在web开发的时候因为我们经常需要用到cookie来识别和保存用户状态,但是cookie又不是很安全,很多信息直接明文就暴露了,这个时候session就派上用场了,而python web框架tornado就没有自带的session功能,这个时候我自己手撸一个出来,其实了解session的原理的话还是很好写的。
什么是session?
我们知道因为http连接是无状态的,客户端连接服务器请求完数据后便断开连接,下一次连接的时候服务器端便不知道你是谁,那么服务器要通过怎样知道你是谁呢,这个时候就需要cookie了,cookie等于是一个身份令牌,当你来请求服务器端的时候,服务器端会给客户端发一个令牌,而客户端下一次访问的时候,就可以带着这个令牌来访问服务端。这就是cookie的原理。打个比方当你通过账户密码登陆网站的时候,服务端就会往你的cookie里面写入,is_login=true, user_id=1这种方式来记录用户已经登陆。当你带着这个 cookie去访问服务端的时候,服务端就知道你已经登陆了,并且你是用户1。但是这种方式太简单粗暴了,不太安全。我们应该保证这类令牌是随机的不可预料性以保证其最基本的安全。
了解cookie原理后再来看session原理,既然session可以解决安全等问题,他是如何做到呢?既然cookie将一些敏感数据简单粗暴的存储在客户端这样不安全,那session就是将数据存储在服务器端以便每次认证,并每次都会更新。
照着这个思路我们来看看代码部分
这里假设你已经完成了登陆功能,并创建了用户表。
首先在用户模型中添加一个字段(我的tornado项目用的model模块是peewee)
sessions = peewee.CharField(db_column="sessions")
看看登陆是怎么处理的
# 假设前面完成用户账户密码认证并获取到用户对象member_obj(从用户表中获取到的用户对象)
# 生成10位的随机字符串
sess_key = ''.join(
random.choice(string.ascii_lowercase + string.digits) \
for i in range(10)
)
# 将其保存到字典中
session = {"id": sess_key, "time": int(time.time())}
try:
# 从用户表中读取存入的json数据并将其从json转为列表
sessions = json.loads(member_obj.sessions)
except:
sessions = list()
if not isinstance(sessions, list):
sessions = list()
# 将当前生成session key字典加入sessions list
# 限制session list长度为5
sessions.append(session)
if len(sessions) > 5:
sessions = sessions[-5:]
将session list转为json存入用户表中的session列中
member_obj.sessions = json.dumps(sessions)
member_obj.save()
# 将其写入cookie中,以便从cookie中获取数据后对其进行认证(这里其实暴露了member_id你可以对cookie value二次加密,我偷懒就没弄)
self.set_cookie(self.settings["cookie_key_sess"],
str(member_obj.member_id)+":"+sess_key
)
然后我们可以对tornado的 RequestHandler的get_current_user进行重写(这是tornado预留的钩子函数,用户用户认证,详细可以看官方文档)
def get_current_user(self):
cookie_data = self.get_cookie(self.settings["cookie_key_sess"])
if not cookie_data:
return None
try:
telephone, session_id = cookie_data.split(":")
except:
return None
#这个是我自己写的Member model下的classmethod
member = Member.get_user_by_sess(member_id, session_id)
return member
#Member model下的classmethod
@classmethod
def get_user_by_sess(cls, member_id, session_id):
member = None
sessions = None
try:
member = cls.get(
(cls.member_id == member_id) & (cls.status == 'normal') #status是用户状态,判断是否被注销
)
sessions = json.loads(member.sessions)
except:
return None
if not member or not sessions or not isinstance(sessions, list):
return None
for session in sessions: #判断用户携带过来的session数据是否有效,有效返回member对象
if isinstance(session, dict) and session.get("id") \
and session["id"] == session_id:
return member
return None
转载于:https://my.oschina.net/u/3640109/blog/3031000
发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/101008.html原文链接:https://javaforall.cn
【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛
【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...