Django4 中文教程
Django4 中文教程
  1. Django4.0 开始
    1. Django4.0 开始-初识Django
    2. Django4.0 开始-快速安装指南
    3. Django4.0 开始-编写你的第一个Django应用,第1部分
    4. Django4.0 开始-编写你的第一个Django应用,第2部分
    5. Django4.0 开始-编写你的第一个Django应用,第3部分
    6. Django4.0 开始-编写你的第一个Django应用,第4部分
    7. Django4.0 开始-编写你的第一个Django应用,第5部分
    8. Django4.0 开始-编写你的第一个Django应用,第6部分
    9. Django4.0 开始-编写你的第一个Django应用,第7部分
    10. Django4.0 开始-编写可重用程序
  2. Django4.0 模型和数据库
    1. 模型
      1. Django4.0 模型-快速上手
      2. Django4.0 模型-使用模型
      3. Django4.0 模型-字段
      4. Django4.0 模型-Meta选项
      5. Django4.0 模型-属性
      6. Django4.0 模型-方法
      7. Django4.0 模型-继承
      8. Django4.0 模型-在一个包中管理模型
    2. 执行查询
      1. Django4.0 执行查询-创建对象
      2. Django4.0 执行查询-将修改保存至对象
      3. Django4.0 执行查询-检索对象
      4. Django4.0 执行查询-查询JSONField
      5. Django4.0 执行查询-通过Q对象完成复杂查询
      6. Django4.0 执行查询-比较对象
      7. Django4.0 执行查询-删除对象
      8. Django4.0 执行查询-复制模型实例
      9. Django4.0 执行查询-一次修改多个对象
      10. Django4.0 执行查询-关联对象
      11. Django4.0 执行查询-回归原生SQL
    3. 聚合
      1. Django4.0 聚合-速查表
      2. Django4.0 聚合-在QuerySet上生成聚合
      3. Django4.0 聚合-在QuerySet中的每一个条目生成聚合
      4. Django4.0 聚合-连接(Joins)和聚合
      5. Django4.0 聚合-聚合和其他QuerySet子句
    4. 搜索
      1. Django4.0 搜索-标准文本查询
      2. Django4.0 搜索-一个更高级的数据库比较函数
      3. Django4.0 搜索-文档搜索
    5. 管理器
      1. Django4.0 管理器-管理器名称
      2. Django4.0 管理器-添加额外的管理器方法
      3. Django4.0 管理器-修改管理器的初始QuerySet
      4. Django4.0 管理器-默认管理器
      5. Django4.0 管理器-基础管理器
      6. Django4.0 管理器-管理器调用自定义QuerySet方法
      7. Django4.0 管理器-创建带有QuerySet方法的管理器
      8. Django4.0 管理器-自定义管理器和模型继承
      9. Django4.0 管理器-执行关系
    6. 执行原生SQL查询
      1. Django4.0 执行原生SQL查询-执行原生查询
      2. Django4.0 执行原生SQL查询-直接执行自定义SQL
    7. 数据库事务
      1. Django4.0 数据库事务-管理数据库事务
      2. Django4.0 数据库事务-自动提交
      3. Django4.0 数据库事务-提交后
      4. Django4.0 数据库事务-底层API
      5. Django4.0 数据库事务-特定于数据的注释
    8. 多数据库
      1. Django4.0 多数据库-定义数据库
      2. Django4.0 多数据库-同步数据库
      3. 自动数据库路由
      4. Django4.0 多数据库-手动选择数据库
      5. Django4.0 多数据库-在Django管理界面中使用多数据库
      6. Django4.0 多数据库-将原始游标用于多个数据库
      7. Django4.0 多数据库-多数据库的局限性
    9. Django4.0 模型和数据库-表空间(Tablespaces)
    10. 数据库访问优化
      1. Django4.0 数据库访问优化-使用标准数据库优化技巧
      2. Django4.0 数据库访问优化-理解QuerySet
      3. Django4.0 数据库访问优化-在数据库中执行数据库操作,而不是在Python代码中
      4. Django4.0 数据库访问优化-使用唯一索引列来检索单个对象
      5. Django4.0 数据库访问优化-如果你明确需要它,那么立即检索所有内容。
      6. Django4.0 数据库访问优化-不要检索你不需要的东西
      7. Django4.0 数据库访问优化-使用批量方法
    11. Django4.0 模型和数据库-数据库工具
    12. 模型关联
      1. Django4.0 模型关联-多对多关联
      2. Django4.0 模型关联-多对一关联
      3. Django4.0 模型关联-一对一关联
  3. Django4.0 处理HTTP请求
    1. URL调度器
      1. Django4.0 URL调度器-概况
      2. Django4.0 URL调度器-Django如何处理一个请求
      3. Django4.0 URL调度器-路径转换器
      4. Django4.0 URL调度器-注册自定义的路径转换器
      5. Django4.0 URL调度器-使用正则表达式
      6. Django4.0 URL调度器-URLconf在什么上查找
      7. Django4.0 URL调度器-指定视图参数的默认值
      8. Django4.0 URL调度器-错误处理
      9. Django4.0 URL调度器-包含其他的URLconfs
      10. Django4.0 URL调度器-传递额外选项给视图函数
