flask学习笔记--flask内置session处理机制

最新推荐文章于 2024-04-12 04:30:22 发布
最新推荐文章于 2024-04-12 04:30:22 发布
阅读量2.5w 收藏 61
点赞数 25
分类专栏: flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37519490/article/details/80774069
版权

一·、什么是session?

在解析 session 的实现之前,我们先介绍一下 session 怎么使用。session 可以看做是在不同的请求之间保存数据的方法,因为 HTTP 是无状态的协议,但是在业务应用上我们希望知道不同请求是否是同一个人发起的。比如张三,王二都在自己的手机上用淘宝购物,将想购买的商品放入购物车中,当王二,张三结账时,不能将他俩的购物车混淆了,服务器区分和保存购物车数据的方法就是session。

flask的session是基于cookie的会话保持。简单的原理即:

当客户端进行第一次请求时,客户端的HTTP request(cookie为空)到服务端,服务端创建session,视图函数根据form表单填写session,请求结束时,session内容填写入response的cookie中并返回给客户端,客户端的cookie中便保存了用户的数据。

当同一客户端再次请求时, 客户端的HTTP request中cookie已经携带数据,视图函数根据cookie中值做相应操作(如已经携带用户名和密码就可以直接登陆)。

在 flask 中使用 session 也很简单,只要使用 from flask import session 导入这个变量,在代码中就能直接通过读写它和 session 交互。

from flask import Flask, session, escape, request

app = Flask(__name__)
app.secret_key = 'please-generate-a-random-secret_key'


@app.route("/")
def index():
    if 'username' in session:
        return 'hello, {}\n'.format(escape(session['username']))
    return 'hello, stranger\n'


@app.route("/login", methods=['POST'])
def login():
    session['username'] = request.form['username']
    return 'login success'


if __name__ == '__main__':
    app.run(host='0.0.0.0', port=5000, debug=True)

上面这段代码模拟了一个非常简单的登陆逻辑,用户访问 POST /login 来登陆,后面访问页面的时候 GET /,会返回该用户的名字。

flask中session使用非常简单,但是实现原理却没那么简单,下面我们通过几个问题来弄清楚session是如何实现的。

二、请求第一次来时,session是什么时候生成的?存放在哪里?

 

flask学习笔记--请求上下文和应用上下文中已经知道session是一个LocalProxy()对象:

current_app = LocalProxy(_find_app)
request = LocalProxy(partial(_lookup_req_object, 'request'))
session = LocalProxy(partial(_lookup_req_object, 'session'))
g = LocalProxy(partial(_lookup_app_object, 'g'))

客户端的请求进来时,会调用app.wsgi_app():

    def wsgi_app(self, environ, start_response):
        ctx = self.request_context(environ)
        error = None
        try:
            try:
                ctx.push()
                # 寻找视图函数,并执行
                # 获取返回值 response
                response = self.full_dispatch_request()

此时,会生成一个ctx,其本质是一个RequestContext对象:

class RequestContext(object):
    def __init__(self, app, environ, request=None):
        self.app = app
        if request is None:
            request = app.request_class(environ)
        self.request = request
        self.url_adapter = app.create_url_adapter(self.request)
        self.flashes = None
        self.session = None

在RequestContext 对象中定义了session,且初值为None。

接着继续看wsgi_app函数中,ctx.push()函数:

    def push(self):
        app_ctx = _app_ctx_stack.top
        if app_ctx is None or app_ctx.app != self.app:
            app_ctx = self.app.app_context()
            app_ctx.push()
            self._implicit_app_ctx_stack.append(app_ctx)
        else:
            self._implicit_app_ctx_stack.append(None)

        if hasattr(sys, 'exc_clear'):
            sys.exc_clear()

        _request_ctx_stack.push(self)

        if self.session is None:
            session_interface = self.app.session_interface
            self.session = session_interface.open_session(
                self.app, self.request
            )

            if self.session is None:
                self.session = session_interface.make_null_session(self.app)

前半部分代码已经在之前的文章中讲到,主要看后半部分代码。判断session是否为空,我在RequestContext 中看到session初值为空.

