flask中的session介绍

news2024/11/25 15:42:49

在这里插入图片描述

flask中的session介绍

在Flask中,session是一个用于存储特定用户会话数据的字典对象。它在不同请求之间保存数据。它通过在客户端设置一个签名的cookie,将所有的会话数据存储在客户端。以下是如何在Flask应用中使用session的基本步骤:

首先,你需要设置一个秘钥,这是为了加密你的session数据:

from flask import Flask, session

app = Flask(__name__)

# Set the secret key to some random bytes. Keep this really secret!
app.secret_key = b'_5#y2L"F4Q8z\n\xec]/'

然后,你可以像操作字典一样操作session对象。以下是一个登录的例子:

from flask import Flask, session, redirect, url_for, escape, request

app = Flask(__name__)
app.secret_key = b'_5#y2L"F4Q8z\n\xec]/'


#from flask import escape
# 假设 session['username'] 是 "<script>alert('hacked!');</script>"
#safe_username = escape(session['username'])
# safe_username 现在是 "&lt;script&gt;alert('hacked!');&lt;/script&gt;"
# escape(session['username'])是在做HTML转义

@app.route('/')
def index():
    if 'username' in session:
        return 'Logged in as %s' % escape(session['username'])
    return 'You are not logged in'

@app.route('/login', methods=['GET', 'POST'])
def login():
    error = None
    if request.method == 'POST':
        username = request.form['username']
        password = request.form['password']
        if valid_login(username, password):
            session['username'] = request.form['username']
            return redirect(url_for('index'))
        else:
            error = 'Invalid username or password'
    return render_template('login.html', error=error)


@app.route('/logout')
def logout():
    # remove the username from the session if it's there
    session.pop('username', None)
    return redirect(url_for('index'))

Flask的session实现涉及到几个关键的组件:session对象、session_interface对象以及secure_cookie模块。以下是这些组件是如何工作以实现Flask的session的:

  1. Session对象:在Flask中,session被表示为一个名为session的字典对象。它是LocalProxy的实例,LocalProxy是一种可以动态引用当前运行环境(比如请求或应用上下文)的特定对象的代理类。当你尝试访问session对象的属性或方法时,LocalProxy会将这些操作转发到实际的会话对象,这个实际的会话对象由session_interface创建。
  2. SessionInterface对象SessionInterface是一个抽象基类,定义了用于处理session的接口。Flask自带的SecureCookieSessionInterface实现了这个接口,使用安全的签名cookie来存储session数据。当一个请求开始时,SecureCookieSessionInterface会从请求的cookies中提取出session数据,并创建一个新的SecureCookieSession对象。当请求结束时,如果SecureCookieSession对象被修改,SecureCookieSessionInterface会把它序列化并签名,然后存回到客户端的cookies中。【文末附源码解释】
  3. SecureCookie模块:这个模块实现了SecureCookieSession类,SecureCookieSession是一个用于存储实际session数据的字典子类,它的工作方式和普通的字典一样。

整体来看,Flask的session实现工作流程是这样的:

  • 当一个请求开始时,Flask会创建一个新的请求上下文,并通过SecureCookieSessionInterface从请求的cookies中提取出session数据,然后创建一个新的SecureCookieSession对象。
  • 当你在你的视图函数中操作session对象(比如设置session['username'] = 'John')时,实际上你是在操作这个SecureCookieSession对象。
  • 当请求结束时,Flask会检查SecureCookieSession对象是否被修改。如果被修改,Flask会通过SecureCookieSessionInterfaceSecureCookieSecureCookieSession对象序列化并签名,然后把它存回到响应的cookies中。
  • 当下一个请求来到时,这个过程会再次重复。

通常流程总结

  1. 当一个新用户(没有任何session数据的用户)首次访问你的Flask应用时,他们的请求中不会包含任何session数据。在这种情况下,Flask会为这个用户创建一个新的、空的session对象。这个新的session对象在初始状态下是空的,也就是说,它不包含任何数据。
  2. 如果在处理这个请求的过程中,你的代码修改了session对象(例如,通过设置session['username'] = 'John'),那么当请求结束时,Flask会把这个session对象序列化并签名,然后存入一个新的Cookie中。这个新的Cookie会被发送到客户端,一起与响应一起传送。
  3. 当这个用户下次访问你的Flask应用时,他们的请求将会携带这个包含了session数据的Cookie。Flask会在接收到这个请求时,从Cookie中提取出session数据,并创建一个新的session对象。这样,你的代码就可以继续访问和修改这个session对象了。

