Django SessionMiddleware

最新推荐文章于 2025-07-05 05:31:31 发布
原创 最新推荐文章于 2025-07-05 05:31:31 发布 · 1.0k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了Django的Session功能,包括Session的存储引擎,默认的db存储、缓存存储和文件系统存储的配置。重点讲解了SessionMiddleware的工作原理,如何在请求和响应阶段处理Session,以及SessionBase类的角色。内容涵盖了SessionCookieName、SessionBase的load方法以及SessionMiddleware在处理请求和响应时的操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Django 对Session完全支持。Django 可以将session 数据存储在服务端,并对cookie 的存取过程完成抽象。注意:cookie中只包含session ID,而不是session数据本身(除非你使用cookie 作为session的后端)。

如果你要使用session功能,则你需要在setting.py文件中配置 中间件

1. 关于Session存储引擎

默认情况下,session 数据存储在db 中,对应的model 为:django.contrib.sessions.models.Session。

1.1 配置Session 存储到其他位置

(1)将Session存储在缓存中:

如果想获得更好的性能,我们可以将Session保存在缓存中。这里有两种配置方式:一种是设置SESSION_ENGINE 为”django.contrib.sessions.backends.cache” 。 这是一种简单配置,Session将之被保存在缓存中,但是不保证Session总是能取到(比如缓存溢出时Session会丢失);另一种方式是设置SESSION_ENGINE 为 “django.contrib.sessions.backends.cached_db”。这种方式下,Session在保存到缓存的同时还会被保存到数据库中,当Django在缓存中找不到Session时,会从数据库中找到。第二种方式会有一点点性能开销,但是安全性和冗余性更好。

(2) 将Session存储在文件系统中:

最后一种方式是将Session存储在文件系统中。需要设置SESSION_ENGINE 为”django.contrib.sessions.backends.file”,这时你还需要同时设置SESSION_FILE_PATH 变量,它代表Session文件保存的位置,缺省的设置一般是tempfile.gettempdir(),表示系统的临时目录。这里要确保应用程序对那个目录有读写的权限。

2. SessionMiddleware

SessionMiddleware是Django 默认处理Session 存储的中间件。

通过配置SESSION_COOKIE_NAME 这是cookie端存储的默认名字,如:

SESSION_COOKIE_NAME=MySessionID
curl   -H  "Cookie:MySessionID=XXXXXX"   url

在服务端收到请求后,会从Header 中Cookie中获取key=SESSION_COOKIE_NAME的键,获取其值,然后将这个值作为session ID。

在SessionMiddleware的初始化时,会获取当前配置session引擎,使用存储引擎来加载存储数据。

class SessionMiddleware(MiddlewareMixin):
    def __init__(self, get_response=None):
        self.get_response = get_response
        engine = import_module(settings.SESSION_ENGINE)
        self.SessionStore = engine.SessionStore

上述SessionStore是SessionBase 的子类。

2.1 关于SessionBase

SessionBase是所有Session类的基类。

在SesionBase 执行初始化时,会保存session_key,该key即为浏览器发送过来的session ID

   def __init__(self, session_key=None):
        self._session_key = session_key
        self.accessed = False
        self.modified = False
        self.serializer = import_string(settings.SESSION_SERIALIZER)

SessionBase的子类需要实现父类的方法load 方法,从底层存储引擎中根据session_key获取session的值。

    def load(self):
        """
        Load the session data and return a dictionary.
        """
        raise NotImplementedError('subclasses of SessionBase must provide a load() method')

一般load 的函数的实现原则是:使用SesionBase的_get_or_create_session_key方法判定请求是否携带了session ID,如果没有携带,则生成一个随机的字符串作为session ID。然后,根据该ID,去存储介质中查询,如查询PK=该ID的数据记录,或是去memcache中根据key 查询。

    def _get_or_create_session_key(self):
        if self._session_key is None:
            self._session_key = self._get_new_session_key()
        return self._session_key
   
    def _get_new_session_key(self):
        "Return session key that isn't being used."
        while True:
            session_key = get_random_string(32, VALID_KEY_CHARS)
            if not self.exists(session_key):
                return session_key

2.2 SessionMiddleware处理请求

SessionMiddleware处理请求的过程 就是使用配置的存储引擎(SessionStore)来创建session,并将session绑定到此request对象中。

    def process_request(self, request):
        session_key = request.COOKIES.get(settings.SESSION_COOKIE_NAME)
        request.session = self.SessionStore(session_key)

