Zi 字媒體

原文：全文約 11700 字，讀完可能需要 18 分鐘。這是 flask 源碼解析系列文章的其中一篇，本系列已發布文章列表：session 簡介在解析 session 的實現之前，我們先介紹一下 session 怎麼使用。session 可以看做是在不同的請求之間保存數據的方法，因為 HTTP 是無狀態的協議，但是在業務應用上我們希望知道不同請求是否是同一個人發起的。比如購物網站在用戶點擊進入購物車的時候，伺服器需要知道是哪個用戶執行了這個操作。from flask import session 導入這個變數，在代碼中就能直接通過讀寫它和 session 交互。from flask importFlask session escape requestapp =Flask(__name__)app.secret_key ='please-generate-a-random-secret_key'@app.route("/")def index: if'username'in session: return'hello, {}n'.format(escape(session['username'])) return'hello, strangern'@app.route("/login" methods=['POST'])def login: session['username']= request.form['username'] return'login success'if __name__ =='__main__': app.run(host='0.0.0.0' port=5000 debug=True)上面這段代碼模擬了一個非常簡單的登陸邏輯，用戶訪問 POST /login 來登陸，後面訪問頁面的時候 GET /，會返回該用戶的名字。我們看一下具體的操作實例（下面的操作都是用 來執行的，使用 curl直接訪問的話，我們可以看到返回 然後我們模擬登陸請求， -v 是列印出請求， -f 是告訴伺服器這是表單數據， \--session=mysession 是把請求的 cookie 等信息保存到這個變數中，後面可以通過變數來指定 session：➜ ~-v -f --session=mysession POST http://127.0.0.1:5000/login username=cizixsPOST /login HTTP/1.1Accept:*/*Accept-Encoding: gzip, deflateContent-Length: 15Content-Type: application/x-www-form-urlencoded; charset=utf-8Host: 127.0.0.1:5000User-Agent: HTTPie/0.8.0username=cizixsHTTP/1.0 200 OKContent-Length: 13Content-Type: text/html; charset=utf-8Date: Wed, 01 Mar 2017 04:20:54 GMTServer: Werkzeug/0.11.2 Python/2.7.10Set-Cookie: session=eyJ1c2VybmFtZSI6ImNpeml4cyJ9.C5fdpg.fqm3FTv0kYE2TuOyGF1mx2RuYQ4; HttpOnly; Path=/login successSet-Cookie 的頭部，cookie 的鍵是 session，值是一堆看起來隨機的字元串。繼續，這個時候我們用 參數把這次的請求帶上保存在 mysession 中的信息，登陸后訪問，可以看到登陸的用戶名：➜ ~-v --session=mysession http://127.0.0.1:5000/GET / HTTP/1.1Accept:*/*Accept-Encoding: gzip, deflateCookie: session=eyJ1c2VybmFtZSI6ImNpeml4cyJ9.C5fevg.LE03yEZDWTUMQW-nNkTr1zBEhKkHost: 127.0.0.1:5000User-Agent: HTTPie/0.8.0HTTP/1.0 200 OKContent-Length: 11Content-Type: text/html; charset=utf-8Date: Wed, 01 Mar 2017 04:25:46 GMTServer: Werkzeug/0.11.2 Python/2.7.10Set-Cookie: session=eyJ1c2VybmFtZSI6ImNpeml4cyJ9.C5feyg.sfFCDIqfef4i8cvxUClUUGQNcHA; HttpOnly; Path=/hellocizixs這次注意在發送的請求中，客戶端帶了 Cookie 頭部，上面的值保存了前一個請求的 response 給我們設置的值。總結一下：session 是通過在客戶端設置 cookie 實現的，每次客戶端發送請求的時候會附帶著所有的 cookie，而裡面保存著一些重要的信息（比如這裡的用戶信息），這樣伺服器端就能知道客戶端的信息，然後根據這些數據做出對應的判斷，就好像不同請求之間是有記憶的。解析我們知道 session 是怎麼回事了，這部分就分析一下 flask 是怎麼實現它的。請求過程不難想象，session 的大致解析過程是這樣的：請求過來的時候，flask 會根據 cookie 信息創建出 session 變數（如果 cookie 不存在，這個變數有可能為空），保存在該請求的上下文中視圖函數可以獲取 session 中的信息，實現自己的邏輯處理flask 會在發送 response 的時候，根據 session 的值，把它寫回到 cookie 中注意：session 和 cookie 的轉化過程中，應該考慮到安全性，不然直接使用偽造的 cookie 會是個很大的安全隱患。