一、Session的概念

• cookie是在浏览器端保存键值对数据，而session是在服务器端保存键值对数据
• session 的使用依赖 cookie：在使用Session后，会在Cookie中存储一个sessionid的数据，每次请求时浏览器都会将这个数据发给服务器，服务器在接收到sessionid后，会根据这个值找出这个请求者的Session。

二、Django中Session的存储

• session键值对数据保存
  a722a7c49947a7d7ee505afa7828fa4a.png
• session的键值对数据默认保存在django项目的一张数据库表中(表名为：django_session)，保存格式如下：
  3c2291ab7560f7c5881bf60a3adf797b.png
• 实际上是对数据有加密的，如下图：
  ba1b277d609a20d17215fca01093b6f6.png

三、Django中Session的配置

Django中默认支持Session，其内部提供了5种类型的Session供开发者使用：

- 数据库（默认）
- 缓存
- 文件
- 缓存+数据库
- 加密cookie

1）数据库Session

a. 配置 settings.py

    SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎（默认）

    SESSION_COOKIE_NAME ＝ "sessionid"                       # Session的cookie保存在浏览器上时的key，即：sessionid＝随机字符串（默认）
    SESSION_COOKIE_PATH ＝ "/"                               # Session的cookie保存的路径（默认）
    SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名（默认）
    SESSION_COOKIE_SECURE = False                            # 是否Https传输cookie（默认）
    SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http传输（默认）
    SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期（2周）（默认）
    SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否关闭浏览器使得Session过期（默认）
    SESSION_SAVE_EVERY_REQUEST = False                       # 是否每次请求都保存Session，默认修改之后才保存（默认）

2）缓存Session

a. 配置 settings.py

    SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
    SESSION_CACHE_ALIAS = 'default'                            # 使用的缓存别名（默认内存缓存，也可以是memcache），此处别名依赖缓存的设置

    SESSION_COOKIE_NAME ＝ "sessionid"                        # Session的cookie保存在浏览器上时的key，即：sessionid＝随机字符串
    SESSION_COOKIE_PATH ＝ "/"                                # Session的cookie保存的路径
    SESSION_COOKIE_DOMAIN = None                              # Session的cookie保存的域名
    SESSION_COOKIE_SECURE = False                             # 是否Https传输cookie
    SESSION_COOKIE_HTTPONLY = True                            # 是否Session的cookie只支持http传输
    SESSION_COOKIE_AGE = 1209600                              # Session的cookie失效日期（2周）
    SESSION_EXPIRE_AT_BROWSER_CLOSE = False                   # 是否关闭浏览器使得Session过期
    SESSION_SAVE_EVERY_REQUEST = False                        # 是否每次请求都保存Session，默认修改之后才保存

3）文件Session

a. 配置 settings.py

    SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎
    SESSION_FILE_PATH = None                                    # 缓存文件路径，如果为None，则使用tempfile
模块获取一个临时地址tempfile.gettempdir()                             # 如：/var/folders/d3/j9tj0gz93dg06bmwxmhh6_xm0000gn/T

    SESSION_COOKIE_NAME ＝ "sessionid"                          # Session的cookie保存在浏览器上时的key，即：sessionid＝随机字符串
    SESSION_COOKIE_PATH ＝ "/"                                  # Session的cookie保存的路径
    SESSION_COOKIE_DOMAIN = None                                # Session的cookie保存的域名
    SESSION_COOKIE_SECURE = False                               # 是否Https传输cookie
    SESSION_COOKIE_HTTPONLY = True                              # 是否Session的cookie只支持http传输
    SESSION_COOKIE_AGE = 1209600                                # Session的cookie失效日期（2周）
    SESSION_EXPIRE_AT_BROWSER_CLOSE = False                     # 是否关闭浏览器使得Session过期
    SESSION_SAVE_EVERY_REQUEST = False                          # 是否每次请求都保存Session，默认修改之后才保存

4）缓存+数据库Session

a. 配置 settings.py

SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'        # 引擎

5）加密cookie Session

a. 配置 settings.py

SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'   # 引擎

四、Session的基本操作：

• 以键值对的格式写session

request.session['键']=值

• 根据键读取值

request.session.get('键',默认值)
# 或者
request.session['键']

• 清除所有session，在存储中删除值的部分

request.session.clear()

• 清除session数据，在存储中删除session的整条数据

request.session.flush()

• 删除session中的指定键及值，在存储中只删除某个键及对应的值

del request.session['键']

• 设置session数据有效时间； 如果不设置，默认过期时间为两周

request.session.set_expiry(value)

1. 如果过期时间的value是一个整数，则 session数据 将在value秒没有活动后过期。
2. 如果过期时间的value为None，那么会话永不过期。
3. 如果过期时间的value为0，那么用户会话的Cookie将在用户的浏览器关闭时过期。

四、以下是使用例子：

# 发短信接口
def sms_send(request):
    # http://localhost:8000/duanxin/duanxin/sms_send/?phone=18434288349
    # 1 获取手机号
    phone = request.GET.get('phone')
    # 2 生成6位验证码
    code = aliyunsms.get_code(6, False)
    # 3 缓存到Redis
    #cache.set(phone,code,60) #60s有效期
    #print('判断缓存中是否有:',cache.has_key(phone))
    #print('获取Redis验证码:',cache.get(phone))

    #暂时用session处理
    request.session['phone'] = code
    request.session.set_expiry(300) #设置5分钟后过期
    print('判断缓存中是否有:', request.session.get('phone'))
    print('获取session验证码:',request.session.get('phone'))
    # 4 发短信
    result = aliyunsms.send_sms(phone, code)
    return HttpResponse(result)


# 短信验证码校验
def sms_check(request):
    # /duanxin/sms_check/?phone=xxx&code=xxx
    # 1. 电话和手动输入的验证码
    phone = request.GET.get('phone')
    code = request.GET.get('code')
    # 2. 获取redis中保存的code
    #print('缓存中是否包含:',cache.has_key(phone))
    #print('取值:',cache.get(phone))
    #cache_code = cache.get(phone)
    #获取session里的code
    print('取值:', request.session.get('phone'))
    cache_code = request.session.get('phone')

    # 3. 判断
    if code == cache_code:
        return HttpResponse(json.dumps({'result':'OK'}))
    else:
        return HttpResponse(json.dumps({'result':'False'}))

本文首发于：http://bigyoung.cn/blog/posts/27/
参考文档：

1. https://www.lagou.com/lgeduarticle/87770.html
2. https://www.cnblogs.com/lixiang1013/p/7821749.html
3. Django官方文档（中文版）：https://docs.djangoproject.com/zh-hans/2.2/topics/http/sessions/

本文首发于[BigYoung小站]（http://bigyoung.cn）