2.3 SessionMiddleware处理响应

在SessionMiddleware处理响应时,如果session是空的,则清除session。否则,在response中设置Cookie,并设置Cookie值属性,如失效时间等。

    def process_response(self, request, response):
        """
        If request.session was modified, or if the configuration is to save the
        session every time, save the changes and set a session cookie or delete
        the session cookie if the session has been emptied.
        """
        try:
            accessed = request.session.accessed
            modified = request.session.modified
            empty = request.session.is_empty()
        except AttributeError:
            pass
        else:
            # First check if we need to delete this cookie.
            # The session should be deleted only if the session is entirely empty
            if settings.SESSION_COOKIE_NAME in request.COOKIES and empty:
                response.delete_cookie(
                    settings.SESSION_COOKIE_NAME,
                    path=settings.SESSION_COOKIE_PATH,
                    domain=settings.SESSION_COOKIE_DOMAIN,
                )
            else:
                if accessed:
                    patch_vary_headers(response, ('Cookie',))
                if (modified or settings.SESSION_SAVE_EVERY_REQUEST) and not empty:
                    if request.session.get_expire_at_browser_close():
                        max_age = None
                        expires = None
                    else:
                        max_age = request.session.get_expiry_age()
                        expires_time = time.time() + max_age
                        expires = http_date(expires_time)
                    # Save the session data and refresh the client cookie.
                    # Skip session save for 500 responses, refs #3881.
                    if response.status_code != 500:
                        try:
                            request.session.save()
                        except UpdateError:
                            raise SuspiciousOperation(
                                "The request's session was deleted before the "
                                "request completed. The user may have logged "
                                "out in a concurrent request, for example."
                            )
                        response.set_cookie(
                            settings.SESSION_COOKIE_NAME,
                            request.session.session_key, max_age=max_age,
                            expires=expires, domain=settings.SESSION_COOKIE_DOMAIN,
                            path=settings.SESSION_COOKIE_PATH,
                            secure=settings.SESSION_COOKIE_SECURE or None,
                            httponly=settings.SESSION_COOKIE_HTTPONLY or None,
                            samesite=settings.SESSION_COOKIE_SAMESITE,
                        )
        return response
Django 4.x Message 消息使用示例和配置方法
Mr数据杨
11-05 3万+
可以在views.py中创建自定义消息级别,并在中进行配置,确保级别不冲突。from django . contrib . messages import constants as messages # 自定义消息级别 CRITICAL = 50 def my_view(request) : messages . add_message(request , CRITICAL , '发生严重错误。
Django 4.x CSRF 站点保护示例和使用配置方法
热门推荐
Mr数据杨
11-04 3万+
在现代Web开发中,安全性是不可忽视的重点之一。跨站请求伪造(CSRF)是一种常见的攻击手段,可能会给Web应用带来严重的安全风险。为了应对这种攻击,Django提供了一套完整的CSRF防护机制,帮助开发者在构建Web应用时,确保请求的合法性和安全性。
快速上手Django(五) -Django之中间件MIDDLEWARE(SessionMiddleware)
西京刀客
06-16 1767
中间件(Middleware)是一个镶嵌到django的request/response处理机制中的一个钩子(hooks) 框架。它是一个可以修改django全局输入或输出的一个底层插件系统。
django.session-middleware
chuiyan0987的博客
12-26 168
下面是django使用session的例子,参考djangoBook: deflogin(request): ifrequest.method!='POST': raiseHttp404('OnlyPOSTsareallowed') try...
