flask基础知识深入——会话管理:Flask Session从原生到扩展源码分析及使用
会话管理:Flask Session从原生到扩展源码分析及使用
目录
一、Flask 原生Session机制之会话的创建与恢复源码分析
-
会话管理简述:
Flask会话管理的核心是Session机制,它将用户状态信息加密签名后通过Cookie存储在客户端。即:基于Cookie的客户端加密存储 -
签名的实现:依赖
SECRET_KEY完成签名防止篡改 -
过程描述:当请求到来,会从cookie中获取
session会话信息,如果没有会话信息则新创建一个会话,如果有的话就将这个加密签名的session进行签名验证然后进行解密和反序列化还原出Session对象。请求结束时将session转换为一个字典进行序列化进行签名加密,最终将处理后的会话数据通过 Cookie 保存在客户端 -
源码分析:
- 请求到来
def wsgi_app( self, environ: WSGIEnvironment, start_response: StartResponse ) -> cabc.Iterable[bytes]: """ 1.1 ctx = self.request_context(environ) 创建请求上下文,且将请求环境数据environ传入 即 ctx = RequestContext(environ) 通过1.2/1.3处理 ctx有了request/session等属性 """ ctx = self.request_context(environ) try: try: """ 2.ctx.push() 使用RequestContext类的push()方法 通过2.1/2.2的系列操作完成了将当前上下文设置为活跃的上下文和将ctx中的session最终设置为 session_class()即SecureCookieSession类的实例对象,使其不在为None而是像字典一样进行会话数据的设置操作 """ ctx.push() """ 进行全局钩子执行,路由匹配,视图函数执行,保存Session会话信息等操作 """ response = self.full_dispatch_request() ... ctx.pop(error)RequestContext类
class RequestContext: def __init__( self, app: Flask, environ: WSGIEnvironment, request: Request | None = None, session: SessionMixin | None = None, ) -> None: self.app = app """ 1.2 通过1.1操作可见中未传入request则默认request = None,执行request = app.request_class(environ) 调用app.request_class()方法并将environ传入 即 request = Request(environ) 相当于实例化Request类将WSGI服务器中给WSGI应用程序的environ封装到RequestContext类实例对象ctx的 request属性中 则ctx的request属性中有了请求相关的数据 """ if request is None: request = app.request_class(environ) self.request: Request = request """ 1.3 同理可见实例化时未设置session的值,此时session为None,则ctx有了session属性只不过现在为None """ self.session: SessionMixin | None = session ... def push(self) -> None: """ 2.1 设置当前上下文为活跃的上下文操作 """ ... """ 2.2 上述省略操作完成后: if self.session is None 通过1.3操作 可见session为None session_interface = self.app.session_interface 让session_interface等于app的session_interface属性,其属性为一个类的实例对象 即session_interface 为 SecureCookieSessionInterface类的实例对象 self.session = session_interface.open_session(self.app, self.request) 此时给session进行从Cookie中获取相关信息 """ if self.session is None: session_interface = self.app.session_interface """ 通过2.2.2操作 根据cookie中是否会话信息有来进行判断重新创建一个会话还是用之前的会话, 若之前cookie中有会话信息,2.2.2操作可见序列化器s对之前序列化的session数据进行了反序列化,以保证数据可以被使 用 但无论什么情况session最终是SecureCookieSession类的实例对象,而这个类最终通过层层继承,继承了字典使session 可以像字典一样进行使用 所以不论cookie中是否有会话信息来判断是否创建新会话还是用之前的会话,2.2.2操作最终保证了session能像字典一样 进行数据的操作设置。而且session是SecureCookieSession类的实例对象 """ self.session = session_interface.open_session(self.app, self.request) """ 由2.2.1决定是否进入,如果进入则表示2.2.1操作时 调用session_interface即SecureCookieSessionInterface类的get_signing_serializer()方法获取s时检查到 app.secret_key没有进行设置,导致session为None,从而进入下面的if条件快 然后继续调用session_interface的make_null_session,实际上是SecureCookieSessionInterface类继承了 SessionInterface类的make_null_session方法,而这个方法返回一个null_session_class()对象,而 null_session_class = NullSession为NullSession类 所以如果检查到没有配置secret_key则,此时session为NullSession类的实例对象(会话不可用,但允许只读空会话,可 是对会话进行设置则报错) 而这个对象,一旦对session进行操作则进行报错 """ if self.session is None: self.session = session_interface.make_null_session(self.app)SecureCookieSessionInterface类