需要注意的是,如果一个请求没有修改session对象,那么Flask就不会在响应中设置新的Cookie。这是因为,没有必要把一个没有变化的session数据再次发送到客户端。

因此,即使一个新用户的首次请求中没有包含任何session数据,Flask也能正确地处理

SecureCookieSessionInterface

class SecureCookieSessionInterface(SessionInterface):
    """The default session interface that stores sessions in signed cookies
    through the :mod:`itsdangerous` module.
    """

    #: the salt that should be applied on top of the secret key for the
    #: signing of cookie based sessions.
    salt = "cookie-session"
    #: the hash function to use for the signature.  The default is sha1
    digest_method = staticmethod(hashlib.sha1)
    #: the name of the itsdangerous supported key derivation.  The default
    #: is hmac.
    key_derivation = "hmac"
    #: A python serializer for the payload.  The default is a compact
    #: JSON derived serializer with support for some extra Python types
    #: such as datetime objects or tuples.
    serializer = session_json_serializer
    session_class = SecureCookieSession

    def get_signing_serializer(self, app: Flask) -> URLSafeTimedSerializer | None:
        if not app.secret_key:
            return None
        signer_kwargs = dict(
            key_derivation=self.key_derivation, digest_method=self.digest_method
        )
        return URLSafeTimedSerializer(
            app.secret_key,
            salt=self.salt,
            serializer=self.serializer,
            signer_kwargs=signer_kwargs,
        )

    def open_session(self, app: Flask, request: Request) -> SecureCookieSession | None:
        s = self.get_signing_serializer(app)
        if s is None:
            return None
        val = request.cookies.get(self.get_cookie_name(app))
        if not val:
            return self.session_class()
        # 获取session的最大有效期,单位为秒。
        max_age = int(app.permanent_session_lifetime.total_seconds())
        try:
            # 尝试使用序列化器s的loads方法,对session cookie的值val进行反序列化和签名验证。如果反序列化和验证成功,就用这些数据创建一个新的session对象,并返回
            data = s.loads(val, max_age=max_age)
            return self.session_class(data)
        except BadSignature:
            return self.session_class()

    def save_session(
        self, app: Flask, session: SessionMixin, response: Response
    ) -> None:
        name = self.get_cookie_name(app)
        domain = self.get_cookie_domain(app)
        path = self.get_cookie_path(app)
        secure = self.get_cookie_secure(app)
        samesite = self.get_cookie_samesite(app)
        httponly = self.get_cookie_httponly(app)

        # Add a "Vary: Cookie" header if the session was accessed at all.
        if session.accessed:
            response.vary.add("Cookie")

        # If the session is modified to be empty, remove the cookie.
        # If the session is empty, return without setting the cookie.
        if not session:
            if session.modified:
                response.delete_cookie(
                    name,
                    domain=domain,
                    path=path,
                    secure=secure,
                    samesite=samesite,
                    httponly=httponly,
                )
                response.vary.add("Cookie")

            return

        if not self.should_set_cookie(app, session):
            return

        expires = self.get_expiration_time(app, session)
        val = self.get_signing_serializer(app).dumps(dict(session))  # type: ignore
        response.set_cookie(
            name,
            val,  # type: ignore
            expires=expires,
            httponly=httponly,
            domain=domain,
            path=path,
            secure=secure,
            samesite=samesite,
        )
        response.vary.add("Cookie")

  1. SecureCookieSessionInterface类:这个类实现了session接口,使用安全的签名cookies来存储session数据。
  2. 类属性:
    • salt:加盐值,用于混淆session的加密过程,增加安全性。
    • digest_method:哈希函数,用于签名过程中对数据进行哈希处理,默认为sha1。
    • key_derivation:关键字派生,设置为"hmac",表示使用HMAC进行签名。
    • serializer:序列化器,用于将Python对象转换为可以在网络上传输的格式,这里使用的是JSON序列化器。
    • session_class:表示session的类,默认为SecureCookieSession。
  3. get_signing_serializer方法:用于获取一个签名序列化器,其作用是用来签名和反签名cookies的。如果应用没有设置秘钥app.secret_key,则返回None。
  4. open_session方法:在处理每个请求时调用,从请求的cookies中提取出session数据,反序列化并验证签名,得到session的数据。如果签名不合法,就会抛出BadSignature异常,然后返回一个空的session。
  5. save_session方法:在每个请求处理完后调用,将session数据序列化,签名,然后存入到响应的cookies中。如果session为空且已被修改,则删除cookie。只有当session被访问过或被修改,才会设置Vary: Cookie头。