      11. Django4.0 URL调度器-URL的反向解析
      12. Django4.0 URL调度器-命名URL模式
      13. Django4.0 URL调度器-URL命名空间
    2. 编写视图
      1. Django4.0 编写视图-一个简单的视图
      2. Django4.0 编写视图-返回错误信息
      3. Django4.0 编写视图-自定义报错视图
      4. Django4.0 编写视图-异步视图
    3. Django4.0 处理HTTP请求-视图装饰器
    4. 文件上传
      1. Django4.0 文件上传-简单文件上传
      2. Django4.0 文件上传-上传 Handlers
    5. Django4.0 处理HTTP请求-Django便捷函数
    6. 中间件
      1. Django4.0 中间件-编写自己的中间件
      2. Django4.0 中间件-激活中间件
      3. Django4.0 中间件-中间件的顺序与分层
      4. Django4.0 中间件-其他中间件钩子
      5. Django4.0 中间件-处理流式响应
      6. Django4.0 中间件-异常处理
      7. Django4.0 中间件-异步支持
      8. Django4.0 中间件-升级Django1.10之前的中间件
    7. 使用会话
      1. Django4.0 使用会话-打开会话
      2. Django4.0 使用会话-配置会话(session)引擎
      3. Django4.0 使用会话-在视图中使用会话
      4. Django4.0 使用会话-测试cookies设置
      5. Django4.0 使用会话-在视图外使用会话
      6. Django4.0 使用会话-当保存会话时
      7. Django4.0 使用会话-Browser-length sessions和persistent sessions
      8. Django4.0 使用会话-清除会话存储
      9. Django4.0 使用会话-配置
      10. Django4.0 使用会话-会话安全
      11. Django4.0 使用会话-技术细节
      12. Django4.0 使用会话-扩展数据库支持的会话引擎
      13. Django4.0 使用会话-URL中的会话ID
  4. Django4.0 使用表单
    1. Django4.0 使用表单-HTML表单
    2. Django4.0 使用表单-Django在表单中的角色
    3. Django4.0 使用表单-Django中的表单
    4. Django4.0 使用表单-构建一张表单
    5. Django4.0 使用表单-详解Django Form类
    6. Django4.0 使用表单-使用表单模板
  5. Django4.0 模板
    1. Django4.0 模板-Django模板语言
    2. Django4.0 模板-模板引擎的支持
  6. Django4.0 基于类的视图
    1. Django4.0 基于类的视图-基础示例
    2. Django4.0 基于类的视图-使用
    3. Django4.0 基于类的视图-内置的基于类的通用视图
    4. Django4.0 基于类的视图-使用基于类的视图处理表单
    5. Django4.0 基于类的视图-在基于类的视图中使用混入
  7. Django4.0 迁移
    1. Django4.0 迁移-命令
    2. Django4.0 迁移-后端支持
    3. Django4.0 迁移-工作流程
    4. Django4.0 迁移-事务
    5. Django4.0 迁移-依赖
    6. Django4.0 迁移-迁移文件
    7. Django4.0 迁移-向应用添加迁移
    8. Django4.0 迁移-撤销迁移
    9. Django4.0 迁移-历史模型
    10. Django4.0 迁移-删除模型字段时的注意事项
    11. Django4.0 迁移-数据迁移
    12. Django4.0 迁移-压缩迁移
    13. Django4.0 迁移-序列化值
  8. Django4.0 管理文件
    1. Django4.0 管理文件-在模型中使用文件
    2. Django4.0 管理文件-File对象
    3. Django4.0 管理文件-文件存储
  9. Django4.0 测试
    1. Django4.0 测试-编写并运行测试
    2. 测试工具
      1. Django4.0 测试工具-测试客户端
      2. Django4.0 测试工具-提供的测试用例类
      3. Django4.0 测试工具-测试用例特性
      4. Django4.0 测试工具-测试异步代码
      5. Django4.0 测试工具-邮件服务
      6. Django4.0 测试工具-管理命令
      7. Django4.0 测试工具-忽略测试
    3. 进阶测试主题
      1. Django4.0 进阶测试主题-请求工厂
      2. Django4.0 进阶测试主题-测试基于类的视图
      3. Django4.0 进阶测试主题-测试与多主机名
      4. Django4.0 进阶测试主题-测试与多数据库
      5. Django4.0 进阶测试主题-TransactionTestCase 高级特性
      6. Django4.0 进阶测试主题-强制按顺序运行测试类
      7. Django4.0 进阶测试主题-使用 Django 测试运行器测试可重用的应用程序
      8. Django4.0 进阶测试主题-使用不同的测试框架
      9. Django4.0 进阶测试主题-集成 coverage.py
  10. Django4.0 缓存框架
    1. Django4.0 缓存框架-设置缓存
    2. Django4.0 缓存框架-站点缓存
    3. Django4.0 缓存框架-视图缓存
    4. Django4.0 缓存框架-模板片段缓存
    5. Django4.0 缓存框架-底层缓存API
    6. Django4.0 缓存框架-异步支持
    7. Django4.0 缓存框架-下游缓存
    8. Django4.0 缓存框架-使用Vary标头
    9. Django4.0 缓存框架-使用其他标头控制高速缓存
    10. Django4.0 缓存框架-MIDDLEWARE顺序
阅读(1.2k) 书签 (0) 我要纠错

