Django Session

Django 提供了一个强大的会话（Session）系统，用于在多个请求之间存储和检索用户特定的数据。
1、系统结构

1.1 代码结构

1. django.contrib.sessions
2. ├── middleware.py
3. │   └── SessionMiddleware (处理请求/响应周期)
4. ├── backends/
5. │   ├── base.py
6. │   │   └── SessionBase (抽象基类)
7. │   ├── db.py
8. │   │   └── SessionStore (数据库后端)
9. │   ├── cache.py
10. │   │   └── CacheSession (缓存后端)
11. │   └── signed_cookies.py
12. │       └── SignedCookieSession (Cookie后端)
13. └── models.py
14.     └── Session (数据库模型)

复制代码

1.2 工作原理

• 当用户首次访问时，Django 创建一个唯一的 session ID
  
• 这个 ID 通常通过 cookie 发送到客户端
  
• 后续请求中，客户端会携带这个 ID，Django 通过它找到对应的 session 数据
  
• Session 数据存储在服务器端（数据库、缓存等）
  

2、源码分析

2.1 SessionMiddleware

• process_request: 处理请求，获取session_key并获取session赋值给request
  
• process_response：处理响应，保存 session 并设置 Cookie
  

1. class SessionMiddleware(MiddlewareMixin):
2.     def __init__(self, get_response):
3.         super().__init__(get_response)
4.         # 导入 SessionStore 类
5.         engine = import_module(settings.SESSION_ENGINE)
6.         self.SessionStore = engine.SessionStore
8.     def process_request(self, request):
9.         # 从 Cookie 中获取 session_key
10.         session_key = request.COOKIES.get(settings.SESSION_COOKIE_NAME)
11.         # 创建 SessionStore 实例并赋值给 request.session
12.         request.session = self.SessionStore(session_key)
14.     def process_response(self, request, response):
15.         """
16.         处理响应，保存 session 并设置 Cookie
17.         """
18.         try:
19.             accessed = request.session.accessed
20.             modified = request.session.modified
21.             empty = request.session.is_empty()
22.         except AttributeError:
23.              # 如果没有 session 属性，直接返回响应
24.             return response
25.         
26.         if settings.SESSION_COOKIE_NAME in request.COOKIES and empty:
27.             # 如果 session 为空但 Cookie 存在，删除 Cookie
28.             response.delete_cookie(
29.                 settings.SESSION_COOKIE_NAME,
30.                 path=settings.SESSION_COOKIE_PATH,
31.                 domain=settings.SESSION_COOKIE_DOMAIN,
32.                 samesite=settings.SESSION_COOKIE_SAMESITE,
33.             )
34.             patch_vary_headers(response, ("Cookie",))
35.         else:
36.             # 如果 session 被访问过，设置 Vary: Cookie 头
37.             if accessed:
38.                 patch_vary_headers(response, ("Cookie",))
39.             # 如果 session 被修改或设置了 SESSION_SAVE_EVERY_REQUEST，并且非空，则保存
40.             if (modified or settings.SESSION_SAVE_EVERY_REQUEST) and not empty:
41.                 if request.session.get_expire_at_browser_close():
42.                     max_age = None
43.                     expires = None
44.                 else:
45.                     max_age = request.session.get_expiry_age()
46.                     expires_time = time.time() + max_age
47.                     expires = http_date(expires_time)
48.                 if response.status_code < 500:
49.                     try:
50.                         # 保存 session
51.                         request.session.save()
52.                     except UpdateError:
53.                         raise SessionInterrupted(
54.                             "The request's session was deleted before the "
55.                             "request completed. The user may have logged "
56.                             "out in a concurrent request, for example."
57.                         )
58.                     # 设置 Cookie
59.                     response.set_cookie(
60.                         settings.SESSION_COOKIE_NAME,
61.                         request.session.session_key,
62.                         max_age=max_age,
63.                         expires=expires,
64.                         domain=settings.SESSION_COOKIE_DOMAIN,
65.                         path=settings.SESSION_COOKIE_PATH,
66.                         secure=settings.SESSION_COOKIE_SECURE or None,
67.                         httponly=settings.SESSION_COOKIE_HTTPONLY or None,
68.                         samesite=settings.SESSION_COOKIE_SAMESITE,
69.                     )
70.         return response