class SecureCookieSessionInterface(SessionInterface): salt = "cookie-session" digest_method = staticmethod(_lazy_sha1) key_derivation = "hmac" serializer = session_json_serializer session_class = SecureCookieSession def get_signing_serializer(self, app: Flask) -> URLSafeTimedSerializer | None: if not app.secret_key: """ 和open_session方法中 s = self.get_signing_serializer(app) if s is None: return None 配合 """ return None keys: list[str | bytes] = [] if fallbacks := app.config["SECRET_KEY_FALLBACKS"]: keys.extend(fallbacks) keys.append(app.secret_key) return URLSafeTimedSerializer( keys, salt=self.salt, serializer=self.serializer, signer_kwargs={ "key_derivation": self.key_derivation, "digest_method": self.digest_method, }, ) def open_session(self, app: Flask, request: Request) -> SecureCookieSession | None: """ 2.2.1 通过s = self.get_signing_serializer(app)判断是否要进入2.2操作中的分支,即: if self.session is None: self.session = session_interface.make_null_session(self.app) 即此操作是检查序列化器s能否被正常使用,即检查有没有配置secret_key,以保证后续操作可以正常进行 """ s = self.get_signing_serializer(app) if s is None: return None """ 2.2.2 如果上面操作中if分支为进入,即表示调用get_signing_serializer()方法得到了URLSafeTimedSerializer 类的实例对象,即s val = request.cookies.get(self.get_cookie_name(app)) 表示通过1.2操作中完成了的request封装了请求相关的数据中获取cookie的信息从中查找会话数据 if not val: return self.session_class() 表示如果从cookie中获取的会话数据为空则返回一个新会话给2.2中的session,即表示为第一次访问 则2.2中session为session_class(),而session_class = SecureCookieSession即表示session为 SecureCookieSession类的实例对象 而这个类继承CallbackDict类,然而这个个类又继承字典,则表示session可以像字典一样使用来设置信息 """ val = request.cookies.get(self.get_cookie_name(app)) if not val: return self.session_class() """ 设置会话过期时间 """ max_age = int(app.permanent_session_lifetime.total_seconds()) """ data = s.loads(val, max_age=max_age) 如果从获取到了会话信息,即表示不是首次访问,则使用序列化器s的loads方法将会话信息进行反序列化,即将之前保存的序 列化后的session的数据进行反序列化,并且验证会话是否过期,成功然后则实例化一个SecureCookieSession对象且将 反序列化后的数据赋值给其属性,最后将这个SecureCookieSession实例化对象返回给到2.2中的session 失败则创建一个新会话 """ try: data = s.loads(val, max_age=max_age) return self.session_class(data) except BadSignature: return self.session_class() def save_session( self, app: Flask, session: SessionMixin, response: Response ) -> None: name = self.get_cookie_name(app) domain = self.get_cookie_domain(app) path = self.get_cookie_path(app) secure = self.get_cookie_secure(app) partitioned = self.get_cookie_partitioned(app) samesite = self.get_cookie_samesite(app) httponly = self.get_cookie_httponly(app) if session.accessed: response.vary.add("Cookie") if not session: if session.modified: response.delete_cookie( name, domain=domain, path=path, secure=secure, partitioned=partitioned, samesite=samesite, httponly=httponly, ) response.vary.add("Cookie") return if not self.should_set_cookie(app, session): """ 判断会话是否需要保存 """ return """ expires = self.get_expiration_time(app, session) 延长会话的有效期 val = self.get_signing_serializer(app).dumps(dict(session)) 获取序列化器并且将session转换为真正的字典进行序列化 response.set_cookie 将response中的cookie设置会话信息,会话有效期等一些相关信息 """ expires = self.get_expiration_time(app, session) val = self.get_signing_serializer(app).dumps(dict(session)) # type: ignore[union-attr] response.set_cookie( name, val, expires=expires, httponly=httponly, domain=domain, path=path, secure=secure, partitioned=partitioned, samesite=samesite, ) response.vary.add("Cookie")NullSession类