在 flask 上下文那篇文章中，我們知道，每次請求過來的時候，我們訪問的 request 和 session變數都是 RequestContext 實例的變數。在 RequestContext.Push它初始化了 session 變數，保存在 RequestContext 上，這樣後面就能直接通過 from flaskimport session 來使用它。如果沒有設置 secret_key 變數， open_session 就會返回 None，這個時候會調用 make_null_session 來生成一個空的 session，這個特殊的 session 不能進行任何讀寫操作，不然會報異常給用戶。我們來看看 在 Flask 中，所有和 session 有關的調用，都是轉發到 self.session_interface 的方法調用上（這樣用戶就能用自定義的 session_interface 來控制 session 的使用）。而默認的 後面遇到 session 有關方法解釋，我們會直接講解 SecureCookieSessionInterface 的代碼實現，跳過中間的這個轉發說明。null_session_class =NullSessiondef make_null_session(self app): return self.null_session_classdef open_session(self app request): # 獲取 session 簽名的演算法 s = self.get_signing_serializer(app) if s isNone: returnNone # 從 cookie 中獲取 session 變數的值 val = request.cookies.get(app.session_cookie_name) ifnot val: return self.session_class # 因為 cookie 的數據需要驗證是否有篡改，所以需要簽名演算法來讀取裡面的值 max_age = total_seconds(app.permanent_session_lifetime) try: data = s.loads(val max_age=max_age) return self.session_class(data) exceptBadSignature: return self.session_classopen_session 根據請求中的 cookie 來獲取對應的 session 對象。之所以有 app 參數，是因為根據 app 中的安全設置（比如簽名演算法、secret_key）對 cookie 進行驗證。這裡有兩點需要特殊說明的：簽名演算法是怎麼工作的？session 對象到底是怎麼定義的？默認的 session 對象是 SecureCookieSession，這個類就是一個基本的字典，外加一些特殊的屬性，比如 permanent（flask 插件會用到這個變數）、 modified（表明實例是否被更新過，如果更新過就要重新計算並設置 cookie，因為計算過程比較貴，所以如果對象沒有被修改，就直接跳過）。classSessionMixin(object): def _get_permanent(self): return self.get('_permanent'False) def _set_permanent(self value): self['_permanent']= bool(value) #: this reflects the ``'_permanent'`` key in the dict. permanent = property(_get_permanent _set_permanent) del _get_permanent _set_permanent modified =TrueclassSecureCookieSession(CallbackDictSessionMixin): """Base class for sessions based on signed cookies.""" def __init__(self initial=None): def on_update(self): self.modified =True CallbackDict.__init__(self initial on_update) self.modified =False怎麼知道實例的數據被更新過呢？ 是基於 werkzeug/datastructures:CallbackDict 實現的，這個類可以指定一個函數作為 on_update 參數，每次有字典操作的時候（ __setitem__、 __delitem__、 clear、 popitem、 update、 pop、 setdefault）會調用這個函數。NOTE： CallbackDict 的實現很巧妙，但是並不複雜，感興趣的可以自己參考代碼。主要思路就是重載字典的一些更新操作，讓它們在做原來事情的同時，額外調用一下實現保存的某個函數。對於開發者來說，可以把 session 簡單地看成字典，所有的操作都是和字典一致的。簽名演算法都獲取 cookie 數據的過程中，最核心的幾句話是：s = self.get_signing_serializer(app)val = request.cookies.get(app.session_cookie_name)data = s.loads(val max_age=max_age)return self.session_class(data)其中兩句都和 s 有關， signing_serializer 保證了 cookie 和 session 的轉換過程中的安全問題。如果 flask 發現請求的 cookie 被篡改了，它會直接放棄使用。