Flask源码剖析-session实现原理

最新推荐文章于 2023-08-02 20:42:34 发布
最新推荐文章于 2023-08-02 20:42:34 发布
阅读量510 收藏 1
点赞数
分类专栏: python_web 文章标签: flask python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kobe_okok/article/details/120240191
版权

文章目录

1 cookie和session

http是无状态的,对于一些场景,比如购物网站,加购物车,付款这些过程需要记录前一个页面的状态,假如你选了一购物车的货物,准备去付款页面付款,此时你的商品信息全部都没有了,这是行不通的。为了保持客户端与服务器之间的会话状态,就有了cookie和session。
不严谨的说,cookie是存储在浏览器端的一些信息,session是存储在服务器端的信息,session存储后会生成一个sessionID,浏览器通过cookie把sessionID发送到服务器,服务器判断这个sessionID里面存储的信息,把信息给这个浏览器,如果浏览器没有sessionID,那么访问服务器后,服务器会为这个浏览器新建一个sessionID。
本文章的重点不是剖析session和cookie,而是研究一下flask的session是怎么实现的。

2 flask中使用session

from flask import Flask, session


app = Flask(__name__)
#RuntimeError: The session is unavailable because no secret key was set.  
#Set the secret_key on the application to something unique and secret.
app.config['SECRET_KEY'] = 'secret key xxx'

@app.route('/set_session')
def set_session():
    session['key'] = 'value'
    return "set_cookie_success"


@app.route('/get_session')
def get_session():
    try:
        session_value = session['key']
    except KeyError:
        session_value = None
    if session_value:
        return session_value
    else:
        return 'session key not found'


if __name__ == '__main__':
    app.run()

在这里插入图片描述
在这里插入图片描述
通过session可以在不同的请求之间共享数据,上面图片所示就是写入session和获取session的过程

带着几个问题:

  • 为什么session可以像字典一样操作?
  • 使用session为什么需要secret key?
  • 通过开发者工具会发现session出现在了浏览器的cookie中,为什么?

在这里插入图片描述

3 剖析flask内部session实现原理

"""
===============================step1==================================
从from flask import session开始
"""
# globals.py中session是一个全局变量,并且也是一个本地代理对象
session: "SessionMixin" = LocalProxy(  # type: ignore
    partial(_lookup_req_object, "session")
)
"""
===============================step2==================================
请求刚进来,ctx.py模块中的class RequestContext:中定义了session
"""
class RequestContext:
    def __init__(
        self,
        app: "Flask",
        environ: dict,
        request: t.Optional["Request"] = None,
        session: t.Optional["SessionMixin"] = None,) # session被初始化为None


"""
===============================step3==================================
在RequestContext对象被push到_request_ctx_stack中后
"""
# RequestContext类的push方法如下:
	def push(self)
		...
				# 请求刚进来的时候session就是None
        if self.session is None:
        		# 代码执行到这,这里定义了session的接口,很巧妙,只要session_interface 类
        		# 执行open_session方法就可以
           # 跳转到Flask类中
           """
           ===================step3.1==================
           self.app 是Flask类的实例
           在app.py模块中Flask类中有下面的代码
           session_interface = SecureCookieSessionInterface()
           session_interface 就是SecureCookieSessionInterface类的一个实例
           """
            session_interface = self.app.session_interface
           """
           ===================step3.2==================
           调用SecureCookieSessionInterface类的open_session方法,将app对象和request对象作为参数传递
           """
            self.session = session_interface.open_session(self.app, self.request)

            if self.session is None:
                self.session = session_interface.make_null_session(self.app)
		...

3.1 重点分析SecureCookieSessionInterface类

class SecureCookieSessionInterface(SessionInterface):
    """通过签名cookie方式存储session,依赖itsdangerous模块"""
    #: 用于加密session的“盐值”
    salt = "cookie-session"
    #: 签名算法,默认使用sha1
    digest_method = staticmethod(hashlib.sha1)
    #: the name of the itsdangerous supported key derivation.  The default is hmac.
    key_derivation = "hmac"
    #: A python serializer for the payload.  The default is a compact
    #: JSON derived serializer with support for some extra Python types
    #: such as datetime objects or tuples.
    serializer = session_json_serializer
    session_class = SecureCookieSession

    def get_signing_serializer(
        self, app: "Flask"
    ) -> t.Optional[URLSafeTimedSerializer]:
        if not app.secret_key:
            return None
        signer_kwargs = dict(
            key_derivation=self.key_derivation, digest_method=self.digest_method
        )
        return URLSafeTimedSerializer(
            app.secret_key,
            salt=self.salt,
            serializer=self.serializer,
            signer_kwargs=signer_kwargs,
        )

    def open_session(
        self, app: "Flask", request: "Request"
    ) -> t.Optional[SecureCookieSession]:
"""
===============================step4=============================
open_session最后返回的是session_class,也就是说在请求被推进上下文的时候,创建了一个session_class
对象
session_class = SecureCookieSession

