session 对象允许我们在不同请求间存储特定用户的信息,并且它是在 Cookies 的基础上实现的,而且对 Cookies 进行密钥签名。这意味着用户可以查看我们 Cookie 的内容,但却不能修改它,除非用户知道签名的密钥。
我们如果要使用会话(session),就需要设置一个密钥。来看下会话(session)是如何工作的:
from flask import Flask, session, redirect, url_for, escape, request
app = Flask(__name__)
@app.route('/')
def index():
if 'username' in session:
return 'Logged in as %s' % escape(session['username'])
return 'You are not logged in'
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'POST':
session['username'] = request.form['username']
return redirect(url_for('index'))
return '''
<form action="" method="post">
<p><input type=text name=username>
<p><input type=submit value=Login>
</form>
'''
@app.route('/logout')
def logout():
# remove the username from the session if it's there
session.pop('username', None)
return redirect(url_for('index'))
# set the secret key. keep this really secret:
app.secret_key = 'A0Zr98j/3yX R~XHH!jmN]LWX/,?RT'
上述代码提到的 escape() 可以在我们模板引擎外做转义 。
既然用到了这个所谓的密匙,那么,使它更加强壮,就是我们目前应该考虑的事情。答案很简单,就是随机数。
不过,随机的问题在于很难判断什么是真随机,我们来看下面的代码:
>>> import os
>>> os.urandom(24)
'\xfd{H\xe5<\x95\xf9\xe3\x96.5\xd1\x01O<!\xd5\xa2\xa0\x9fR"\xa1\xa8'
把上述代码中产生的值复制粘贴进我们的代码中,我们就有了密钥 。
不过,使用基于 cookie 的会话(session)需注意,Flask 会将你放进会话对象的值序列化至 Cookies。如果我们发现某些值在请求之间并没有持久存在,然而确实已经启用了 Cookies,但也没有得到明确的错误信息。这时,请检查我们的页面响应中的 Cookies 的大小,并与 Web 浏览器所支持的大小对比。
好啦,本次记录就到这里了。
如果感觉不错的话,请多多点赞支持哦。。。