#类用于在会话不可用时生成更漂亮的错误信息。仍然允许只读空会话,但设置失败。 class NullSession(SecureCookieSession): """ 2.2.1 步骤成立即没有配置secret_key,则2.2操作步骤中session为None进入嵌套的if条件快 然后调用SecureCookieSessionInterface类继承的SessionInterface类的make_null_session()方法,返回一个 null_session_class()实例对象而这个对象属于 NullSession类 即:当没有配置secret_key时session为NullSession类的实例对象,而不是SecureCookieSession类的实例对象 即这个类表示不可用会话,没有配置secret_key时session就是这个类的实例话对象 """ def _fail(self, *args: t.Any, **kwargs: t.Any) -> t.NoReturn: raise RuntimeError( "The session is unavailable because no secret " "key was set. Set the secret_key on the " "application to something unique and secret." ) """ 由于这个也继承SecureCookieSession,然后层层导致这个个也可以像字典一样使用 而下面代码表示当这个类的实例化对象,像字典一样使用后则调用上面的函数进行报错 则表示这个NullSession类实例化对象session为只读会话,而当其进行数据操作时进行报错 """ __setitem__ = __delitem__ = clear = pop = popitem = update = setdefault = _fail # noqa: B950 del _fail
二、原生Session机制之会话的保存与延长会话有效期源码分析及依赖配置
-
预备知识:
Vary头:- 是HTTP响应头中的重要字段,用于告知缓存服务器(如浏览器),同一
URL的响应内容可能应请求头的不同而不同。确保不同请求能拿到相应的响应数据,避免数据的混乱 Vary: Cookie头,告知缓存服务器,同一URL的响应内容会因请求头里面的Cookie不同而变化
- 是HTTP响应头中的重要字段,用于告知缓存服务器(如浏览器),同一
modified: 保存permanent:永久PERMANENT_SESSION_LIFETIME = timedelta(days=31)默认有效期为31天SESSION_REFRESH_EACH_REQUEST = True与会话能否保存和有效期刷新相关
-
源码分析
SecureCookieSession类
#如果session不是 不可用会话,即不是NullSession类实例化对象。则sessin即是该类的实例化对象 class SecureCookieSession(CallbackDict[str, t.Any], SessionMixin): #默认为Fasle,其用来决定会话数据是否需要被序列化并存储到Cookie中 modified = False #默认为Fasle,其用来决定是否需要添加Vary: Cookie头以确保缓存安全 accessed = False def __init__( self, initial: c.Mapping[str, t.Any] | c.Iterable[tuple[str, t.Any]] | None = None, ) -> None: """ ** 如果会话字典(伪字典)中,包含嵌套字典或者其他可变类型,直接修改这些嵌套对象不会触发该方法 即:修改会话字典中嵌套的复杂数据结构(如字典、列表、自定义对象等)的内部内容,而不是直接替换整个嵌套对象 不会触发该方法 ** 只读操作,只读取会话数据((如session.get('key')或session['key']))也不会触发该方法,只会设置 accessed = True """ def on_update(self: te.Self) -> None: self.modified = True self.accessed = True super().__init__(initial, on_update) #下面表示session如果使用了这些方法进行操作时,即表示会话被访问 def __getitem__(self, key: str) -> t.Any: self.accessed = True return super().__getitem__(key) def get(self, key: str, default: t.Any = None) -> t.Any: self.accessed = True return super().get(key, default) def setdefault(self, key: str, default: t.Any = None) -> t.Any: self.accessed = True return super().setdefault(key, default)process_response类
def process_response(self, response: Response) -> Response: #再此之前视图函数执行完成且返回了响应对象 ctx = request_ctx._get_current_object() """ 执行所有after_request 钩子 """ for func in ctx._after_request_functions: response = self.ensure_sync(func)(response) for name in chain(request.blueprints, (None,)): if name in self.after_request_funcs: for func in reversed(self.after_request_funcs[name]): response = self.ensure_sync(func)(response) """ 钩子执行完后 1. if not self.session_interface.is_null_session(ctx.session) 调用session_interface的is_null_session方法,实际是SecureCookieSessionInterface类 继承的SessionInterface类的is_null_session方法 即判断session会话是否不是只读会话,即判断sesion是不是NullSession类的实例对象 """ if not self.session_interface.is_null_session(ctx.session): """ 2. 如果session不是NullSession类的实例对象,即session不是只渎空会话 即其是SecureCookieSession类的实例对象,然后执行session_interface实例的save_session方法, 进行session的保存 """ self.session_interface.save_session(self, ctx.session, response) """ 通过上述操作将response对象中的cookie得到有最新的会话相关数据, 后续则将进行把响应发送给客户端 """ return responseSessionInterface类
