flask中的session介绍

已于 2023-07-27 07:44:21 修改
阅读量1.3k 收藏
点赞数
分类专栏: flask python 文章标签: flask python 后端
于 2023-07-27 07:30:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41777118/article/details/131951531
版权
python 同时被 2 个专栏收录
72 篇文章 1 订阅
订阅专栏
flask
21 篇文章 1 订阅
订阅专栏

在这里插入图片描述

flask中的session介绍

在Flask中,session是一个用于存储特定用户会话数据的字典对象。它在不同请求之间保存数据。它通过在客户端设置一个签名的cookie,将所有的会话数据存储在客户端。以下是如何在Flask应用中使用session的基本步骤:

首先,你需要设置一个秘钥,这是为了加密你的session数据:

from flask import Flask, session

app = Flask(__name__)

# Set the secret key to some random bytes. Keep this really secret!
app.secret_key = b'_5#y2L"F4Q8z\n\xec]/'

然后,你可以像操作字典一样操作session对象。以下是一个登录的例子:

from flask import Flask, session, redirect, url_for, escape, request

app = Flask(__name__)
app.secret_key = b'_5#y2L"F4Q8z\n\xec]/'


#from flask import escape
# 假设 session['username'] 是 "<script>alert('hacked!');</script>"
#safe_username = escape(session['username'])
# safe_username 现在是 "&lt;script&gt;alert('hacked!');&lt;/script&gt;"
# escape(session['username'])是在做HTML转义

@app.route('/')
def index():
    if 'username' in session:
        return 'Logged in as %s' % escape(session['username'])
    return 'You are not logged in'

@app.route('/login', methods=['GET', 'POST'])
def login():
    error = None
    if request.method == 'POST':
        username = request.form['username']
        password = request.form['password']
        if valid_login(username, password):
            session['username'] = request.form['username']
            return redirect(url_for('index'))
        else:
            error = 'Invalid username or password'
    return render_template('login.html', error=error)


@app.route('/logout')
def logout():
    # remove the username from the session if it's there
    session.pop('username', None)
    return redirect(url_for('index'))

Flask的session实现涉及到几个关键的组件:session对象、session_interface对象以及secure_cookie模块。以下是这些组件是如何工作以实现Flask的session的:

  1. Session对象:在Flask中,session被表示为一个名为session的字典对象。它是LocalProxy的实例,LocalProxy是一种可以动态引用当前运行环境(比如请求或应用上下文)的特定对象的代理类。当你尝试访问session对象的属性或方法时,LocalProxy会将这些操作转发到实际的会话对象,这个实际的会话对象由session_interface创建。
  2. SessionInterface对象SessionInterface是一个抽象基类,定义了用于处理session的接口。Flask自带的SecureCookieSessionInterface实现了这个接口,使用安全的签名cookie来存储session数据。当一个请求开始时,SecureCookieSessionInterface会从请求的cookies中提取出session数据,并创建一个新的SecureCookieSession对象。当请求结束时,如果SecureCookieSession对象被修改,SecureCookieSessionInterface会把它序列化并签名,然后存回到客户端的cookies中。【文末附源码解释】
  3. SecureCookie模块:这个模块实现了SecureCookieSession类,SecureCookieSession是一个用于存储实际session数据的字典子类,它的工作方式和普通的字典一样。

整体来看,Flask的session实现工作流程是这样的:

  • 当一个请求开始时,Flask会创建一个新的请求上下文,并通过SecureCookieSessionInterface从请求的cookies中提取出session数据,然后创建一个新的SecureCookieSession对象。
  • 当你在你的视图函数中操作session对象(比如设置session['username'] = 'John')时,实际上你是在操作这个SecureCookieSession对象。
  • 当请求结束时,Flask会检查SecureCookieSession对象是否被修改。如果被修改,Flask会通过SecureCookieSessionInterfaceSecureCookieSecureCookieSession对象序列化并签名,然后把它存回到响应的cookies中。
  • 当下一个请求来到时,这个过程会再次重复。

