Odoo 使用 cookie 来携带 session_id, session id 是一个哈希值,在 odoo/http.py setup session 之中可以看到,除了通过 cookie 携带,还可以通过请求的参数携带,或者 http header 中携带 session id。这里只讨论使用 cookie 携带 session id 的情形。
def setup_session(self, httprequest):
# recover or create session
session_gc(self.session_store)
sid = httprequest.args.get('session_id')
explicit_session = True
if not sid:
sid = httprequest.headers.get("X-Openerp-Session-Id")
if not sid:
sid = httprequest.cookies.get('session_id')
explicit_session = False
if sid is None:
httprequest.session = self.session_store.new()
else:
httprequest.session = self.session_store.get(sid)
return explicit_session
session id 会对应一个文件存在于文件系统之中,如果在 Linux 中,并且没有特意配置过,在 ~/.local/share/Odoo Product Name/下面,Odoo Product Name 是产品名称是可以配置的,这个目录实际上是 Odoo 默认的 data dir。如果启动的时候指定 data dir,session 存储的位置也会改变。data dir 下面 filestore 目录,存储 Odoo 文件(按照数据库名称不同再分一层目录),曾经有朋友问过,Odoo 的文件存数据库吗,大概率不是的,文件一般存在这里。
session id 对应的文件里面存储真正的 session 信息,主要是用户 id,数据库,用户语言等等一些用户的上下文信息。如果系统有这个上下文信息说明用户正在和系统对话,并且已经获得了系统的认证,不需要用户每次执行操作都提供用户名和密码重新获得授权。
session 的建立过程就是用户登录过程,用户登录成功即获得了一个有效的 session 存于 Odoo 的后台系统;当然任何非法的访问,肯定是无法取得一个 session 的,如果能取得 session 就是合法访问。
Odoo 用户在登录系统的时候会要求数据用户名和密码,有的还要求提供数据库名称。用户名密码通过表单 POST 到 web/login,web/login 同时支持 GET 和 POST,GET 就是返回 HTML 页面,POST 就是提交用户名密码验证用户。
POST 登录表单的时候必须要提供一个 csrf token,这个是 Odoo 的一个增强的安全机制。csrf token 是通过 GET web/login 这个页面的时候,Odoo 后台生成写到网页表单的隐藏 input 里面。这样当用户 POST 表单的时候会把csrf token携带过来。
csrf token 有两种,一种是包含最大时间戳的,就是说这个 token 会过期,登录的时候使用的 csrf token 就是有时间戳要求的。而其他 Odoo http 请求都是不用携带时间戳的 csrf token。携带时间戳的 csrf token 一般通过后台生成 html 的时候写成隐藏 input 元素放在表单里面;不带时间戳的 token 会通过 odoo 这个全局的 js 对象获取(后台生成 js 代码)。比如下载一个系统的图片或者附件都是需要这个csrf token 的这个token 就不需要 max ts (时间戳)。
如果 POST web/login 成功,Odoo 会发送一个重定位请求,让前端浏览器访问 web/,这时候同时 set 了 cookie 其中就包含了授权的 session id,这样再请求 web,Odoo 后台就给前端设置好一个 odoo js 对象并且包含了 session 信息,即前端的 js 可以直接通过 odoo js 对象访问到 session 对象。
重定向成功后,就可以进行授权操作了,所有的 Odoo Jsonrpc ,都能正常执行了。当然每次请求要带上 设置了 session id 的 Cookie;要求提供 csrf token 的api 还要提供csrf token,很多 api 不要求 csrf token,是否要求看看 controller 中的接口装饰,默认是要求提供。
@http.route('/web/database/create', type='http', auth="none", methods=['POST'], csrf=False)
def create(self, master_pwd, name, lang, password, **post):
try: ....
指定了 False 就是不要求。上边的创建数据库操作就是不要求提供 csrf token。
@http.route('/web/binary/upload_attachment', type='http', auth="user")
@serialize_exception
def upload_attachment(self, callback, model, id, ufile):
files = request.httprequest.files.getlist('ufile')
Model = request.env['ir.attachment']
out = """<script language="javascript" type="text/javascript">
var win = window.top.window;
win.jQuery(win).trigger(%s, %s);
</script>"""
args = []
而这个上传 attachment 的操作就必须要提供 csrf token,注意的是 csrf token 必须要通过表单参数提交。JSONRPC 没有 csrf token 的需要。
退出系统应该不用介绍了吧。自己找找看吧 😄!
网友评论