class SessionInterface: null_session_class = NullSession pickle_based = False def make_null_session(self, app: Flask) -> NullSession: """ 创建或恢复会话时,检查到没有配置secret_key后,调用此方法将session设置为只读空会话,即NullSession的实例化对象 """ return self.null_session_class() def is_null_session(self, obj: object) -> bool: """ 1.1 1. 中调用了该方法,其用来判断session是不是NullSession的实例化对象,最终决定1.中是否要进行if块内部代码是否 执行 """ return isinstance(obj, self.null_session_class) def get_expiration_time(self, app: Flask, session: SessionMixin) -> datetime | None: #既然来到这个方法则表明重新设置cookie是肯定的,而有效期是否刷新则要看里面的if session.permanent是否成立 """ if session.permanent 如果设置了永久会话的配置,则有效期要刷新 现在的时间+有效期时间 return datetime.now(timezone.utc) + app.permanent_session_lifetime """ if session.permanent: return datetime.now(timezone.utc) + app.permanent_session_lifetime """ session.permanent = False 表示为临时会话,浏览器关闭则下次访问得进行验证。没有有效期一说 """ return None def should_set_cookie(self, app: Flask, session: SessionMixin) -> bool: #决定是否重新设置Cookie以刷新有效期 """ 2.3.1 情况一: 如果session.modified为True了,不用看后面条件,表示会话相关数据进行了重新赋值,则2.3中不直接return 继续后面操作进行,要进行保存 情况二: 如果会话数据没有进行重新赋值,且开了永久会话和会话要进行刷新的配置,则2.3中不直接return 继续后面操作进行,要进行保存 """ return session.modified or ( session.permanent and app.config["SESSION_REFRESH_EACH_REQUEST"] )SecureCookieSessionInterface类
class SecureCookieSessionInterface(SessionInterface): def save_session( self, app: Flask, session: SessionMixin, response: Response ) -> None: #获取Cookie配置 name = self.get_cookie_name(app) domain = self.get_cookie_domain(app) path = self.get_cookie_path(app) secure = self.get_cookie_secure(app) partitioned = self.get_cookie_partitioned(app) samesite = self.get_cookie_samesite(app) httponly = self.get_cookie_httponly(app) """ 2.1 如果会话被访问,添加vary头:vary:Cookie,告诉缓存服务器,响应内容会因请求头里面的cookie不同而变化 """ if session.accessed: response.vary.add("Cookie") """ 2.2 if not session if session.modified 如果会话数据为空,而且这个空会话是因为进行操作造成的, 表明这个空会话是将原有会话数据进行清空了, response.delete_cookie() 将客户端中cookie中保存的数据进行删除, 因为原来session有数据,而此时没有数据,表示操作者不想要客户端原有的数据了且不想再存新数据 response.vary.add("Cookie") 添加vary头,告诉缓存服务器,响应内容会因请求头里面的cookie不同而变化,确保不同请求拿到相应的 数据 return 表明,如果会话数据为空,而且这个空会话不是因为进行操作造成的,直接return 不进行无意义的保存。 这针对于,之前创建的新会话而会话没有进行数据的设置,依然为空则不用保存在cookie中直接return """ if not session: if session.modified: response.delete_cookie( name, domain=domain, path=path, secure=secure, partitioned=partitioned, samesite=samesite, httponly=httponly, ) response.vary.add("Cookie") return """ 2.3 if not self.should_set_cookie(app, session) 判断是否重新设置Cookie以刷新有效期 如果2.3.1中是返回return,不论是情况一还是情况二成立均表明重新设置cookie是肯定的, 而是否要刷新有效期则看下面代码调用的get_expiration_time方法 """ if not self.should_set_cookie(app, session): return """ 2.4 expires = self.get_expiration_time(app, session) 进行会话是否能够延长有效期判断并延长有效期计算 """ expires = self.get_expiration_time(app, session) """ 2.5 将session转换成真正的字典,用签名序列化器进行序列化 """ val = self.get_signing_serializer(app).dumps(dict(session)) """ 2.6 将cookie中获取的配置、session中保存的数据、会话有效期时间等放到cookie中, 添加响应头vary字段设置为cookie,告诉缓存服务器,响应的内容随请求头中cookie的不同而不同,确保同一URL下的不同请求 能获取对应的响应,确保客户端的cookie能够得到最新的数据以便下一次的会话正常进行 """ response.set_cookie( name, val, expires=expires, httponly=httponly, domain=domain, path=path, secure=secure, partitioned=partitioned, samesite=samesite, ) response.vary.add("Cookie") -