"""
        s = self.get_signing_serializer(app)
        if s is None:
            return None
        val = request.cookies.get(self.get_cookie_name(app))
        if not val:
            return self.session_class()
        max_age = int(app.permanent_session_lifetime.total_seconds())
        try:
            data = s.loads(val, max_age=max_age)
            return self.session_class(data)
        except BadSignature:
            return self.session_class()
"""
===============================step5=============================
看SecureCookieSession是个什么
class SecureCookieSession(CallbackDict, SessionMixin):
class CallbackDict(UpdateDictMixin, dict):
class UpdateDictMixin(dict):
没错SecureCookieSession就是继承了字典,所以session具有类似字典的功能
"""
    def save_session(
        self, app: "Flask", session: SessionMixin, response: "Response"
    ) -> None:
        name = self.get_cookie_name(app)
        domain = self.get_cookie_domain(app)
        path = self.get_cookie_path(app)
        secure = self.get_cookie_secure(app)
        samesite = self.get_cookie_samesite(app)

        # If the session is modified to be empty, remove the cookie.
        # If the session is empty, return without setting the cookie.
        if not session:
            if session.modified:
                response.delete_cookie(
                    name, domain=domain, path=path, secure=secure, samesite=samesite
                )

            return

        # Add a "Vary: Cookie" header if the session was accessed at all.
        if session.accessed:
            response.vary.add("Cookie")

        if not self.should_set_cookie(app, session):
            return

        httponly = self.get_cookie_httponly(app)
        expires = self.get_expiration_time(app, session)
        """
        这句是关键,将session转换成字段后进行序列化
        """
        val = self.get_signing_serializer(app).dumps(dict(session))  # type: ignore
        """
        最后通过cookie发送到客户端
        """
        response.set_cookie(
            name,
            val,  # type: ignore
            expires=expires,
            httponly=httponly,
            domain=domain,
            path=path,
            secure=secure,
            samesite=samesite,
        )

3.2 请求进来后,开始准备响应

        ctx = self.request_context(environ)
        error: t.Optional[BaseException] = None
        try:
            try:
                ctx.push()
                # 主要看这句
                response = self.full_dispatch_request()

"""
===============================step6=============================
response = self.full_dispatch_request()

"""
def full_dispatch_request(self) -> Response:
    return self.finalize_request(rv)

def finalize_request(
        self,
        rv: t.Union[ResponseReturnValue, HTTPException],
        from_error_handler: bool = False,
    ) -> Response:
        response = self.make_response(rv)
        try:
            response = self.process_response(response)

def process_response(self, response: Response) -> Response:
    if not self.session_interface.is_null_session(ctx.session):
        self.session_interface.save_session(self, ctx.session, response)

"""
===============================step7=============================
又回到了save_session
"""

4 小结

简单总结一下,session和request一样,都是请求上下文对象的一个属性。
当请求进来后,session开辟一个继承自字典的对象,用于保存信息,处理请求过程中,更新session对象的内容,最后通过cookie的方式发送到浏览器,说通俗一点,flask是通过加密cookie来保存session信息的。
只要满足SessionInterface接口的类就可以用于flask的session处理,虽然我不能完全理解所有细节,但是源码写的是真的妙