在 Flask 中,所有和 session 有关的调用,都是转发到 self.session_interface 的方法调用上(这样用户就能用自定义的 session_interface 来控制 session 的使用)。而默认的 session_inerface 有默认值:

session_interface = SecureCookieSessionInterface()

执行SecureCookieSessionInterface.open_session()来生成默认session对象:

    def open_session(self, app, request):
        获取session签名的算法
        s = self.get_signing_serializer(app)
	如果为空 直接返回None
        if s is None:
            return None
        val = request.cookies.get(app.session_cookie_name)
	# 如果val为空,即request.cookies为空
        if not val:
            return self.session_class()
        max_age = total_seconds(app.permanent_session_lifetime)
        try:
            data = s.loads(val, max_age=max_age)
            return self.session_class(data)
        except BadSignature:
            return self.session_class()

请求第一次来时,request.cookies为空,即返回self.session_class():

session_class = SecureCookieSession

看SecureCookieSession:

class SecureCookieSession(CallbackDict, SessionMixin):
    modified = False
    accessed = False

    def __init__(self, initial=None):
        def on_update(self):
            self.modified = True
            self.accessed = True

        super(SecureCookieSession, self).__init__(initial, on_update)

    def __getitem__(self, key):
        self.accessed = True
        return super(SecureCookieSession, self).__getitem__(key)

    def get(self, key, default=None):
        self.accessed = True
        return super(SecureCookieSession, self).get(key, default)

    def setdefault(self, key, default=None):
        self.accessed = True
        return super(SecureCookieSession, self).setdefault(key, default)

看其继承关系,其实就是一个特殊的字典。到此我们知道了session就是一个特殊的字典,调用SecureCookieSessionInterface类的open_session()创建,并保存在ctx中,即RequestContext对象中。但最终由session = LocalProxy(..., 'session')对象代为管理,到此,在视图函数中就可以导入session并使用了。

三、当请求第二次来时,session生成的是什么?

当请求第二次到来时,与第一次的不同就在open_session()那个val判断处,此时cookies不为空, 获取cookie的有效时长,如果cookie依然有效,通过与写入时同样的签名算法将cookie中的值解密出来并写入字典并返回中,若cookie已经失效,则仍然返回'空字典'。

四、特殊的SecureCookieSession字典有那些功能?如何实现的?

默认的 session 对象是 SecureCookieSession,这个类就是一个基本的字典,外加一些特殊的属性,比如 permanent(flask 插件会用到这个变量)、modified(表明实例是否被更新过,如果更新过就要重新计算并设置 cookie,因为计算过程比较贵,所以如果对象没有被修改,就直接跳过)。

怎么知道实例的数据被更新过呢? SecureCookieSession 是基于 werkzeug/datastructures:CallbackDict 实现的,这个类可以指定一个函数作为 on_update 参数,每次有字典操作的时候(__setitem____delitem__clearpopitemupdatepopsetdefault)会调用这个函数。

SecureCookieSession:

class SecureCookieSession(CallbackDict, SessionMixin):

    modified = False
    accessed = False

    def __init__(self, initial=None):
        def on_update(self):  
            self.modified = True
            self.accessed = True
        #将on_update()传递给CallbackDict
        super(SecureCookieSession, self).__init__(initial, on_update)

    def __getitem__(self, key):
        self.accessed = True
        return super(SecureCookieSession, self).__getitem__(key)

    def get(self, key, default=None):
        self.accessed = True
        return super(SecureCookieSession, self).get(key, default)

    def setdefault(self, key, default=None):
        self.accessed = True
        return super(SecureCookieSession, self).setdefault(key, default)

继承的 CallbackDict:

class CallbackDict(UpdateDictMixin, dict):

    def __init__(self, initial=None, on_update=None):
        dict.__init__(self, initial or ())
        self.on_update = on_update

    def __repr__(self):
        return '<%s %s>' % (
            self.__class__.__name__,
            dict.__repr__(self)
        )

CallbackDict又继承UpdateDictMixin:

class UpdateDictMixin(object):
    on_update = None

    def calls_update(name):
        def oncall(self, *args, **kw):
            rv = getattr(super(UpdateDictMixin, self), name)(*args, **kw)
            if self.on_update is not None:
                self.on_update(self)
            return rv
        oncall.__name__ = name
        return oncall

    def setdefault(self, key, default=None):
        modified = key not in self
        rv = super(UpdateDictMixin, self).setdefault(key, default)
        if modified and self.on_update is not None:
            self.on_update(self)
        return rv

    def pop(self, key, default=_missing):
        modified = key in self
        if default is _missing:
            rv = super(UpdateDictMixin, self).pop(key)
        else:
            rv = super(UpdateDictMixin, self).pop(key, default)
        if modified and self.on_update is not None:
            self.on_update(self)
        return rv

    __setitem__ = calls_update('__setitem__')
    __delitem__ = calls_update('__delitem__')
    clear = calls_update('clear')
    popitem = calls_update('popitem')
    update = calls_update('update')
    del calls_update