会话保存与有效期延期依赖配置
通过上面源码可知:
-
会话是否要保存取决于
SessionInterface类的should_set_cookie方法- 如果
session.modified = True则会话数据会进行保存- 由于
session是SecuresCookieSession的实例化对象而其中类属性session.modified默认为False session.modified = True触发条件- 会话字典中嵌套的复杂数据结构(如字典、列表、自定义对象等)修改其复杂数据结构的内部内容,而不是直接替换整个嵌套对象不会触发
SessionInterface类的on_update方法,即不会触发将其改为True - 只访问会话字典的数据时,也不会触上述该方法。只会将
accessed改为True
- 会话字典中嵌套的复杂数据结构(如字典、列表、自定义对象等)修改其复杂数据结构的内部内容,而不是直接替换整个嵌套对象不会触发
- 由于
- 如果不为
True则须看session.permanent = True和app.config["SESSION_REFRESH_EACH_REQUEST"] = True是否同时成立,一般源码中默认app.config["SESSION_REFRESH_EACH_REQUEST"] = True,而默认session.permanent = False
- 如果
-
会话有效长能否延期取决于
会话是否要保存和SecureCookieSessionInterface类继承的SessionInterface类的get_expiration_time方法- 如果
session.permanent = True则刷新会话有效期
- 如果
-
总结:
通过上述可知,会话有效期能否进行刷新首先取决于会话保存与否,再取决于
session.permanent-
会话保存与否依赖(两种情况能够进行保存):
session.modifiedsession.permanentandapp.config["SESSION_REFRESH_EACH_REQUEST"]
-
会话能否进行有效期刷新依赖(两种情况可进行会话有效期刷新):
-
session.permanent = Trueandsession.modified = Trueapp.config["SESSION_REFRESH_EACH_REQUEST"]任意值 -
session.permanent = Trueandapp.config["SESSION_REFRESH_EACH_REQUEST"] = Truesession.modified任意值 -
即:
session.permanent = Trueandsession.modified = Trueorapp.config["SESSION_REFRESH_EACH_REQUEST"] = True
-
-
-
三、flask-session扩展使用
-
用途:将原生保存在
Cookie中的session,保存在redis或memcached等指定的地方 -
使用分析:由上述源码可见,原生
session保存在Cookie中一切源于:session_interface = self.app.session_interface即:session_interface = SecureCookieSessionInterface -
使用方法(Redis):与保存在
Cookie不同,redis中默认session.permanent = True,其他大体一致- 源码内容:
class Session: def __init__(self, app=None): self.app = app if app is not None: self.init_app(app) def init_app(self, app): app.session_interface = self._get_interface(app) def _get_interface(self, app): config = app.config SESSION_TYPE = config.get("SESSION_TYPE", Defaults.SESSION_TYPE) ... # Redis settings SESSION_REDIS = config.get("SESSION_REDIS", Defaults.SESSION_REDIS) if SESSION_TYPE == "redis": from .redis import RedisSessionInterface session_interface = RedisSessionInterface( **common_params, client=SESSION_REDIS, ) elif: ... ... return session_interface- 方法:
from flask import Flask, session from flask_session import Session import redis app = Flask(__name__) # 1. 配置Redis连接 app.config['SESSION_TYPE'] = 'redis' # 指定Session存储类型为Redis app.config['SESSION_REDIS'] = redis.Redis( host='127.0.0.1', # Redis服务器地址 port=6379, # Redis端口 # password='xxx', # 若Redis有密码则添加 db=0 # 使用第0个数据库 ) # 2. 可选配置(按需加) app.config['SECRET_KEY'] = 'your_secret_key_here' # 必须设置,用于Session加密 app.config['SESSION_PERMANENT'] = True # Session是否持久化(默认True,关闭则设为False) app.config['PERMANENT_SESSION_LIFETIME'] = 3600 # 持久化Session的有效期(秒,默认31天) app.config['SESSION_USE_SIGNER'] = True # 是否对SessionID签名(防止篡改,建议开启) # 3. 初始化Session Session(app)
浙公网安备 33010602011771号