通常流程总结

  1. 当一个新用户(没有任何session数据的用户)首次访问你的Flask应用时,他们的请求中不会包含任何session数据。在这种情况下,Flask会为这个用户创建一个新的、空的session对象。这个新的session对象在初始状态下是空的,也就是说,它不包含任何数据。
  2. 如果在处理这个请求的过程中,你的代码修改了session对象(例如,通过设置session['username'] = 'John'),那么当请求结束时,Flask会把这个session对象序列化并签名,然后存入一个新的Cookie中。这个新的Cookie会被发送到客户端,一起与响应一起传送。
  3. 当这个用户下次访问你的Flask应用时,他们的请求将会携带这个包含了session数据的Cookie。Flask会在接收到这个请求时,从Cookie中提取出session数据,并创建一个新的session对象。这样,你的代码就可以继续访问和修改这个session对象了。

需要注意的是,如果一个请求没有修改session对象,那么Flask就不会在响应中设置新的Cookie。这是因为,没有必要把一个没有变化的session数据再次发送到客户端。

因此,即使一个新用户的首次请求中没有包含任何session数据,Flask也能正确地处理

SecureCookieSessionInterface

class SecureCookieSessionInterface(SessionInterface):
    """The default session interface that stores sessions in signed cookies
    through the :mod:`itsdangerous` module.
    """

    #: the salt that should be applied on top of the secret key for the
    #: signing of cookie based sessions.
    salt = "cookie-session"
    #: the hash function to use for the signature.  The default is sha1
    digest_method = staticmethod(hashlib.sha1)
    #: the name of the itsdangerous supported key derivation.  The default
    #: is hmac.
    key_derivation = "hmac"
    #: A python serializer for the payload.  The default is a compact
    #: JSON derived serializer with support for some extra Python types
    #: such as datetime objects or tuples.
    serializer = session_json_serializer
    session_class = SecureCookieSession

    def get_signing_serializer(self, app: Flask) -> URLSafeTimedSerializer | None:
        if not app.secret_key:
            return None
        signer_kwargs = dict(
            key_derivation=self.key_derivation, digest_method=self.digest_method
        )
        return URLSafeTimedSerializer(
            app.secret_key,
            salt=self.salt,
            serializer=self.serializer,
            signer_kwargs=signer_kwargs,
        )

    def open_session(self, app: Flask, request: Request) -> SecureCookieSession | None:
        s = self.get_signing_serializer(app)
        if s is None:
            return None
        val = request.cookies.get(self.get_cookie_name(app))
        if not val:
            return self.session_class()
        # 获取session的最大有效期,单位为秒。
        max_age = int(app.permanent_session_lifetime.total_seconds())
        try:
            # 尝试使用序列化器s的loads方法,对session cookie的值val进行反序列化和签名验证。如果反序列化和验证成功,就用这些数据创建一个新的session对象,并返回
            data = s.loads(val, max_age=max_age)
            return self.session_class(data)
        except BadSignature:
            return self.session_class()

    def save_session(
        self, app: Flask, session: SessionMixin, response: Response
    ) -> None:
        name = self.get_cookie_name(app)
        domain = self.get_cookie_domain(app)
        path = self.get_cookie_path(app)
        secure = self.get_cookie_secure(app)
        samesite = self.get_cookie_samesite(app)
        httponly = self.get_cookie_httponly(app)

        # Add a "Vary: Cookie" header if the session was accessed at all.
        if session.accessed:
            response.vary.add("Cookie")

        # If the session is modified to be empty, remove the cookie.
        # If the session is empty, return without setting the cookie.
        if not session:
            if session.modified:
                response.delete_cookie(
                    name,
                    domain=domain,
                    path=path,
                    secure=secure,
                    samesite=samesite,
                    httponly=httponly,
                )
                response.vary.add("Cookie")