由UpdateDictMixin()可知,对session进行改动会调用pop, __setitem__等方法,同时就会调用on_update()方法,从而修改

modify,security的值。

五、签名算法:

都获取 cookie 数据的过程中,最核心的几句话是:

s = self.get_signing_serializer(app)
val = request.cookies.get(app.session_cookie_name)
data = s.loads(val, max_age=max_age)

return self.session_class(data)

其中两句都和 s 有关,signing_serializer 保证了 cookie 和 session 的转换过程中的安全问题。如果 flask 发现请求的 cookie 被篡改了,它会直接放弃使用。

我们继续看 get_signing_serializer 方法:

def get_signing_serializer(self, app):
    if not app.secret_key:
        return None
    signer_kwargs = dict(
        key_derivation=self.key_derivation,
        digest_method=self.digest_method
    )
    return URLSafeTimedSerializer(app.secret_key,
        salt=self.salt,
        serializer=self.serializer,
        signer_kwargs=signer_kwargs)

我们看到这里需要用到很多参数:

  • secret_key:密钥。这个是必须的,如果没有配置 secret_key 就直接使用 session 会报错

  • salt:为了增强安全性而设置一个 salt 字符串(可以自行搜索“安全加盐”了解对应的原理)

  • serializer:序列算法

  • signer_kwargs:其他参数,包括摘要/hash算法(默认是 sha1)和 签名算法(默认是 hmac

URLSafeTimedSerializer 是 itsdangerous 库的类,主要用来进行数据验证,增加网络中数据的安全性。itsdangerours提供了多种 Serializer,可以方便地进行类似 json 处理的数据序列化和反序列的操作。至于具体的实现,因为篇幅限制,就不解释了。

六、session什么时候写入cookie中?session的生命周期?

前面的几个问题实际上都发生在wsgi_app()前两句函数中,主要就是ctx.push()函数中,下面看看wsgi_app()后面干了嘛:

    def wsgi_app(self, environ, start_response):
  
        ctx = self.request_context(environ)
        error = None
        try:
            try:
		# ctx.push函数是前半部分最重要的一个函数
		# 生成request和session并将二者保存到RequestContext()对象ctxz中
		# 最后将ctx,push到LocalStack()对象_request_ctx_stack中
                ctx.push()
                # 寻找视图函数,并执行
                response = self.full_dispatch_request()
            except Exception as e:
                error = e
                response = self.handle_exception(e)
            except:
                error = sys.exc_info()[1]
                raise
            return response(environ, start_response)
        finally:
            if self.should_ignore_error(error):
                error = None
            # 最后, 将自己请求在local中的数据清除
            ctx.auto_pop(error)

看full_dispatch_request:

    def full_dispatch_request(self):
        #执行before_first_request
        self.try_trigger_before_first_request_functions()
        try:
            # 触发request_started 信号
            request_started.send(self)
            # 调用before_request
            rv = self.preprocess_request()
            if rv is None:
                #执行视图函数
                rv = self.dispatch_request()
        except Exception as e:
            rv = self.handle_user_exception(e)
        return self.finalize_request(rv)

前半部分就在执行flask钩子,before_first_request, before_request以及信号,接着执行视图函数生成rv,我们主要看finalize_request(rv):

   def finalize_request(self, rv, from_error_handler=False):
        response = self.make_response(rv)
        try:
            response = self.process_response(response)
            request_finished.send(self, response=response)
        except Exception:
            if not from_error_handler:
                raise
            self.logger.exception('Request finalizing failed with an '
                                  'error while handling an error')
        return response

首先根据rv生成response。再执行process_response:

   def process_response(self, response):
        ctx = _request_ctx_stack.top
        bp = ctx.request.blueprint
        funcs = ctx._after_request_functions
        if bp is not None and bp in self.after_request_funcs:
            funcs = chain(funcs, reversed(self.after_request_funcs[bp]))
        if None in self.after_request_funcs:
            funcs = chain(funcs, reversed(self.after_request_funcs[None]))
        for handler in funcs:
            response = handler(response)
        if not self.session_interface.is_null_session(ctx.session):
            self.session_interface.save_session(self, ctx.session, response)
        return response

前半部分主要执行flask的钩子,看后面,判断,session是否为空,如果不为空,则执行save_session():

    def save_session(self, app, session, response):
        domain = self.get_cookie_domain(app)
        path = self.get_cookie_path(app)