在使用SecureCookieSessionInterface处理session时,Flask会保证session的安全性,即使session数据存储在客户端的cookies中,也无法被篡改,因为每个session cookie都被签名了。除非知道服务器的秘钥,否则无法伪造有效的session cookie。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/795595.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Midjourney8种风格极其使用场景(1)

目录 ​编辑 引言 等距动画 场景 分析性绘图 场景 着色书 场景 信息图画 场景 双重曝光 场景 图示性绘画 场景 二维插图 场景 图解式画像 场景 总结&#xff1a; 八种风格箴言&#xff1a; 引言 我相信大家都或多或少玩过Midjourney&#xff0c;但是要形…

Excel“牛人”变现方案参考

有几种方式可以通过Excel技能实现变现&#xff1a; 1. 提供Excel咨询和培训服务&#xff1a;如果你对Excel非常熟悉&#xff0c;你可以提供咨询和培训服务&#xff0c;帮助他人解决Excel使用中的问题或提高他们的Excel技能。 2. 制作和销售Excel模板&#xff1a;你可以根据市…

同步和异步——简单的Demo

一、程序中的同步和异步的区别 在编程中&#xff0c;同步和异步是指代码执行的方式和顺序。 1. 同步&#xff08;Synchronous&#xff09;&#xff1a; 同步代码按照顺序依次执行&#xff0c;每个操作必须等待前一个操作完成后才能执行。在同步模式下&#xff0c;代码会阻塞&…

部署问题集合(十八)Windows环境下使用两个Tomcat

下载Tomcat Tomcat镜像下载地址&#xff1a;https://mirrors.cnnic.cn/apache/tomcat/进入如下地址&#xff1a;zip的是压缩版&#xff0c;exe是安装版 修改第二个Tomcat配置文件 第一步&#xff1a;编辑conf/server.xml文件&#xff0c;修改三个端口&#xff0c;有些版本改…

信号量SytemV与Posix信号量的介绍与用法

目录 1、信号量介绍 2、信号量SystemV介绍 2.1 信号量函数 2.2 信号量C代码实现 3、信号量Posix介绍 3.1 无名信号量 3.2 有名信号量 1、信号量介绍 信号量是一种计数器&#xff0c;用在多进程、多线程的共享资源访问控制上面&#xff0c;防止多进程、多线程对共享资源的…

win下tomcat部署问题积累

1、win下双击tomcat的start.bat出现闪退 检查环境变量是否配置正确&#xff1a; 1.在已解压的tomcat的bin文件夹下找到startup.bat&#xff0c;右击->编辑。在文件头加入下面两行&#xff1a; SET JAVA_HOMED:\Java\jdk1.6.0_10 &#xff08;java jdk目录&#xff09;S…

【C语言进阶】程序环境和预处理

&#x1f525;博客主页&#xff1a;小王又困了 &#x1f4da;系列专栏&#xff1a;C语言 &#x1f31f;人之为学&#xff0c;不日近则日退 ❤️感谢大家点赞&#x1f44d;收藏⭐评论✍️ 目录 一、程序的翻译环境和执行环境 二、详解编译和链接 2.1翻译环境 2.2编译的过…

Centos yum install出现Error: Unable to find a match: epel-release的解决方案

大家好,我是爱编程的喵喵。双985硕士毕业,现担任全栈工程师一职,热衷于将数据思维应用到工作与生活中。从事机器学习以及相关的前后端开发工作。曾在阿里云、科大讯飞、CCF等比赛获得多次Top名次。现为CSDN博客专家、人工智能领域优质创作者。喜欢通过博客创作的方式对所学的…

MySQL基础扎实——MySQL中有哪几种锁

常见锁举例 在MySQL中&#xff0c;常见的锁包括以下几种&#xff1a; 表级锁&#xff08;Table-level Lock&#xff09;&#xff1a;表级锁是对整张表进行锁定&#xff0c;可以分为两种类型&#xff1a; 共享锁&#xff08;Shared Lock&#xff09;&#xff1a;也称为读锁&…