Django4.0 使用会话-在视图中使用会话

2022-03-16 18:00 更新

当激活 ​SessionMiddleware ​后,每个 ​HttpRequest ​对象(任何 Django 视图函数的第一个参数) 将得到一个 ​session ​属性,该属性是一个类字典对象。

你可以在视图中任意位置读取它并写入 ​request.session​ 。你可以多次编辑它。

class backends.base.SessionBase

这是所有会话对象的基础类。它有以下标准字典方法:

  • __getitem__(key)​:fav_color = request.session['fav_color']
  • __setitem__(key, value)​:request.session['fav_color'] = 'blue'
  • __delitem__(key)​:del request.session['fav_color'] 。如果给定的 key 不在会话里,会引发 KeyError 。
  • __contains__(key)​:'fav_color' in request.session
  • get(key, default=None)​:fav_color = request.session.get('fav_color', 'red')
  • pop(key, default=__not_given)​:fav_color = request.session.pop('fav_color', 'blue')
  • keys()
  • items()
  • setdefault()
  • clear()

它也有以下方法:

  • flush()​:删除当前会话和会话cookie。如果你想确保早先的会话数据不能被用户的浏览器再次访问时,可以使用这个方法(比如,django.contrib.auth.logout() 函数调用它)。
  • set_test_cookie()​:设置一个测试cookie来确定用户的浏览器是否支持cookie。由于测试通过,你不需要在下一个页面请求时再次测试它。
  • test_cookie_worked()​:返回 True 或 False ,这取决于用户浏览器是否接受测试cookie。由于 cookie 的工作方式,你将必须在上一个独立的页面请求里调用 set_test_cookie() 。
  • delete_test_cookie()​:删除测试cookie。使用完测试cookie后用它来删除。
  • get_session_cookie_age()​:返回 session cookies的失效时间,以秒为单位。默认 SESSION_COOKIE_AGE 。
  • set_expiry(value)​:为会话设置过期时间。你可以传递很多不同值:如果 value 是整型,会话将在闲置数秒后过期。比如,调用 ​request.session.set_expiry(300)​ 会使得会话在5分钟后过期。如果 value 是一个 datetime 或 timedelta 对象,会话将在指定的 date/time 过期。注意,如果你正在使用 ​PickleSerializer ​,那么 datetime 和 timedelta 的值只能序列化。如果值为 0,则用户的会话 cookie 将在用户的 Web 浏览器关闭时过期。如果 value 是 None ,会话会恢复为全局会话过期策略。出于过期目的,读取会话不被视为活动。会话过期时间会在会话最后一次*修改*后开始计算。
  • get_expiry_age()​:返回该会话过期的秒数。对于没有自定义过期时间的会话(或者那些设置为浏览器关闭时过期的),这等同于 ​SESSION_COOKIE_AGE ​。这个函数接受两个可选的关键参数:​modification ​:会话的最后一次修改,当做一个 datetime 对象。默认是当前时间。​expiry ​:会话的过期信息,如一个 datetime 对象,整数(秒)或 None。默认为通过 set_expiry() 存储在会话中的值,或 None 。
  • get_expiry_date()​:返回该会话的到期日期。对于没有自定义过期的会话(或那些设置为在浏览器关闭时过期的会话),这将等于从现在开始的​SESSION_COOKIE_AGE​秒的日期。这个函数接受与 get_expiry_age() 相同的参数。
  • get_expire_at_browser_close()​:返回 True 或 False,具体取决于用户的 Web 浏览器关闭时用户的会话 cookie 是否会过期。
  • clear_expired()​:从会话存储中移除过期会话。这个类方法通过 ​clearsessions ​调用。
  • cycle_key()​:在保留当前会话的同时创建新的会话秘钥。​django.contrib.auth.login()​ 调用这个方法来防止会话固定攻击。