            return

        if not self.should_set_cookie(app, session):
            return

        expires = self.get_expiration_time(app, session)
        val = self.get_signing_serializer(app).dumps(dict(session))  # type: ignore
        response.set_cookie(
            name,
            val,  # type: ignore
            expires=expires,
            httponly=httponly,
            domain=domain,
            path=path,
            secure=secure,
            samesite=samesite,
        )
        response.vary.add("Cookie")
  1. SecureCookieSessionInterface类:这个类实现了session接口,使用安全的签名cookies来存储session数据。
  2. 类属性:
    • salt:加盐值,用于混淆session的加密过程,增加安全性。
    • digest_method:哈希函数,用于签名过程中对数据进行哈希处理,默认为sha1。
    • key_derivation:关键字派生,设置为"hmac",表示使用HMAC进行签名。
    • serializer:序列化器,用于将Python对象转换为可以在网络上传输的格式,这里使用的是JSON序列化器。
    • session_class:表示session的类,默认为SecureCookieSession。
  3. get_signing_serializer方法:用于获取一个签名序列化器,其作用是用来签名和反签名cookies的。如果应用没有设置秘钥app.secret_key,则返回None。
  4. open_session方法:在处理每个请求时调用,从请求的cookies中提取出session数据,反序列化并验证签名,得到session的数据。如果签名不合法,就会抛出BadSignature异常,然后返回一个空的session。
  5. save_session方法:在每个请求处理完后调用,将session数据序列化,签名,然后存入到响应的cookies中。如果session为空且已被修改,则删除cookie。只有当session被访问过或被修改,才会设置Vary: Cookie头。

在使用SecureCookieSessionInterface处理session时,Flask会保证session的安全性,即使session数据存储在客户端的cookies中,也无法被篡改,因为每个session cookie都被签名了。除非知道服务器的秘钥,否则无法伪造有效的session cookie。