Google Earth Engine谷歌地球引擎提取多波段长期反射率数据后绘制折线图并导出为Excel

本文介绍在谷歌地球引擎GEE中&#xff0c;提取多年遥感影像多个不同波段的反射率数据&#xff0c;在GEE内绘制各波段的长时间序列走势曲线图&#xff0c;并将各波段的反射率数据与其对应的成像日期一起导出为.csv文件的方法。 本文是谷歌地球引擎&#xff08;Google Earth Engi…

Python图像处理【13】使用PIL执行图像降噪

使用PIL执行图像降噪 0. 前言1. 均值滤波器1.1 均值滤波器原理1.2 使用均值滤波器去除椒盐噪声 2. 高斯滤波器2.1 高斯滤波器原理2.2 使用高斯模糊滤波器去除椒盐噪声 3. 中值滤波器3.1 中值滤波器原理3.2 使用中值滤波器去除椒盐噪声 小结系列链接 0. 前言 在本节中&#xff…

MAXENT模型的生物多样性教程

详情点击链接&#xff1a;基于MAXENT模型的生物多样性生境模拟与保护优先区甄选、自然保护区布局优化及未来气候变化下评估中的应用及论文写作 一&#xff1a;生物多样性保护格局与自然保护区格局优化 1.我国生物多样性格局与分布&#xff1b; 2.我国自然保护区格局与分布&…

Emacs之改造搜索文件fd-dired(基于fd命令)(一百二十一)

简介&#xff1a; CSDN博客专家&#xff0c;专注Android/Linux系统&#xff0c;分享多mic语音方案、音视频、编解码等技术&#xff0c;与大家一起成长&#xff01; 优质专栏&#xff1a;Audio工程师进阶系列【原创干货持续更新中……】&#x1f680; 人生格言&#xff1a; 人生…

【【51单片机AD转换模块】】

代码是简单的&#xff0c;板子是坏的&#xff0c;电阻是识别不出来的 main.c #include <REGX52.H> #include "delay.h" #include "LCD1602.h" #include "XPT2046.h"unsigned int ADValue;void main(void) {LCD_Init();LCD_ShowString(1,1…

format格式化输出语法详解

hello&#xff0c;这里是Token_w的文章&#xff0c;主要讲解python的基础学习&#xff0c;希望对大家有所帮助 整理不易&#xff0c;感觉还不错的可以点赞收藏评论支持&#xff0c;感谢&#xff01; 使用 % 操作符对各种类型的数据进行格式化输出&#xff0c;这是早期 Python提…

文档、视频、图片上传(点击、拖拽、批量导入)要‍‍‍‍怎么实现?!

文章目录 Excel上传和图片视频上传Excel上传页面中的使用图片和视频上传的错误提醒以及逻辑处理上传进度处理 Excel上传和图片视频上传 Excel上传 excel的上传其实分为两步&#xff1a; 1、下载excel模板 2、上传excel模板 在项目中涉及到excel的业务&#xff0c;基本上都…

Neo4j

存储结构 参考&#xff1a; 《图数据库&#xff08;第二版&#xff09;》 https://www.jianshu.com/p/94c1166eb400 https://blog.csdn.net/sinat_32336967/article/details/103348528 更新日期&#xff1a;2022-8-18 Neo4j版本&#xff1a;4.4 类型ID长度&#xff08;bit&…

使用Ensp配置DHCP协议

如何使用Ensp配置DHCP协议&#xff0c;为PC自动分配IP地址 什么是DHCP&#xff1f; Dynamic Host Configuration Protocol&#xff0c;动态主机配置协议&#xff0c;简单理解为自动分配IP地址&#xff0c;有了这个协议就不用手动配置IP地址了&#xff0c;如图 思路 给路由…

Monkey日志分析

1. Monkey日志详解 Monkey日志由以下几部分组成&#xff1a; 测试命令信息 随机种子seed、运行次数、可运行应用列表、各事件百分比。 App切换和Activity跳转 可以看到切换到了哪个App&#xff0c;从哪个Activity跳转到了哪个Activity&#xff0c;如果发生了异常&#xff0c…