该服务器(网站)生成的所有Cookie Cookie基于 域名安全...
Djangosessioncookie的用法
阳光女孩---python-Girl
12-13 231
session:存在服务器端,用request对象进行设置 设置session: 在后端写入 request.session[‘money’:100],默认会在cookie产生一个sessionid 获取session值: 只能在后端获取: print(request.session.get(‘money’)) cookie:存在客户端(浏览器),用response对象进行设置 设置sessio...
Django cookies和session
光明小学王小雨的博客
01-15 248
一、cookie 1、 cookie是什么? 保存在浏览器上一组组键值对 服务器让浏览器进行保存的cookie,浏览器有权利是否进行保存,再次访问服务器的时候会携带着相应的cookie 2、什么要有cookie? http协议是无状态,每次请求都是无关联的,没有办法保存状态。 使用cookie保存状态。 3、django的操作cookie 设置cookie ret = HttpResponse('...
Djangosessioncookie简单的使用
GeniusXYT的博客
11-16 468
一、简单的理解 sessioncookierequest下的两个对象,操作他们的值就是在操作字典,设置他们的属性就是要调用方法。 在Django要用session一定要先执行(创建表的过程): python manage.py makemigrations python manage.py migrate session: 设置值(字典): request.session[‘usern...
Django操作cookieDjango操作sessionDjangoSession配置、CBV添加装饰器、间件、csrf跨站请求
最新发布
linjun的博客
08-10 893
【代码】Django操作cookieDjango操作sessionDjangoSession配置、CBV添加装饰器、间件、csrf跨站请求。
(十九)Djangocookiesession用法
z_ipython的博客
07-17 528
一、cookiesession基础简介   由于http请求是无状态的,无法记录用户的身份,所以需要有一种机制来长期的保存和校验用户的身份,最先出现的是cookie。   Cookie:是由服务器下发到用户(浏览器)本地的用于校验身份的数据。 cookie工作的机制: 用户第一次请求服务器 服务器根据用户提交的数据来识别用户身份,然后下发对应的cookie 用户第二次携带cookie请求服务器...
django3 COOKIESESSION
weixin_30505751的博客
08-28 140
COOKIESESSION 简介 1、cookie不属于http协议范围,由于http协议无法保持状态,但实际情况,我们却又需要“保持状态”,因此cookie就是在这样一个场景下诞生。 cookie的工作原理是:由服务器产生内容,浏览器收到请求后保存在本地;当浏览器再次访问时,浏览器会自动带上cookie,这样服务器就能通过cookie的内容来判断这个是“谁”了。 2、cookie虽...
Djangocookiesession详解
"本文主要探讨了Django框架关于cookiesession的使用,旨在提供详细的实例解析,对于理解和应用这两个概念具有重要的参考价值。" 在Web开发,由于HTTP协议的无状态特性,服务器无法在不同请求之间识别同一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值