会话序列化

默认情况下,Django 序列会话数据使用 JSON 。你可以设置 ​SESSION_SERIALIZER ​来自定义会话序列化格式。即使在编写你自己的序列化程序中描述了警告,我们仍然强烈建议您坚持JSON序列化,尤其是在您使用cookie后端的情况下。
比如,如果你使用 pickle 来序列化会话数据,那么这里一个攻击场景。如果你正在使用 ​signed cookie session backend​ 并且攻击者已经知道了 ​SECRET_KEY ​(Django 并不存在会导致其泄露的固有漏洞),攻击者可以在会话里插入一个字符串,当 ​unpickled ​时,在服务器上执行任意代码。这样做的技术很简单,在互联网上也很容易获得。尽管cookie会话存储会对cookie数据进行签名防止篡改,但是泄露 ​SECRET_KEY ​会立即升级为远程代码执行的漏洞。

绑定序列化

class serializers.JSONSerializer

来自 ​django.core.signing​ 的JSON序列化器的装饰器。可以只序列化基本数据类型。
另外,因为JSON只支持字符串键,注意在 ​request.session​ 使用非字符串键会无法工作:

>>> # initial assignment
>>> request.session[0] = 'bar'
>>> # subsequent requests following serialization & deserialization
>>> # of session data
>>> request.session[0]  # KeyError
>>> request.session['0']
'bar'

同样,数据也不能在JSON中编码,例如像 ​\xd9​ 这种非UTF8字节(会引发 ​UnicodeDecodeError ​)不会被存储。

class serializers.PickleSerializer

支持任何Python对象,但是,如上所述,如果 ​SECRET_KEY ​泄露,这会导致攻击者执行远程代码的漏洞。

编写自定义的序列化器

注意这与 ​PickleSerializer ​不同,​JSONSerializer ​不会处理任何Python数据类型。通常情况下,便利性和安全性之间要做出权衡取舍。如果你想在 JSON 支持的会话里存储任何高级数据类型(比如 ​datetime ​和 ​Decimal ​),你需要编写自己的序列化器(或者在存储这类值到 ​request.session​ 之前把它们转化JSON序列化类型)。虽然序列化这些值通常很简单( ​DjangoJSONEncoder ​或许有帮助),但编写一个解码器来可靠地取回你放进去的东西就更不容易了。 例如,你要返回一个字符串格式的 ​datetime ​,但这恰好与为 ​datetime​选择的格式相同,这样会有风险。
你的序列化类必须实现两个方法( ​dumps(self, obj) ​和​ loads(self, data)​ ) 来分别进行序列化和反序列化会话数据字典。

会话对象指南

  • 在 ​request.session​ 上使用普通的 Python 字符串作为字典键。这更多的是一种惯例而不是硬性规定。
  • 以下划线开头的会话字典键保留给 Django 作内部使用。
  • 不要使用新对象覆盖 ​request.session​ ,不要访问或设置它的属性。像使用 Python 字典一样使用它。

示例

这个简单的视图将一个 ​has_commented ​变量在用户评论后设置为 ​True ​。它不允许用户发表评论多于一次:

def post_comment(request, new_comment):
    if request.session.get('has_commented', False):
        return HttpResponse("You've already commented.")
    c = comments.Comment(comment=new_comment)
    c.save()
    request.session['has_commented'] = True
    return HttpResponse('Thanks for your comment!')

这是一个记录站点成员的简单的视图。

def login(request):
    m = Member.objects.get(username=request.POST['username'])
    if m.check_password(request.POST['password']):
        request.session['member_id'] = m.id
        return HttpResponse("You're logged in.")
    else:
        return HttpResponse("Your username and password didn't match.")

这是记录成员退出的视图:

def logout(request):
    try:
        del request.session['member_id']
    except KeyError:
        pass
    return HttpResponse("You're logged out.")

标准的 ​django.contrib.auth.logout()​ 函数实际上比这里要多一些来防止数据意外泄露。它调用 ​request.session​ 的 ​flush()​ 方法。我们使用这个例子作为示范如何使用会话对象,而不是完整的 ​logout()​ 实现。


以上内容是否对您有帮助:
Django4.0 使用会话-配置会话(session)引擎
Django4.0 使用会话-测试cookies设置

推荐文章

推荐教程

推荐课程

在线笔记
App下载
App下载

扫描二维码

下载编程狮App

公众号
微信公众号

编程狮公众号