Django使用sessionid区分用户。session信息需要做持久化处理,可以使用文件、数据库,或者专门的服务器保存。
配置session信息
修改settings.py文件,配置Django中使用的session信息。查看详细文档。
SESSION_ENGINE = 'Django.contrib.sessions.backends.file'
SESSION_FILE_PATH = '/var/django/session'
SESSION_COOKIE_AGE = 7200
下面是一些常见的选项。
- SESSION_ENGINE - 配置session引擎,默认为
Django.contrib.sessions.backends.db。Django使用该引擎保存sessionid,除了Django.contrib.sessions.backends.cache,其他引擎都会做数据持久化,把sessionid保存在数据库或文件中。- Django.contrib.sessions.backends.db
- Django.contrib.sessions.backends.file
- Django.contrib.sessions.backends.cache
- Django.contrib.sessions.backends.cached_db
- Django.contrib.sessions.backends.signed_cookies
- SESSION_FILE_PATH - 使用
Django.contrib.sessions.backends.file时,配置存储路径。 - SESSION_COOKIE_NAME - 配置cookie中session UID的名字。默认为
sessionid。 - SESSION_COOKIE_AGE - 配置session过期时间。
javascript删除sessionid失效
在Django中,实现用户退出功能。最初的方案是在当logout时,在js中删除cookie信息。使用chrome测试时,发现js不能删除cookie中的sessionid,造成用户不能正常退出。
查询Django文档,发现这是SESSION_COOKIE_HTTPONLY引起的。
- SESSION_COOKIE_HTTPONLY - 设置为
True时,js不能访问session cookie。在js中不能删除sessionid。默认为True。
function() {
...
CommonUtil.AjaxUtil.ajaxPost(
'/logout/',
null,
function(result) {
deleteCookie('sessionid', '/');
window.location = '/';
}
);
...
}
function deleteCookie(name, path)
{
var exp = new Date();
exp.setDate(exp.getDate() - 100);
var cval=getCookie(name);
if(cval!=null)
document.cookie= name + "=" + cval + ";expires=" + exp.toGMTString() + ((path == undefined) ? "" : ";path=" + path);
}
当设置了SESSION_COOKIE_HTTPONLY = True,需要在views.py中删除sessionid。从Django.contrib.auth中引入views,调用logout()函数,删除登录用户的sessionid。
from Django.contrib.auth import views as auth_views
def logout(request):
if request.method == "POST":
auth_views.logout(request)
return HttpResponse(json.dumps({"status": True}), content_type='application/json')
session工作原理
-
用户第一次访问Django时,Django为每个用户生成一个
sessionid,把sessionid下发到浏览器。 -
Django把生成的sesion相关信息保存在
SESSION_ENGINE中。本例中,把session信息保存在文件中,文件名以sessionid开头,后接session UID,格式为sessionid<sesssion uid>。$ ls /tmp sessionidqj8bevv269sxt7dzqlrny1gcw7e1hkrg -
文件中保存的session信息除了
sessionid以外,还有使用request.session['username'] = username加入的信息。文件使用base64格式编码。$ cat /tmp/sessionidqj8bevv269sxt7dzqlrny1gcw7e1hkrg
YWZhN2M3ZWEzNjk0YWU2NjUwZDIyNzdlNTA5NDc0NGY3NzMzYzlkOTp7InVzZXJuYW1lIjoiYWRtaW4iLCJ1aWQiOiIyNjdiNzliYS0yMTNhLTQ3NDItYjA0My1kMjMzMDVhMWQ1YmUiLCJ0b2tlbiI6IjVkOTFhMjM1ZDU3ODRiODk4ZmExMDUyZGQ1ZmZiNzkwODI2N2I3OWJhMjEwMTEyNjUyMTNhNDc0MmNhZWY0ZThkYjA0M2QyMzM4Njk5ZTAwMzA1YTFkNWJlNmNmM2Q1OWIiLCJyb2xlIjoiYWRtaW4iLCJpc3N1ZV90aW1lIjoiMTQ5MDg1NzIyNiIsImV4cGlyZV90aW1lIjoiMTgwMCJ9Cg==
```
转码后,得到文件内容。
```shell
$ base64 -d /tmp/sessionidqj8bevv269sxt7dzqlrny1gcw7e1hkrg
afa7c7ea3694ae6650d2277e5094744f7733c9d9:{"username":"admin","uid":"267b79ba-213a-4742-b043-d23305a1d5be","token":"5d91a235d5784b898fa1052dd5ffb7908267b79ba21011265213a4742caef4e8db043d2338699e00305a1d5be6cf3d59b","role":"admin","issue_time":"1490857226","expire_time":"1800"}
```
-
在
views.py中调用logout()时,Django会删除内存中的sessionid,同时也会删除数据库中的记录或磁盘上的文件。本例中,会删除/tmp/sessionidqj8bevv269sxt7dzqlrny1gcw7e1hkrg文件。from Django.contrib.auth import views as auth_views def logout(request): if request.method == "POST": auth_views.logout(request) return HttpResponse(json.dumps({"status": True}), content_type='application/json')
网友评论