复制代码

2.2 SessionBase 抽象基类关键方法

1. class SessionBase:
2.     """
3.     Session 基类，定义了所有 Session 后端的通用接口
4.     """
6.     def __init__(self, session_key=None):
7.         self._session_key = session_key
8.         self.accessed = False
9.         self.modified = False
10.         self.serializer = import_string(settings.SESSION_SERIALIZER)
11.    
12.     def __getitem__(self, key):
13.         return self._session[key]
15.     def __setitem__(self, key, value):
16.         self._session[key] = value
17.         self.modified = True
19.     def save(self, must_create=False):
20.         """
21.         必须由子类实现的具体保存逻辑
22.         """
23.         raise NotImplementedError(
24.             "subclasses of SessionBase must provide a save() method"
25.         )
27.     def load(self):
28.         """
29.         必须由子类实现的数据加载逻辑
30.         """
31.         raise NotImplementedError(
32.             "subclasses of SessionBase must provide a load() method"
33.         )
35.     def is_empty(self):
36.         # 返回 session 是否为空
37.         try:
38.             return not self._session_key and not self._session_cache
39.         except AttributeError:
40.             return True
43.     def _get_session(self, no_load=False):
44.         """
45.         获取 session 数据，如果没有加载则加载
46.         """
47.         self.accessed = True
48.         try:
49.             return self._session_cache
50.         except AttributeError:
51.             if self.session_key is None or no_load:
52.                 self._session_cache = {}
53.             else:
54.                 self._session_cache = self.load()
55.         return self._session_cache
59.     def get_expiry_age(self, **kwargs):
60.         """
61.         获取 session 过期时间（秒）
62.         """
63.         try:
64.             modification = kwargs["modification"]
65.         except KeyError:
66.             modification = timezone.now()
68.         try:
69.             expiry = kwargs["expiry"]
70.         except KeyError:
71.             expiry = self.get("_session_expiry")
73.         if not expiry:
74.             return self.get_session_cookie_age()
75.         if not isinstance(expiry, (datetime, str)):
76.             return expiry
77.         if isinstance(expiry, str):
78.             expiry = datetime.fromisoformat(expiry)
79.         delta = expiry - modification
80.         return delta.days * 86400 + delta.seconds
82.     def get_expiry_date(self, **kwargs):
83.         """
84.         获取 session 过期日期
85.         """
86.         try:
87.             modification = kwargs["modification"]
88.         except KeyError:
89.             modification = timezone.now()
90.         try:
91.             expiry = kwargs["expiry"]
92.         except KeyError:
93.             expiry = self.get("_session_expiry")
95.         if isinstance(expiry, datetime):
96.             return expiry
97.         elif isinstance(expiry, str):
98.             return datetime.fromisoformat(expiry)
99.         expiry = expiry or self.get_session_cookie_age()
100.         return modification + timedelta(seconds=expiry)
102.     def get_expire_at_browser_close(self):
103.         """
104.         获取是否在浏览器关闭时过期
105.         """
106.         if (expiry := self.get("_session_expiry")) is None:
107.             return settings.SESSION_EXPIRE_AT_BROWSER_CLOSE
108.         return expiry == 0
111.     def set_expiry(self, value):
112.         """
113.         设置 session 过期时间
114.         """
115.         if value is None:
116.             # 使用全局设置
117.             try:
118.                 del self["_session_expiry"]
119.             except KeyError:
120.                 pass
121.             return
122.         if isinstance(value, timedelta):
123.             value = timezone.now() + value
124.         if isinstance(value, datetime):
125.             value = value.isoformat()
126.         self["_session_expiry"] = value
129.     def flush(self):
130.         """
131.         清空 session 并生成新的 session_key
132.         """
133.         self.clear()
134.         self.delete()
135.         self._session_key = None
138.     def cycle_key(self):
139.         """
140.         生成新的 session_key，保持 session 数据
141.         """
142.         data = self._session
143.         key = self.session_key
144.         self.create()
145.         self._session_cache = data
146.         if key:
147.             self.delete(key)

复制代码

2.3 数据库Session后端源码

1. class SessionStore(SessionBase):
2.     """
3.     数据库支持的 session 存储
4.     """
6.     def __init__(self, session_key=None):
7.         super().__init__(session_key)
9.     @classmethod
10.     def get_model_class(cls):
11.         # 避免循环导入，获取Session数据库模型定义
12.         from django.contrib.sessions.models import Session
14.         return Session
16.     @cached_property
17.     def model(self):
18.         return self.get_model_class()
20.     def _get_session_from_db(self):
21.         # 从数据库获取session实例
22.         return self.model.objects.get(
23.                 session_key=self.session_key, expire_date__gt=timezone.now()
24.             )
27.     def load(self):
28.         # 解码session
29.         s = self._get_session_from_db()
30.         return self.decode(s.session_data) if s else {}
32.     def exists(self, session_key):
33.         # 判断session是否存在
34.         return self.model.objects.filter(session_key=session_key).exists()
36.     def create(self):
37.         while True:
38.             self._session_key = self._get_new_session_key()
39.             try:
40.                 # 保存入库
41.                 self.save(must_create=True)
42.             except CreateError:
43.                 # Key wasn't unique. Try again.
44.                 continue
45.             self.modified = True
46.             return
48.     def create_model_instance(self, data):
49.         """
50.         """
51.         return self.model(
52.             session_key=self._get_or_create_session_key(),
53.             session_data=self.encode(data),
54.             expire_date=self.get_expiry_date(),
55.         )
58.     def save(self, must_create=False):
59.         """
60.         使用事务保存session
61.         """
62.         if self.session_key is None:
63.             return self.create()
64.         data = self._get_session(no_load=must_create)
65.         obj = self.create_model_instance(data)
66.         using = router.db_for_write(self.model, instance=obj)
67.         with transaction.atomic(using=using):
68.             obj.save(
69.                 force_insert=must_create, force_update=not must_create, using=using
70.             )
72.     def delete(self, session_key=None):
73.         # 删除
74.         self.model.objects.get(session_key=session_key).delete()
76.     @classmethod
77.     def clear_expired(cls):
78.         # 清理过期session
79.         cls.get_model_class().objects.filter(expire_date__lt=timezone.now()).delete()