        # If the session is modified to be empty, remove the cookie.
        # If the session is empty, return without setting the cookie.
        if not session:
            if session.modified:
                response.delete_cookie(
                    app.session_cookie_name,
                    domain=domain,
                    path=path
                )

            return

        # Add a "Vary: Cookie" header if the session was accessed at all.
        if session.accessed:
            response.vary.add('Cookie')

        if not self.should_set_cookie(app, session):
            return

        httponly = self.get_cookie_httponly(app)
        secure = self.get_cookie_secure(app)
        samesite = self.get_cookie_samesite(app)
        expires = self.get_expiration_time(app, session)
        val = self.get_signing_serializer(app).dumps(dict(session))
        response.set_cookie(
            app.session_cookie_name,
            val,
            expires=expires,
            httponly=httponly,
            domain=domain,
            path=path,
            secure=secure,
            samesite=samesite
        )

save_session()比较简单,且有注释,便不再讲解,主要就是将session写入response.set_cookie中。这样便完成session的写入response工作,并由response返回至客户端。

再请求结束时会执行wsgi_app()的finally:ctx.auto_pop(error)函数,将与对应请求相关的request,session清除,session生命周期便结束。

总结:

至此,flask内置session的机制便讲解完毕,session的实现是依赖与flask的上下文管理,因此先弄清楚flask上下文,再来看session就比较容易理解。其主要的就是SecureCookieSessionInterface对象的open_session()与save_session() 。open_session在请求刚进来时执行,完成session对象的创建(就是一特殊字典),在视图函数中完成对session的赋值操作,save_session()在视图函数执行完后,生成response后执行,将session写入response的cookie中。

当然,flask内置session无法满足生产需求。因为将session数据全部保存在cookie中不安全且cookie存储数据量有限,但flask-session组件帮我们实现了将数据保存在服务器''数据库''中而只将sessionID保存在cookie中,下一节便会讲解flask-session组建的原理。

 

参考:http://python.jobbole.com/87450/

 