Django实战:自定义中间件实现全链路操作日志记录
最新发布
weixin_36661894的博客
07-05 29
Django 中,中间件(Middleware)是一组轻量级、底层的插件系统,用于全局地改变 Django 的输入和输出。中间件可以在请求被处理之前和响应返回之前执行代码,从而实现各种功能,例如跨域资源共享(CORS)、用户认证、日志记录等。中间件钩子函数调用顺序:process_view() 只在 Django 调用视图前被调用。返回如果它返回None,Django 将继续处理这个请求,执行任何其他的,然后执行相应的视图。如果它返回对象,Django 不会去影响调用相应的视图;
django源码分析:中间件SessionMiddleware
Victor_Monkey的博客
12-19 786
本文环境python3.5.2,django1.10.x系列 本文主要介绍django是如果通过中间件SessionMiddleware来处理session,重点将放到SessionMiddleware中间键的源码讲解。 关于中间件的作用,在上一篇文章介绍CsrfViewMiddleware中间件时已经讲过,在这里就不再进行赘述。下面就直入主题,讲讲SessionMiddleware的源码。 ...
Django(六)Session、CSRF、中间件
人生就是一场修行
01-10 3853
大纲二、session 1、session与cookie对比 2、session基本原理及流程 3、session服务器操作(获取值、设置值、清空值) 4、session通用配置(在配置文件中) 5、session引擎配置(db、cache、file、cookie加密) 三、CSRF 1、csrf原理-form提交及ajax提交 2、csrf全局与局部应用配置 四、中间件生命周期
djangoSessionMiddleware,控制session的中间件
python基础
07-04 1329
SessionMiddleware -session不是原生request对象的属性,在中间件中放进去的通过(django.contrib.sessions.middleware.SessionMiddleware) 1.首先请求过来通过SESSION_COOKIE_NAME,找到cookie的id,就是session的key, 2.从SessionStore通过session_key取出sess...
Django会话与安全:SessionMiddleware的实战应用
要启用Django的Session功能,需要在MIDDLEWARE_CLASSES配置中添加SessionMiddleware,并确保INSTALLED_APPS包含了'django.contrib.sessions'。若不需要Session,可以移除相关设置。对于已经使用startproject创建的...
Django实现的自定义访问日志模块示例
09-21
'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware....
Django中间件之SessionMiddleware源码分析
dd345898084的博客
07-17 574
settings.py文件中 MIDDLEWARE = [ 'django.contrib.sessions.middleware.SessionMiddleware', ] # from django.contrib.sessions.middleware import SessionMiddleware # ctrl+鼠标左击进入SessionMiddleware class S...
django---SessionMiddleware源码解析(二)
全干工程师
03-07 1319
在上篇博客中 djangoSessionMiddleware源码解析(一) ,我们简单了解了下django框架中的中间件SessionMiddleware的执行流程,这篇博客,就来对了解下db模块如何对session进行数据库持久化,以及如何加载session操作的 我们知道在SessionMiddleware中process_response方法下,下面一行代码才是对session进行数据库...
django---SessionMiddleware源码解析(一)
全干工程师
03-06 3691
djangoSessionMiddleware源码解析(二)是分析django session的数据库持久化,以及缓存数据加载 此篇博客是分析django SessionMiddleware源码执行流程 SessionMiddlewaredjango框架的一个中间件,关于中间件的自定义创建、执行流程,这篇博客不去说明讲解,我们只是来了解下SessionMiddleware的源码 当我们创...
django session操作 middlewaremixin拦截器
weixin_43292547的博客
08-22 436
登录后,在template里{{request.session.user}}可以查看request.session.get(‘user’)
Django源码分析5:session会话中间件分析
qq_33339479的博客
01-31 1303
django源码分析本文环境python3.5.2,django1.10.x系列 1.这次分析django框架中的会话中间件。 2.会话保持是目前框架都支持的一个功能,因为http是无状态协议,无法直接报错请求过程中的数据,会话保持就是要实现会话数据保存的功能,实现数据在服务端的保存,目前会话的实现的主要途径就是通过cookie来进行会话的保持。 3.大致浏览功能后我们分析一下Django框架中
小白IT:Django框架—中间件Middleware
yidianyidei的博客
06-03 2777
文章目录一、Djang中的中间件1.为什么使用中间件2.中间件介绍Django请求响应的生命周期二、自定义中间件1.中间件可重写的方法2.中间件使用自定义中间件settings中配置自定义中间件process_request多个中间件中process_request方法的执行过程视图函数loginmiddlewares.py文件settings.py中配置自定义中间件process_response多个中间件中process_response方法的执行过程request中主动返回HttpResponse运行
django的session原理流程,自定义中间件,csrf跨站请求伪造
yikenaoguazi的博客
10-23 261
day75一.昨日回顾二.今日内容1.django的session原理流程2.自定义中间件3.process_request,process_response,process_view,process_exception4.CSRF_TOKEN跨站请求伪造跨站请求伪造代码演示 一.昨日回顾 1 django中cookie的使用 -增 obj.set_cookie(key,value,max_age) -删 obj.delete_cookie(key) -查 request.COOKIE.get(key
django 中间件 SessionMiddleware 200318
鲸鱼编程-python全栈
03-24 245
Day14 session原理和中间件
A1L__的博客
10-23 301
Day14 session原理和中间件 views视图函数 def index(request): return HttpResponse('视图函数好了!') def login(request): return HttpResponse('我是登录函数') 已在urls注册 一、什么是中间件 它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。每个中间件组件都负责做一些特定的功能。 简单来说:中间件是帮助我们在视图函数执行之前和执行之后都可以做一些额外的操
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值