复制代码

3、配置和使用

3.1 配置

在 settings.py 中配置 Session

1. # Session 引擎
2. SESSION_ENGINE = 'django.contrib.sessions.backends.db'  # 数据库
3. # SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 缓存
4. # SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'  # 缓存+数据库
5. # SESSION_ENGINE = 'django.contrib.sessions.backends.file'  # 文件
6. # SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'  # 签名Cookie
8. # Session Cookie 名称
9. SESSION_COOKIE_NAME = 'sessionid'
11. # Session Cookie 过期时间（秒）
12. SESSION_COOKIE_AGE = 1209600  # 2周
14. # 是否在浏览器关闭时过期
15. SESSION_EXPIRE_AT_BROWSER_CLOSE = False
17. # 是否每次请求都保存 Session
18. SESSION_SAVE_EVERY_REQUEST = False
20. # Session Cookie 路径
21. SESSION_COOKIE_PATH = '/'
23. # Session Cookie 域名
24. SESSION_COOKIE_DOMAIN = None
26. # 是否只通过 HTTPS 传输
27. SESSION_COOKIE_SECURE = False
29. # 是否阻止 JavaScript 访问
30. SESSION_COOKIE_HTTPONLY = True
32. # SameSite 属性
33. SESSION_COOKIE_SAMESITE = 'Lax'
35. # Session 序列化器
36. SESSION_SERIALIZER = 'django.contrib.sessions.serializers.JSONSerializer'

复制代码

3.2 基本使用

1. from django.shortcuts import render, redirect
2. from django.http import HttpResponse
4. def set_session(request):
5.     """设置 Session 值"""
6.     # 设置简单值
7.     request.session['username'] = 'john'
8.     request.session['user_id'] = 123
9.    
10.     # 设置复杂数据结构
11.     request.session['user_data'] = {
12.         'name': 'John Doe',
13.         'email': 'john@example.com',
14.         'preferences': {
15.             'theme': 'dark',
16.             'language': 'en'
17.         }
18.     }
19.    
20.     # 设置过期时间（300秒后过期）
21.     request.session.set_expiry(300)
22.    
23.     return HttpResponse("Session values set")
25. def get_session(request):
26.     """获取 Session 值"""
27.     username = request.session.get('username', 'Guest')
28.     user_id = request.session.get('user_id')
29.    
30.     # 获取整个 Session 数据
31.     session_data = dict(request.session.items())
32.    
33.     return HttpResponse(f"Username: {username}, User ID: {user_id}")
35. def delete_session(request):
36.     """删除 Session 值"""
37.     # 删除特定键
38.     if 'username' in request.session:
39.         del request.session['username']
40.    
41.     # 使用 pop 方法
42.     user_id = request.session.pop('user_id', None)
43.    
44.     # 清空整个 Session
45.     request.session.clear()
46.    
47.     return HttpResponse("Session values deleted")
49. def flush_session(request):
50.     """完全清空 Session 并生成新 Session ID"""
51.     request.session.flush()
52.     return HttpResponse("Session flushed")

复制代码

3.3 过期时间

1. def set_temp_session(request):
2.     # 设置临时数据，10分钟后过期
3.     request.session['temp_data'] = '这是临时数据'
4.     request.session.set_expiry(600)  # 600秒=10分钟
5.     return HttpResponse("临时session数据已设置，10分钟后过期")
7. def set_browser_close_session(request):
8.     # 设置浏览器关闭时过期的session
9.     request.session['temporary'] = '浏览器关闭后消失'
10.     request.session.set_expiry(0)  # 0表示浏览器关闭时过期
11.     return HttpResponse("此session将在浏览器关闭时过期")

复制代码

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！