Pengesahan dan Keizinan dalam Django: sesi Django

Pengenalan kepada Django Sessions

Dalam aplikasi web moden, mengekalkan keadaan pengguna merentas pelbagai permintaan adalah penting untuk mencipta pengalaman yang diperibadikan. Django memudahkan perkara ini dengan rangka kerja sesi terbina dalamnya, membolehkan pembangun mengurus data pengguna dengan selamat dan cekap.

Sesi terbina dalam dalam Django bertanggungjawab untuk mengurus data pengguna melalui berbilang permintaan. Apabila pengguna log masuk ke aplikasi Django, pelayan mencipta ID sesi, biasanya disimpan dalam kuki pada penyemak imbas pelanggan. ID sesi ini berfungsi sebagai kunci untuk mendapatkan semula data yang disimpan pada pelayan dan memautkan permintaan kepada pengguna tertentu. Itulah sebabnya status pengesahan akan kekal di seluruh halaman yang berbeza.

---

Menggunakan Session Middleware dalam Django

Perisian tengah sesi Django mengautomasikan pengurusan sesi. Ia memproses permintaan masuk untuk mendapatkan semula data sesi dan menyediakan respons keluar untuk mengemas kini atau menetapkan kuki sesi. Untuk menyemak sama ada perisian tengah sesi didayakan, lihat dalam fail settings.py anda di bawah bahagian MIDDLEWARE:

# settings.py
MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    # Other middleware
]

---

Jenis Storan Sesi dalam Django

Kami mempunyai beberapa pilihan untuk menyimpan data sesi. Bergantung pada aplikasi yang ingin anda bina, masing-masing mempunyai kelebihan dan kekurangan.

1. Sesi bersandarkan pangkalan data

Analogi: Bayangkan teater mempunyai bilik simpanan yang selamat dengan loker di mana semua kot disimpan. Setiap loker diberikan nombor unik yang sepadan dengan nombor pada tiket anda. Apabila anda kembali dengan tiket anda, atendan mencari nombor loker dalam buku log dan mengambil kot anda.

Sesi bersandarkan pangkalan data menyimpan data sesi pada pelayan pangkalan data. Jadi maklumat sensitif seperti pilihan pengguna, status log masuk dan butiran troli kekal disimpan dengan selamat di bahagian belakang. Sesi jenis ini mungkin lebih selamat tetapi menyebabkan sedikit kesulitan apabila melibatkan proses menulis dan membaca. Sesi bersandarkan pangkalan data adalah lebih perlahan berbanding dengan sesi bersandarkan cache, jadi jika anda membina aplikasi dengan trafik tinggi maka anda harus berfikir semula. Menyimpan sesi dalam pangkalan data boleh meningkatkan beban pada pangkalan data, memberi kesan kepada prestasi keseluruhan jika tidak diurus dengan baik.

Jika anda ingin menggunakan sesi yang disokong pangkalan data, anda perlu menambahkan django.contrib.sessions pada tetapan INSTALLED_APPS anda. Sila pastikan untuk menjalankan manage.py migrate untuk memasang jadual pangkalan data tunggal yang menyimpan data sesi.

2. Sesi berasaskan fail

Analogi: Dalam kes ini, setiap kot disimpan dalam loker berlabel yang berbeza di dalam bilik besar di bahagian belakang teater. Setiap loker mempunyai tag atau fail unik dengan butiran kot dan apabila anda membentangkan tiket anda, atendan pergi ke bilik persalinan, mencari tag yang sepadan dan mengambil kot anda.

Sesi berasaskan fail menggunakan sistem fail pelayan untuk menyimpan data sesi. Ini bermakna setiap sesi pengguna disimpan dalam fail berasingan pada pelayan. Secara lalai, Django menyimpan fail sesi dalam direktori django_session di bawah /tmp (pada sistem berasaskan Unix) atau dalam direktori yang ditentukan dalam tetapan Django.

Untuk mendayakan sesi berasaskan fail, tetapkan SESSION_ENGINE kepada django.contrib.sessions.backends.file dalam fail settings.py anda.

# settings.py
MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    # Other middleware
]

3. Sesi bersandarkan cache

Analogi: Di sini, teater menggunakan rak kot sementara berhampiran pintu masuk, tempat kot disimpan sebentar sahaja. Ini menjadikannya sangat cepat untuk mengambil kot, tetapi jika rak menjadi penuh, kot tertua mungkin dialihkan ke storan kedua atau dialih keluar sepenuhnya.

Storan sesi jenis ini ialah tempat sistem caching (seperti Memcached atau Redis) menyimpan data sesi. Menyimpan sesi cache dalam memori akan membantu aplikasi dengan trafik yang tinggi atau memerlukan masa respons yang cepat kerana proses menulis atau membaca sangat pantas.

Untuk menggunakan sesi bersandarkan cache, konfigurasikan tetapan SESSION_ENGINE dalam fail settings.py anda. Anda juga mesti mengkonfigurasi cache bergantung pada memori cache yang anda gunakan.

# settings.py
SESSION_ENGINE = 'django.contrib.sessions.backends.file'  # Use file-based session storage
SESSION_FILE_PATH = '/path/to/session/files/'  # Specify a directory for session files (optional)

Sebagai alternatif, anda boleh menggunakan django.contrib.sessions.backends.cached_db yang menyimpan data sesi dalam kedua-dua cache dan pangkalan data, kembali ke pangkalan data jika cache tidak tersedia.

