Django session 详解

Django中的session是一个高级工具，它可以让用户存储个人信息以便在下次访问网站中使用这些信息。session的基础还是cookie，但是它提供了一些更加高级的功能。请看下面的一个例子：

使用session：

这个例子中实现了一个简单的计数功能：

def test_count_session(request):

    if 'count' in request.session:

        request.session['count'] += 1

        return HttpResponse('new count=%s'   % request.session['count'])

    else:

        request.session['count'] = 1

        return HttpResponse('No count in session. Setting to 1')

比较session和cookie的使用我们可以发现他们有一下几点不同：
session管理更加统一和方便：每个session中的属性值可以使用查询以及修改操作。
虽然我们在例子中只是使用了一个整数的属性，但实际上session中还可以包含很多类型的属性，比如字典属性，并且它可以很方便地用Python中的内建方法访问它们。

虽然我们在session中设置了一个计数器count，但是如果我们抓取当前的cookie时会发现，竟然没有count这个属性！而只是设置了一个看起来似乎是唯一标识的sesionid，这当然是处于安全方面的考虑。假定用户不停地访问一个页面，比如访问了10次，那我们是不是就要对他的计数器+10次呢？显然这样做不符合实际情况，有了这个sessionid，我们就可以判断是否是同一个用户访问一个页面了。

Set-Cookie:sessionid=a92d67e44a9b92d7dafca67e507985c0;

expires=Thu, 07-Jul-2011 04:16:28 GMT;

Max-Age=1209600;

Path=/

深入了解sessionid：

默认情况下，Django会将session保存在django_session这个表中：

CREATE TABLE "django_session" (

    "session_key" varchar(40) NOT NULL PRIMARY KEY,

    "session_data" text NOT NULL,

    "expire_date" datetime NOT NULL

);

其中的session_key就相当于cookie中保存的sessionid，而session_data就包含了当前session中的属性。

如果想详细看看我们上面创建的session的信息，可以像下面这样：

from django.contrib.sessions.models import Session

#...
sess = Session.objects.get(pk='a92d67e44a9b92d7dafca67e507985c0')

print(sess.session_data)

print(sess.get_decoded()) 

 它或许会输出类似下面的信息：

ZmEyNDVhNTBhMTk2ZmRjNzVlYzQ4NTFjZDk2Y2UwODc3YmVjNWV

jZjqAAn1xAVUFY291bnRxAksGcy4=

{'count': 11}

Django会保存request.session的相关信息到数据库，然后用户可以通过cookie中的sessionid对它进行各种操作。当然这些操作我们可以通过Django自带的session模块轻松操作，从而简化了程序员的工作。下面我们来详细了解一下Django中的session。

session中间件：

首先看看Django中的django.http.HttpRequest，了解一下它是如何取得session并对其属性进行操作的。

the Django Book中对它有详细的介绍，我们这里就简单的说一下原理吧 ! 

视图方法接受一个httprequest后，对它进行一系列的操作，然后返回一个httpresponse。而中间件增加一些额外的操作：

Django的中间件框架就是一些所谓的hook类，它设置在Django项目中的settings中的MIDDLEWARE_CLASSES内。当然您也可以添加自己的MIDDLEWARE_CLASSES。

默认情况下，django.contrib.sessions.middleware.SessionMiddleware 是自动添加的。查看它的源代码，我们可以发现它实际上就是实现了2个hooks：process_request和process_response。

process_request提取当前cookie中的session KEY(也就是sessionid)，其中SESSION_COOKIE_NAME就是我们说的sessionid。而request.session则包含了"session store"对象。

process_response负责保存"session store"对象并将它返回给客户端。

session的存储：

Django中可以通过设置SESSION_ENGINE属性来指定后台引擎来处理session。默认是django.contrib.sessions.backends.db。

在Django安装目录中的sessions/backends下可以找到很多其他的引擎，这里就不再赘述。

不管是哪一种引擎，它都实现了一个StorageSession类，其中包含了对session的各种操作方法。

为了理解它的工作原理，假定用户想访问request.session，来看看它的工作流程：
Session中间件的process_request实例化一个request.session，并将db.SessionStore附带session_key保存到构造函数(姑且这么叫吧，实在想不到好听的名字)。
SessionStore的构造函数会保存session key以便用户访问。
process_request的工作就算完成了，接着session中间件会将request传给view方法。
SessionBase是一个类字典实例，我们可以通过Python内建的字典方法对它进行操作，例如__getitem__。它还有一个很有用的方法：_get_session(它用到了load方法，load方法是由db.SessionStore来执行的，而不是SessionBase，期间还有一些对数据的编码工作)

下面来看一个简单的例子：

def encode(self, session_dict):

    "Returns the given session dictionary pickled and encoded as a string."

    pickled = pickle.dumps(session_dict, pickle.HIGHEST_PROTOCOL)

    hash = self._hash(pickled)

    return base64.encodestring(hash + ":" + pickled)

结论：

Django基于最简单的HTTP request和HTTP response而实现session的使用。希望上面的一些东西能给您带来一些灵感，如果需要详细了解session，读者可以当django官网的session文档中去找。