xuewen1696
关注
  • 25
    点赞
  • 61
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Flask session详细用法
zhangyukun555的博客
03-06 1万+
Flask session概念解释 session是基于cookie实现的,保存在服务端的键值对,形式为{随机字符串:‘xxxxxx’},同时在浏览器中的cookie中也会保存相同的随机字符串,用来再次请求时验证 注意:Flask中的session是保存在浏览器中的,默认的key是session(加密的cookie),当然也可以将其保存在数据库中 flask中有一个session对象,它允许你...
Flask中Cookie与Session用法详解
IT之一小佬的博客
08-09 1214
Flask中Cookie与Session用法详解
Session详解,学习Session,这篇文章就够了(包含底层分析和使用)
最新发布
2401_84002271的博客
04-12 1251
这份面试题几乎包含了他在一年内遇到的所有面试题以及答案,甚至包括面试中的细节对话以及语录,可谓是细节到极致,甚至简历优化和怎么投简历更容易得到面试机会也包括在内!也包括教你怎么去获得一些大厂,比如阿里,腾讯的内推名额!某位名人说过成功是靠99%的汗水和1%的机遇得到的,而你想获得那1%的机遇你首先就得付出99%的汗水!你只有朝着你的目标一步一步坚持不懈的走下去你才能有机会获得成功!成功只会留给那些有准备的人!一个人可以走的很快,但一群人才能走的更远。
【python】Flasksession使用
sysu_lluozh
02-28 7256
一、session 1.1 session的作用 由于http协议是一个无状态的协议,但网站基本上有登录使用的功能,这要求有状态管理,而session实现的就是这个功能 session基于cookie实现, 保存在服务端的键值对(形式:{随机字符串:'xxxxxx'}), 同时在浏览器中的cookie中也对应一相同的随机字符串,用来再次请求的时候验证 1.2 实现的原理 用户第一次请求后,将产生的状态信息保存在session中,可以把session当做一个容器,保存了正在使用的所有用户的状态信息,这
Flask--session
qq_25672165的博客
03-09 2248
文章目录3. flask中的session工作机4. 操作session5. Code 3. flask中的session工作机 flask中的session是:把敏感数据经过加密后放入session中,然后再把session存放到cookie中,下次请求的时候,再从浏览器发送过来的cookie中读取session,然后再从session中读取敏感数据,并进行解密,获取最终的用户数据。 flask的这种session,可以节省服务器的开销,因为把所有的信息都存储到了客户端(浏览器)。 安全是相
flask中的session介绍
weixin_41777118的博客
07-27 1394
Flask中,session是一个用于存储特定用户会话数据的**字典对象**。它在不同请求之间保存数据。它通过**在客户端**设置一个签名的cookie,**将所有的会话数据存储在客户端**。
flask-session-cookie-manager:Flask会话Cookie解码器
02-05
# pacman -S flask-session-cookie-manager{3,2} 吉特 ArchLinux 两者python3 etn python2: $ git clone https://github.com/noraj/flask-session-cookie-manager.git && cd flask-session-cookie-manager # ...
flask-session-cookie-manager-master.zip
09-05
本项目“flask-session-cookie-manager-master.zip”显然是一款针对Flask Web框架的session管理工具,它专注于session的加密与解密。Flask是一个轻量级的Python Web服务器网关接口(WSGI)应用框架,广泛用于快速...
Flaskflask-session的具体使用
09-20
`flask-session`扩展提供了解决方案,它支持将session数据存储在多种不同的后端,如Redis、Memcached、文件系统或MongoDB,甚至SQLAlchemy数据库。 首先,要使用`flask-session`,你需要通过pip安装它: ```bash ...
flask-mysqldb:Flask Web框架MySQL扩展
02-05
Flask-MySQLdb Flask-MySQLdb为Flask提供MySQL连接。 快速开始 首先,安装Flask-MySQLdb: $ pip install flask-mysqldb Flask-MySQLdb依赖于并将为您安装Flask的最新版本(0.12.4或更高版本)和 。 Flask-MySQLdb...
flask-session-cookie-manager
01-29
综合以上信息,`flask-session-cookie-manager`是一个针对Flask的Python库,它提供了方便的API或命令来处理session cookie,可以帮助开发者轻松地在他们的应用中管理用户会话。使用这个工具,开发者可以更专注于业务...
flask session_Flask干货:Flask数据交换——Session的使用
weixin_39673051的博客
11-30 600
上一次我们学习了Cookie,知道Cookie是保存在客户端的。那么有的小伙伴就问了,难道只有客户端能保存?服务器就不可以保存吗?!当然可以!Session就是另一种记录用户状态的机FlaskSession是基于Cookie实现的,经过加密保存在服务端的键值对(sesson[‘name’]=’value’)中。当然,在服务器的Cookie中也对应一个相同的随机字符串,用来再次请求时验证。一、...
flask教程6:cookie和session
总裁余(余登武)博客
03-29 929
flask教程6:cookie和session
(十二)Flask重点之session
孤寒者的博客
11-20 1万+
(十二)Flask重点之session
关于Flask高级_session的操作
qq_55961861的博客
08-28 456
关于Flask高级_session的操作!
Flask框架(flask中设置和获取session)
热门推荐
Mogul的博客
12-24 1万+
1. session 数据是保存到后端的数据库中 2.session中的从狭义和广义上分: (1)session,广义上 : 是一种机:在前端当中存一个session_id ,在后端当中去保存 这份session的属性值,然后访问的时候只要能够带上这份session_id 的值,就可以知道之前保存的数据是什么。 整个的......
Flask-session用法
qq_53142368的博客
06-07 1651
首先还是先从概念入手,最近学习越学越来越觉得自己菜 Flask-session: 概念: session咱们都知道是基于cookjie实现的,保存在服务器的键值对,同时在浏览器的cookie中也会保存相同的随机字符串,用来再次请求时拿出来,进行验证。 注意:Flask中的session是保存在浏览器中的,默认的key是session(加密的cookie),当然也可以将其保存在数据库中 flask中有一个session对象,它允许你在不同请求间存储特定用户的信息。它是在cookie的基础上实现的,并且对c
【前端】使用Flask框架探讨HttpOnly
代码就是生产力!
05-30 2966
前言在学习Web安全中发现一些感觉比较常见又重要的知识,这里就做下笔记。这一片是讲解关于HttpOnly的知识。
flask session
qq_62046696的博客
01-03 625
这里因为源码是app.config['SECRET_KEY'] = str(random.random()*100)所以这里也是100,让皇后python2 和python3运行出来得随机种子是不一样得,所以得看服务端用得哪个版本,建议从pyhotn3到python2如果不对,都试试。然后直接访问/app/hard_t0_guess_n9f5a95b5ku9fg/hard_t0_guess_also_df45v48ytj9_main.py出源码,整理得。除了admin用户不能直接登陆,其他用户都可以。
说一说Flask框架默认session处理机
03-24
Flask框架默认的session处理机是使用客户端cookie来存储session数据。当用户第一次访问网站时,Flask会生成一个session ID,并将其存储在cookie中发送给客户端。客户端在后续的请求中会将该cookie发送给服务器,服务器通过该session ID来获取对应的session数据。Flask还提供了多种session存储方式,如文件、数据库、Redis等,可以根据实际需求进行配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值