Kelebihan terbaik menggunakan sesi jenis ini ialah kebolehskalaan dan kelajuan. Sesi bersandarkan cache bukan sahaja pantas kerana menyimpan data dalam memori tetapi juga mengurangkan beban pada sesi pangkalan data Data boleh dikongsi merentas pelayan menjadikan persediaan berbilang pelayan mungkin.

4. Sesi kuki yang ditandatangani

Analogi: Di sini, daripada menyimpan kot anda dalam simpanan, teater membenarkan anda membawanya ke mana-mana tetapi memerlukan anda mempunyai cop khas pada tiket yang mengesahkan bahawa kot itu adalah kot anda. Anda membawa kot (data sesi) bersama anda, dan setiap kali anda memasuki teater, atendan menyemak setem pada tiket untuk memastikan ia tidak diusik.

Sesi kuki yang ditandatangani dalam Django menyimpan data sesi terus pada penyemak imbas pelanggan dalam kuki yang ditandatangani dan disulitkan, dan bukannya menyimpannya di bahagian pelayan (pangkalan data atau cache).

Untuk mendayakan sesi kuki yang ditandatangani, tetapkan SESSION_ENGINE dalam fail settings.py Django untuk menggunakan bahagian belakang kuki yang ditandatangani:

# settings.py
MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    # Other middleware
]

Sesi Kuki yang Ditandatangani ini mengurangkan beban pelayan dan membebaskan sumber pelayan. Tetapi, dengan had saiz Kuki (sekitar 4 KB), sesi kuki yang ditandatangani tidak sesuai untuk menyimpan sejumlah besar data sesi. Saiz kuki yang lebih besar boleh menyebabkan permintaan yang lebih perlahan, kerana data kuki dihantar dengan setiap permintaan.

---

Tetapan Konfigurasi Sesi

Django menawarkan beberapa tetapan untuk mengkonfigurasi tingkah laku sesi:

• SESSION_COOKIE_AGE: Menetapkan masa tamat sesi (dalam saat).

• SESSION_COOKIE_SECURE: Memerlukan sesi untuk dihantar melalui HTTPS.

• SESSION_EXPIRE_AT_BROWSER_CLOSE: Menamatkan sesi apabila penyemak imbas ditutup.

• SESSION_COOKIE_HTTPONLY: Mengehadkan akses JavaScript kepada kuki sesi, meningkatkan keselamatan.

Tetapan ini membantu menyesuaikan gelagat sesi kepada keperluan aplikasi tertentu. Untuk lebih lanjut tentang konfigurasi sesi sila baca dokumentasi Django.

---

Melaksanakan Sesi dalam Django Views

Untuk berinteraksi dengan sesi dalam paparan Django, gunakan objek request.session, yang berkelakuan seperti kamus. Berikut ialah beberapa operasi asas:

Menyimpan data:

# settings.py
SESSION_ENGINE = 'django.contrib.sessions.backends.file'  # Use file-based session storage
SESSION_FILE_PATH = '/path/to/session/files/'  # Specify a directory for session files (optional)

Mendapatkan semula data:

# settings.py
SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # For caching session storage
SESSION_CACHE_ALIAS = 'default'  # Specify the cache alias if needed (e.g., 'redis' or 'memcached')

# Cache configuration (example with Redis)
CACHES = {
    'default': {
        'BACKEND': 'django_redis.cache.RedisCache',
        'LOCATION': 'redis://127.0.0.1:6379/1',  # Redis URL
        'OPTIONS': {
            'CLIENT_CLASS': 'django_redis.client.DefaultClient',
        }
    }
}

Memadamkan data:

# settings.py
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'
SECRET_KEY = 'your-secret-key'  # Make sure this key is kept secure and unique for your app

Kegunaan biasa untuk sesi adalah untuk menjejak status log masuk pengguna. Begini cara untuk melaksanakan sistem log masuk mudah menggunakan sesi:

request.session['username'] = 'Harry Potter'

Masih terdapat banyak kaedah untuk sesi dalam paparan Django. Untuk senarai lengkap, sila semak dokumentasi Django.

---

Amalan Terbaik Sesi

Django memadamkan sesi tamat tempoh secara berkala. Anda boleh menyesuaikan kekerapan dengan mengkonfigurasi proses pembersihan sesi atau menjalankan arahan pengurusan seperti Django-admin clearsessions.

Elakkan menyimpan sejumlah besar data dalam sesi, kerana ini boleh meningkatkan beban pelayan dan masa tindak balas yang perlahan. Akhir sekali dayakan kuki selamat, HttpOnly dan tetapan HTTPS untuk melindungi data sesi.

---

Kesimpulan

Rangka kerja sesi Django berkuasa, fleksibel dan selamat, menjadikannya mudah untuk melaksanakan pengurusan sesi dalam aplikasi web anda. Dengan konfigurasi yang betul dan amalan selamat, anda boleh memanfaatkan sesi Django untuk mencipta pengalaman pengguna yang cekap dan diperibadikan sambil mengekalkan keselamatan yang teguh.

Atas ialah kandungan terperinci Pengesahan dan Keizinan dalam Django: sesi Django. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!