菜鸟小超
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
对laravel的session获取与存取方法详解
01-20
session获取数据… $value = session('key'); 指定默认值… $value = session('key', 'default'); 存储数据到sessionsession(['key' => 'value']); 以上这篇对laravel的session获取与存取方法详解就是小编...
深入理解 Flask Session 和 Cookies
最新发布
weixin_68789096的博客
12-13 790
Flask 应用,正确地使用会话和 Cookies 对于维护一个安全且高效的用户状态管理机制至关重要。通过本文的介绍,读者应能够理解并有效地在自己的 Flask 应用实现会话和 Cookies 的管理。
flask自带session实现登录、校验登录、退出登录小案例
weixin_42289273的博客
04-10 2441
1. 概念: 除了请求对象之外还有一种称为session的对象,允许你在不同请求 之间储存信息。这个对象相当于用密钥签名加密的 cookie ,即用户可以查看你的 cookie ,但是如果没有密钥就无法修改它。 使用会话之前你必须设置一个密钥。 2. 代码: from flask import Flask, jsonify, request, session from os import urandom app = Flask(__name__) # app.config["SECRET_K..
Flask session详细用法
zhangyukun555的博客
03-06 1万+
Flask session概念解释 session是基于cookie实现的,保存在服务端的键值对,形式为{随机字符串:‘xxxxxx’},同时在浏览器的cookie也会保存相同的随机字符串,用来再次请求时验证 注意:Flasksession是保存在浏览器的,默认的key是session(加密的cookie),当然也可以将其保存在数据库 flask有一个session对象,它允许你...
FlaskCookie与Session用法详解
IT之一小佬的博客
08-09 1168
FlaskCookie与Session用法详解
Flask--session
qq_25672165的博客
03-09 2244
文章目录3. flasksession工作机制4. 操作session5. Code 3. flasksession工作机制 flasksession机制是:把敏感数据经过加密后放入session,然后再把session存放到cookie,下次请求的时候,再从浏览器发送过来的cookie读取session,然后再从session读取敏感数据,并进行解密,获取最终的用户数据。 flask的这种session机制,可以节省服务器的开销,因为把所有的信息都存储到了客户端(浏览器)。 安全是相
flask session_Flask干货:Flask数据交换——Session的使用
weixin_39673051的博客
11-30 599
上一次我们学习了Cookie,知道Cookie是保存在客户端的。那么有的小伙伴就问了,难道只有客户端能保存?服务器就不可以保存吗?!当然可以!Session就是另一种记录用户状态的机制。FlaskSession是基于Cookie实现的,经过加密保存在服务端的键值对(sesson[‘name’]=’value’)。当然,在服务器的Cookie也对应一个相同的随机字符串,用来再次请求时验证。一、...
flask教程6:cookie和session
总裁余(余登武)博客
03-29 922
flask教程6:cookie和session
Express框架之connect-flash详解
12-23
var flash = require('connect-flash'); app.use(flash());//Express使用这个插件 第二步:我们看看其内部是如何实现的 var format = require('util').format; var isArray = require('util').isArray; 依赖的...
koa-flash-message:用于Koa的Flash消息间件
02-03
安装$ npm install koa-flash-messagekoa-flash-message间件取决于koa-generic-session。 您必须先添加koa-generic-session作为间件,然后再添加koa-flash-message例import Koa from 'koa';import session from ...
解决uploadify使用时session发生丢失问题的方法
01-02
今天在使用uploadify时发现session会发生丢失的情况,经过一番研究发现,其丢失并不是真正的丢失,而是在使用Flash上传控件的时候使用的session机制和asp.net的不相同。为解决这个问题使用两种方案,下面进行介绍 ...
【python】Flasksession使用
sysu_lluozh
02-28 7184
一、session机制 1.1 session的作用 由于http协议是一个无状态的协议,但网站基本上有登录使用的功能,这要求有状态管理,而session机制实现的就是这个功能 session基于cookie实现, 保存在服务端的键值对(形式:{随机字符串:'xxxxxx'}), 同时在浏览器的cookie也对应一相同的随机字符串,用来再次请求的时候验证 1.2 实现的原理 用户第一次请求后,将产生的状态信息保存在session,可以把session当做一个容器,保存了正在使用的所有用户的状态信息,这
(十二)Flask重点之session
孤寒者的博客
11-20 1万+
(十二)Flask重点之session
关于Flask高级_session的操作
qq_55961861的博客
08-28 454
关于Flask高级_session的操作!
Flask框架(flask设置和获取session)
Mogul的博客
12-24 1万+
1. session 数据是保存到后端的数据库 2.session的从狭义和广义上分: (1)session,广义上 : 是一种机制:在前端当存一个session_id ,在后端当去保存 这份session的属性值,然后访问的时候只要能够带上这份session_id 的值,就可以知道之前保存的数据是什么。 整个的......
Flask-session用法
qq_53142368的博客
06-07 1645
首先还是先从概念入手,最近学习越学越来越觉得自己菜 Flask-session: 概念: session咱们都知道是基于cookjie实现的,保存在服务器的键值对,同时在浏览器的cookie也会保存相同的随机字符串,用来再次请求时拿出来,进行验证。 注意:Flasksession是保存在浏览器的,默认的key是session(加密的cookie),当然也可以将其保存在数据库 flask有一个session对象,它允许你在不同请求间存储特定用户的信息。它是在cookie的基础上实现的,并且对c
[Flask] Cookie与Session
Hudas的博客
06-30 1958
本文主要讲解Flask会话的Cookie和Session相关知识点
Flask框架】——19 Session
学Python的小白!
12-17 788
Session与Cookie的区别在于Session是记录在服务端的,而Cookie是记录在客户端的。
flask学习笔记--flask内置session处理机制
热门推荐
xuewen小渣渣的博客
06-23 2万+
一·、什么是session? 在解析 session 的实现之前,我们先介绍一下 session 怎么使用。session 可以看做是在不同的请求之间保存数据的方法,因为 HTTP 是无状态的协议,但是在业务应用上我们希望知道不同请求是否是同一个人发起的。比如张三,王二都在自己的手机上用淘宝购物,将想购买的商品放入购物车,当王二,张三结账时,不能将他俩的购物车混淆了,服务器区分和保存购物车数据...
laravel6 设置session
05-31
在 Laravel6 设置 Session,可以使用 `session()` 辅助函数或 `Session` Facade。 例如,你可以使用以下代码在 Session 存储一个键值对: ``` session(['key' => 'value']); ``` 或者,你可以使用以下代码在 Session 存储多个键值对: ``` Session::put([ 'key1' => 'value1', 'key2' => 'value2', ]); ``` 注意,如果你使用 Session Facade,你需要在文件头部添加以下代码: ``` use Illuminate\Support\Facades\Session; ``` 如果你需要在 Session 存储一个闪存数据,可以使用以下代码: ``` Session::flash('key', 'value'); ``` 这个数据将只在下一次请求可用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值