flask session 的实现是在客户端
一、session和cookie
cookie 是在服务器响应的时候设置,将 Set-Cookie 这个字段存储在响应头部字段中,键和值为自己设定。那么下次服务器请求的时候,在请求头部多了一个字段 Cookie,值和 Set-Cookie 的键和值一样;
session:服务器产生随机字符串与用户对应,然后将随机字符串返回给浏览器,服务器通过这个随机字符串辨别用户。session 基于 cookie;原理就是将随机字符串与用户建立对应关系
sessionid是一个会话的key,浏览器第一次访问服务器会在服务器端生成一个session,有一个sessionid和它对应。浏览器和服务器传递的是 sessionid;
登陆成功的 HTTP 响应
HTTP/1.x 210 VERY OK
Content-Type: text/html
Set-Cookie: user=gua; id=3
请求成功后,服务器会返回一个cookie,浏览器看到后会把它存起来
以后每次向服务器发送请求,都会带上这个数据
<html>...</html>
再次刷新登陆页面的 HTTP 请求
GET /login HTTP/1.1
Host: localhost:3000
Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Cookie: user=gua; id=3
session虽然掩盖掉了明文信息(相对于 cookies),但是别人还是可以偷取你的随机字符串伪造你,这时候就需要更高级别的加密方式了:https(通过 ssl 对 http 加密),对所有的请求信息都会加密。
session
给定一个随机子字符串,生成5个随机数(数字在随机字符串长度范围内),生成随机字符串。
import random
def random_str():
seed = 'adnvcidhfvuidfneneui'
for i in range(1, 5):
random_index = random.randint(0, len(seed)-1)
s += seed[random_index]
return s
// 对应起来
session_id = random_str()
headers['Set-Cookie'] = 'session_id={}'.format(session_id)
session[session_id] = u.username
session = {}
// 通过cookie获得当前的用户
def current_user():
session_id = request.cookies.get('session_id', None)
username = session.get('session_id', '游客')
return username
请求中的cookie储存Cookie中,上面的获取是经过处理的:
对应关系:
这只是一个比较简单的设置 session 的方式,虽然储存于服务器中session 字典,但是如果服务器崩溃或者重启之后,所有的 cookie 都会消失;另一种方式是创建一个数据库,将 cookie 储存在数据库(内存)中,这就需要 ·session持久化 。
session持久化:
保存到数据库:新建一个Session数据模型,用来存储cookie和用户的对应关系;
class Session(Model):
def __init__(self, form):
super().__init__(form)
self.session_id = form.get('session_id', '')
self.username = form.get('username', '')
form = dict(
session_id=session_id,
user_id=u.id,
)
s = Session.new(form)
s.save()
headers['Set-Cookie'] = 'session_id={}'.format(
session_id
)
def current_user(request):
session_id = request.cookies.get('session_id')
if session_id is not None:
s = Session.find_by(session_id=session_id)
if s is not None:
if not s.expired():
user_id = s.user_id
u = User.find_by(id=user_id)
return u
else:
return User.guest()
逻辑:
这里不仅将session数据存储在数据库,还多加了一层逻辑关系。通过头中的键 session_id 拿到值 session_id(随机字符串),再通过这个随机字符串拿到 Session 的实例,再通过这个实例拿到 user_id,再通过这个 user_id 拿到用户实例;
对称加密:服务器将 cookie 加密后给客户端,客户端请求时再加密后给服务器;
小知识点:
- range(),有三个参数,起点,终点,步长;不包括终点;
- random.randient():两个参数,起点和终点,产生一个随机数;
- 字典的简单书写方式:
d = dict( a = 1, b = 2, c = 3 ) // 这样写,键不用写双引号
字典的取值方式:
for key in d: 得到的是键,等同于:for key in d.keys()
for key in d.values():得到的是值的列表
for key, value in d.items():得到的是键值对
for ele in d.items():得到的是键值的元祖
d.update(c):将字典c的元素添加进字典d
d.has_key(key):用来判断字典中是否存在某个键 无效了 - enumerate()函数
list = [a, b, c]
for num, ele in enumerate(list):
print num, ele
输出:
1, a
2, b
3, c
客户端和服务端实现 session
- session 持久化
- 保存到文件
- 对称加密
客户端实现 session 的方式就是将需要存在 cookie 里面的信息进行加密,服务器再进行解密;在服务器端实现 session 的方式是将 session 和用户的对应关系存在文件当中。