kobe_OKOK_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Flask request,g,session实现原理
Skycrab
09-25 4万+
最近一直在研究Flask,由于gfirefly中提供的Http接口使用了Flask,以前都是写一些游戏中简单的操作,最近涉及到Flask的方面比较多,所以就认真研究了下。对Flask的request context和app context略有心得,所以和小伙伴们分享一下Flask的request原理。 在我们视图中要使用request时只需要from flask import request就可以
SessionFlask中的四种session关系图 | session实现机制原理图 | session测试
FG成长空间
10-15 687
1- session原理图: session实现机制原理示意: session跨域请求原理示意: 2- Flask中的4种session 相互的关系图 3-Flask中做session测试 flask内置session请求上下文 – 操作实现session会话机制 使用扩展包flask_session – 设定存储位置到redis ...
flask基础之session原理详解(十)
weixin_30747253的博客
12-07 665
前言 flask_sessionflask框架实现session功能的一个插件,用来替代flask自带的session实现机制,flask默认的session信息保存在cookie中,不够安全和灵活。 flasksession机制 session是用来干什么的呢?由于http协议是一个无状态的协议,也就是说同一个用户第一次请求和第二次请求是完全没有关系的,但是现在的网站基本上有登录使用的功能,...
PythonFlask实现session(自定义组件)
天道酬勤
05-24 326
"""" 请求刚进来session是空的,创建一个空字典,添加到local中 if self.session is None: session_interface = self.app.session_interface self.session = session_interface.open_session(self.app, self.re...
Flasksession的用法
u010271717的专栏
12-24 2万+
不靠谱的教程真是害死人,一个session墨迹了半天 from flask import Flask, session, redirect, url_for, escape, request app = Flask(__name__) @app.route('/') def index(): if 'username' in session: return
spring-session简介及实现原理源码分析
08-28
Spring-Session 实现原理源码分析 Spring-Session 是 Spring旗下的一个项目,旨在解决 Session 管理问题。它可以轻松快捷地集成到我们的应用程序中,并提供了多种存储 Session 的方式。下面是 Spring-Session 的...
tomcat-redis-session-manager
06-06
`tomcat-redis-session-manager`就是这样一款解决方案,它将Tomcat的session管理与Redis相结合,实现了跨服务器的session共享。 首先,让我们理解`tomcat-redis-session-manager`的核心概念。这是一个开源项目,它...
商业编程-源码-Session购物车示例源码.zip
06-21
本示例源码主要探讨了如何利用Session技术来实现一个简单的购物车功能。Session是Web应用程序中用于跟踪用户状态的一种机制,它能够在用户的不同请求之间保存数据,使得在用户浏览网页时能够保留他们的选择,比如...
tomcat-redis-session-manager实现session共享 配置文件
11-22
"tomcat-redis-session-manager"是一个解决方案,它将用户的Session信息存储在Redis缓存服务器中,从而实现跨服务器的Session共享。本篇文章将深入探讨这个话题,包括它的原理、配置以及实际应用。 **一、Session...
spring-session+spring依赖jar包
11-06
spring-session+spring依赖jar包,包含spring4.0.2.RELEASE相关jar包和commons-pool2-2.4.2.jar,jedis-2.7.3.jar,spring-data-redis-1.6.2.RELEASE.jar,spring-session-1.1.1.RELEASE.jar
flask学习笔记--flask内置session处理机制
热门推荐
xuewen小渣渣的博客
06-23 2万+
一·、什么是session? 在解析 session 的实现之前,我们先介绍一下 session 怎么使用。session 可以看做是在不同的请求之间保存数据的方法,因为 HTTP 是无状态的协议,但是在业务应用上我们希望知道不同请求是否是同一个人发起的。比如张三,王二都在自己的手机上用淘宝购物,将想购买的商品放入购物车中,当王二,张三结账时,不能将他俩的购物车混淆了,服务器区分和保存购物车数据...
Flask操作Session
洪源的博客
03-31 1万+
目录 配置SECRET_KEY session操作 session读取 session删除 清除session中数据 session的过期时间 配置SECRET_KEY flasksession是通过加密之后放到了cookie中,只要用到了flasksession模块就一定要配置“SECRET_KEY”这个全局宏。 app = Flask(__name__) app.con...
flask 请求处理流程及其源代码分析、session、cookie生成源码
Shallow的博客
01-19 1003
浏览器首次访问网站的注册页面时,request.cookies 里没有 session ,val 的值就是 None 。这时候执行第 345 行返回 self.session_class 的调用,session_class 属性就是当前模块中定义的 SecureCookieSession 类,最后请求上下文对象的 session 属性值就是此类的实例。 这个实例是类字典对象,现阶段我们正在处理请求,它里面没有键值对,是空的。下一步就是调用视图函数了: 如上图所示,这里涉及到表单类的实例化。 在创建表单类时.
Flask|设置Cookie和Session
算法与编程之美
03-27 397
欢迎点击「算法与编程之美」↑关注我们!本文首发于微信公众号:"算法与编程之美",欢迎关注,及时了解更多此系列文章。简介Cookie是一个...
Flask中的session ,自定义实现 session机制, 和 flask-session组件
weixin_30604651的博客
03-12 168
session 是基于cookie实现, 保存在服务端的键值对(形式为 {随机字符串:‘xxxxxx’}), 同时在浏览器中的cookie中也对应一相同的随机字符串,用来再次请求的 时候验证; 注意 :Flask中的session是存在浏览器中 默认key是session(加密的cookie), 也可以像Django一样基于上述的方式实现保存在数据库 1 flasksession...
flask源码阅读笔记(2)-session相关
一只皮皮熊
07-17 303
一、session的使用与常识 1.参考flask官方demo实现如下一段代码 # encoding: utf-8 """ @version: 1.0 @author: pierrexiong @file: my_session @time: 2018/7/17 上午12:00 """ from f
flask 自定义session机制
JackLiu16的博客
09-09 2026
# flask原生session机制,cookie中返回session加密的value class SecureCookieSessionInterface(SessionInterface): """The default session interface that stores sessions in signed cookies through the :mod:`i...
Python之itsdangerous库
NeverSayNever
06-08 1441
学习链接:http://itsdangerous.readthedocs.io/en/latest/1、最基本的签名接口和验签:2、
flasksession
最新发布
weixin_56468833的博客
08-02 377
flasksession没有在服务端存储数据后期扩展可以将session存入redis。
cookie与session实现原理
04-09
好的,关于cookie和session实现原理,它们都是用来实现Web应用程序中跨页面或跨请求的状态保持的方式。其中,Cookie是通过在客户端存储数据来实现状态保持的,而Session是在服务器端存储数据来实现状态保持的。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

kobe_OKOK_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值