Django - เซสชัน

ตามที่กล่าวไว้ก่อนหน้านี้เราสามารถใช้คุกกี้ฝั่งไคลเอ็นต์เพื่อจัดเก็บข้อมูลที่เป็นประโยชน์มากมายสำหรับเว็บแอป เราเคยเห็นมาก่อนแล้วว่าเราสามารถใช้คุกกี้ฝั่งไคลเอ็นต์เพื่อจัดเก็บข้อมูลต่างๆที่เป็นประโยชน์สำหรับเว็บแอปของเรา สิ่งนี้นำไปสู่ช่องโหว่ด้านความปลอดภัยจำนวนมากขึ้นอยู่กับความสำคัญของข้อมูลที่คุณต้องการบันทึก

ด้วยเหตุผลด้านความปลอดภัย Django มีกรอบเซสชันสำหรับการจัดการคุกกี้ เซสชันใช้เพื่อสรุปการรับและส่งคุกกี้ข้อมูลจะถูกบันทึกไว้ที่ฝั่งเซิร์ฟเวอร์ (เช่นเดียวกับในฐานข้อมูล) และคุกกี้ฝั่งไคลเอ็นต์มีเพียงรหัสเซสชันสำหรับระบุตัวตน นอกจากนี้เซสชันยังมีประโยชน์ในการหลีกเลี่ยงกรณีที่เบราว์เซอร์ของผู้ใช้ถูกตั้งค่าเป็นคุกกี้ 'ไม่ยอมรับ'

การตั้งค่าเซสชัน

ใน Django การเปิดใช้งานเซสชันจะเสร็จสิ้นในโครงการของคุณ settings.pyโดยการเพิ่มบางบรรทัดลงในไฟล์ MIDDLEWARE_CLASSES และ INSTALLED_APPSตัวเลือก. สิ่งนี้ควรทำในขณะที่สร้างโครงการ แต่ควรรู้ไว้เสมอMIDDLEWARE_CLASSES ควรมี -

'django.contrib.sessions.middleware.SessionMiddleware'

และ INSTALLED_APPS ควรมี -

'django.contrib.sessions'

ตามค่าเริ่มต้น Django จะบันทึกข้อมูลเซสชันในฐานข้อมูล (ตาราง django_session หรือคอลเลกชัน) แต่คุณสามารถกำหนดค่าเอ็นจินเพื่อจัดเก็บข้อมูลโดยใช้วิธีอื่นเช่น: ใน file หรือใน cache.

เมื่อเปิดใช้งานเซสชันทุกคำขอ (อาร์กิวเมนต์แรกของมุมมองใด ๆ ใน Django) จะมีแอตทริบิวต์เซสชัน (dict)

มาสร้างตัวอย่างง่ายๆเพื่อดูวิธีสร้างและบันทึกเซสชัน เราได้สร้างระบบล็อกอินอย่างง่ายมาก่อนแล้ว (ดูบทการประมวลผลแบบฟอร์ม Django และบทการจัดการคุกกี้ Django) ให้เราบันทึกชื่อผู้ใช้ในคุกกี้ดังนั้นหากไม่ได้ออกจากระบบเมื่อเข้าสู่หน้าเข้าสู่ระบบของเราคุณจะไม่เห็นแบบฟอร์มการเข้าสู่ระบบ โดยพื้นฐานแล้วมาทำให้ระบบล็อกอินของเราที่เราใช้ใน Django Cookies จัดการปลอดภัยยิ่งขึ้นโดยการบันทึกฝั่งเซิร์ฟเวอร์คุกกี้

สำหรับสิ่งนี้ก่อนอื่นให้เปลี่ยนมุมมองการเข้าสู่ระบบของเราเพื่อบันทึกฝั่งเซิร์ฟเวอร์คุกกี้ชื่อผู้ใช้ของเรา -

def login(request):
   username = 'not logged in'
   
   if request.method == 'POST':
      MyLoginForm = LoginForm(request.POST)
      
      if MyLoginForm.is_valid():
         username = MyLoginForm.cleaned_data['username']
         request.session['username'] = username
      else:
         MyLoginForm = LoginForm()
			
   return render(request, 'loggedin.html', {"username" : username}

จากนั้นให้เราสร้างมุมมอง formView สำหรับแบบฟอร์มการเข้าสู่ระบบโดยที่เราจะไม่แสดงแบบฟอร์มหากตั้งค่าคุกกี้ -

def formView(request):
   if request.session.has_key('username'):
      username = request.session['username']
      return render(request, 'loggedin.html', {"username" : username})
   else:
      return render(request, 'login.html', {})

ตอนนี้ให้เราเปลี่ยนไฟล์ url.py เพื่อเปลี่ยน url ให้มันจับคู่กับมุมมองใหม่ของเรา -

from django.conf.urls import patterns, url
from django.views.generic import TemplateView

urlpatterns = patterns('myapp.views',
   url(r'^connection/','formView', name = 'loginform'),
   url(r'^login/', 'login', name = 'login'))

เมื่อเข้าถึง / myapp / connection คุณจะเห็นหน้าต่อไปนี้ -

และคุณจะถูกเปลี่ยนเส้นทางไปยังหน้าต่อไป -

ตอนนี้ถ้าคุณพยายามเข้าถึง / myapp / connection อีกครั้งคุณจะถูกเปลี่ยนเส้นทางไปยังหน้าจอที่สองโดยตรง

มาสร้างมุมมองการออกจากระบบอย่างง่ายที่จะลบคุกกี้ของเรา

def logout(request):
   try:
      del request.session['username']
   except:
      pass
   return HttpResponse("<strong>You are logged out.</strong>")

และจับคู่กับ URL ออกจากระบบใน myapp / url.py

url(r'^logout/', 'logout', name = 'logout'),

ตอนนี้หากคุณเข้าถึง / myapp / logout คุณจะได้รับหน้าต่อไปนี้ -

หากคุณเข้าถึง / myapp / การเชื่อมต่ออีกครั้งคุณจะได้รับแบบฟอร์มการเข้าสู่ระบบ (หน้าจอ 1)

การดำเนินการที่เป็นไปได้เพิ่มเติมบางอย่างโดยใช้เซสชัน

เราได้เห็นวิธีการจัดเก็บและเข้าถึงเซสชันแล้ว แต่ควรทราบว่าแอตทริบิวต์เซสชันของคำขอมีการดำเนินการที่เป็นประโยชน์อื่น ๆ เช่น -

  • set_expiry (value) - กำหนดเวลาหมดอายุสำหรับเซสชัน

  • get_expiry_age() - ส่งคืนจำนวนวินาทีจนกว่าเซสชันนี้จะหมดอายุ

  • get_expiry_date() - ส่งคืนวันที่เซสชันนี้จะหมดอายุ

  • clear_expired() - ลบเซสชันที่หมดอายุออกจากร้านค้าเซสชั่น

  • get_expire_at_browser_close() - ส่งคืนค่า True หรือ False ขึ้นอยู่กับว่าคุกกี้เซสชันของผู้ใช้หมดอายุหรือไม่เมื่อปิดเว็บเบราว์เซอร์ของผู้ใช้