你可以用session 框架来存取每个访问者任意数据, 这些数据在服务器端存储,并对cookie的收发进行了抽象。 Cookies只存储数据的哈希会话ID,而不是数据本身,从而避免了大部分的常见cookie问题。

    下面我们来看看如何打开session功能,并在视图中使用它。

    Sessions 功能是通过一个中间件(参见第17章)和一个模型(model)来实现的。 要打开sessions功能,需要以下几步操作:

    • 编辑 配置,确保 MIDDLEWARE_CLASSES 中包含 'django.contrib.sessions.middleware.SessionMiddleware'

    • 确认 INSTALLED_APPS 中有 'django.contrib.sessions' (如果你是刚打开这个应用,别忘了运行 manage.py syncdb )

    如果项目是用 startproject 来创建的,配置文件中都已经安装了这些东西,除非你自己删除,正常情况下,你无需任何设置就可以使用session功能。

    如果不需要session功能,你可以删除 MIDDLEWARE_CLASSES 设置中的 SessionMiddlewareINSTALLED_APPS 设置中的 'django.contrib.sessions' 。虽然这只会节省很少的开销,但积少成多啊。

    在视图中使用Session

    SessionMiddleware 激活后,每个传给视图(view)函数的第一个参数HttpRequest 对象都有一个 session 属性,这是一个字典型的对象。 你可以象用普通字典一样来用它。 例如,在视图(view)中你可以这样用:

    其他的映射方法,如 keys()items()request.session 同样有效:

    下面是一些有效使用Django sessions的简单规则:

    1. request.session['_fav_color'] = 'blue' # Don't do this!
    1. request.session = some_other_object # Don't do this!
    2. request.session.foo = 'bar' # Don't do this!

    下面是一个很简单的站点登录视图(view):

    1. def login(request):
    2.     if request.method != 'POST':
    4.     try:
    5.         m = Member.objects.get(username=request.POST['username'])
    6.         if m.password == request.POST['password']:
    7.             request.session['member_id'] = m.id
    8.             return HttpResponseRedirect('/you-are-logged-in/')
    9.     except Member.DoesNotExist:
    10.         return HttpResponse("Your username and password didn't match.")

    下面的例子将登出一个在上面已通过login() 登录的用户:

    1.     try:
    2.         del request.session['member_id']
    3.     except KeyError:
    4.         pass
    5.     return HttpResponse("You're logged out.")

    注意

    在实践中,这是很烂的用户登录方式,稍后讨论的认证(authentication )框架会帮你以更健壮和有利的方式来处理这些问题。 这些非常简单的例子只是想让你知道这一切是如何工作的。 这些实例尽量简单,这样你可以更容易看到发生了什么

    就像前面提到的,你不能指望所有的浏览器都可以接受cookie。 因此,为了使用方便,Django提供了一个简单的方法来测试用户的浏览器是否接受cookie。 你只需在视图(view)中调用 request.session.set_test_cookie()

    ,并在后续的视图(view)、而不是当前的视图(view)中检查 request.session.test_cookie_worked()

    虽然把 set_test_cookie()test_cookie_worked() 分开的做法看起来有些笨拙,但由于cookie的工作方式,这无可避免。 当设置一个cookie时候,只能等浏览器下次访问的时候,你才能知道浏览器是否接受cookie。

    检查cookie是否可以正常工作后,你得自己用 delete_test_cookie() 来清除它,这是个好习惯。 在你证实了测试cookie已工作了之后这样操作。

    这是个典型例子:

    注意

    在视图(View)外使用Session

    从内部来看,每个session都只是一个普通的Django model(在 django.contrib.sessions.models 中定义)。每个session都由一个随机的32字节哈希串来标识,并存储于cookie中。 因为它是一个标准的模型,所以你可以使用Django数据库API来存取session。

    1. >>> from django.contrib.sessions.models import Session
    2. >>> s = Session.objects.get(pk='2b1189a188b44ad18c35e113ac6ceead')
    3. >>> s.expire_date
    4. datetime.datetime(2005, 8, 20, 13, 35, 12)

    你需要使用get_decoded() 来读取实际的session数据。 这是必需的,因为字典存储为一种特定的编码格式。

    1. >>> s.session_data
    2. 'KGRwMQpTJ19hdXRoX3VzZXJfaWQnCnAyCkkxCnMuMTExY2ZjODI2Yj...'
    3. {'user_id': 42}

    缺省的情况下,Django只会在session发生变化的时候才会存入数据库,比如说,字典赋值或删除。

    你可以设置 SESSION_SAVE_EVERY_REQUESTTrue 来改变这一缺省行为。如果置为True的话,Django会在每次收到请求的时候保存session,即使没发生变化。

    注意,会话cookie只会在创建和修改的时候才会送出。 但如果 SESSION_SAVE_EVERY_REQUEST 设置为 True ,会话cookie在每次请求的时候都会送出。 同时,每次会话cookie送出的时候,其 expires 参数都会更新。

    浏览器关闭即失效会话 vs 持久会话

    你可能注意到了,Google给我们发送的cookie中有 expires=Sun, 17-Jan-2038 19:14:07 GMT; cookie可以有过期时间,这样浏览器就知道什么时候可以删除cookie了。 如果cookie没有设置过期时间,当用户关闭浏览器的时候,cookie就自动过期了。 你可以改变 SESSION_EXPIRE_AT_BROWSER_CLOSE 的设置来控制session框架的这一行为。

    缺省情况下, SESSION_EXPIRE_AT_BROWSER_CLOSE 设置为 False ,这样,会话cookie可以在用户浏览器中保持有效达 SESSION_COOKIE_AGE 秒(缺省设置是两周,即1,209,600 秒)。 如果你不想用户每次打开浏览器都必须重新登陆的话,用这个参数来帮你。

    如果 SESSION_EXPIRE_AT_BROWSER_CLOSE 设置为 True ,当浏览器关闭时,Django会使cookie失效。

    除了上面提到的设置,还有一些其他的设置可以影响Django session框架如何使用cookie,详见表 14-2.

    技术细节

    如果你还是好奇,阅读源代码是最直接办法,详见 django.contrib.sessions