我們繼續看 方法：def get_signing_serializer(self app): ifnot app.secret_key: returnNone signer_kwargs = dict( key_derivation=self.key_derivation digest_method=self.digest_method ) returnURLSafeTimedSerializer(app.secret_key salt=self.salt serializer=self.serializer signer_kwargs=signer_kwargs)我們看到這裡需要用到很多參數：secret_key：密鑰。這個是必須的，如果沒有配置 secret_key 就直接使用 session 會報錯salt：為了增強安全性而設置一個 salt 字元串（可以自行搜索「安全加鹽」了解對應的原理）serializer：序列演算法signer_kwargs：其他參數，包括摘要/hash 演算法（默認是 sha1）和 簽名演算法（默認是 hmac）URLSafeTimedSerializeritsdangerous 庫的類，主要用來進行數據驗證，增加網路中數據的安全性。 itsdangerours 提供了多種 Serializer，可以方便地進行類似 json 處理的數據序列化和反序列的操作。至於具體的實現，因為篇幅限制，就不解釋了。應答過程flask 會在請求過來的時候自動解析 cookie 的值，把它變成 session 變數。開發在視圖函數中可以使用它的值，也可以對它進行更新。最後再返回的 response 中，flask 也會自動把 session 寫回到 cookie。我們來看看這部分是怎麼實現的！之前的文章講解了應答的過程，其中 finalize_response 方法在根據視圖函數的返回生成 response 對象之後，會調用 process_response 方法進行處理。 這裡就是 session 在應答中出現的地方，思路也很簡單，如果需要就調用 save_sessoin，把當前上下文中的 session 對象保存到 response 。save_session 的代碼和 open_sessiondef save_session(self app session response): domain = self.get_cookie_domain(app) path = self.get_cookie_path(app) # 如果 session 變成了空字典，flask 會直接刪除對應的 cookie ifnot session: if session.modified: response.delete_cookie(app.session_cookie_name domain=domain path=path) return # 是否需要設置 cookie。如果 session 發生了變化，就一定要更新 cookie，否則用戶可以 `SESSION_REFRESH_EACH_REQUEST` 變數控制是否要設置 cookie ifnot self.should_set_cookie(app session): return= self.get_cookie_httponly(app) secure = self.get_cookie_secure(app) expires = self.get_expiration_time(app session) val = self.get_signing_serializer(app).dumps(dict(session)) response.set_cookie(app.session_cookie_name val expires=expires= domain=domain path=path secure=secure)這段代碼也很容易理解，就是從 app 和 session 變數中獲取所有需要的信息，然後調用 response.set_cookie 設置最後的 cookie。這樣客戶端就能在 cookie 中保存 session 有關的信息，以後訪問的時候再次發送給伺服器端，以此來實現有狀態的交互。解密 session有時候在開發或者調試的過程中，需要了解 cookie 中保存的到底是什麼值，可以通過手動解析它的值。 session 在 cookie 中的值，是一個字元串，由句號分割成三個部分。第一部分是 base64 加密的數據，第二部分是時間戳，第三部分是校驗信息。前面兩部分的內容可以通過下面的方式獲取，代碼也可直觀，就不給出解釋了：In[1]:from itsdangerous import*In[2]: s ='eyJ1c2VybmFtZSI6ImNpeml4cyJ9.C5fdpg.fqm3FTv0kYE2TuOyGF1mx2RuYQ4'In[3]: data timstamp secret = s.split('.')In[4]: base64_decode(data)Out[4]:'{"username":"cizixs"}'In[5]: bytes_to_int(base64_decode(timstamp))Out[5]:194502054In[7]: time.strftime('%Y-%m-%d %H:%I%S' time.localtime(194502054 EPOCH))Out[7]:'2017-03-01 12:1254'總結flask 默認提供的 session 功能還是很簡單的，滿足了基本的功能。但是我們看到 flask 把 session 的數據都保存在客戶端的 cookie 中，這裡只有用戶名還好，如果有一些私密的數據（比如密碼，賬戶餘額等等），就會造成嚴重的安全問題。可以考慮使用 flask-session 這個三方的庫，它把數據保存在伺服器端（本地文件、redis、memcached），客戶端只拿到一個 sessionid。session 主要是用來在不同的請求之間保存信息，最常見的應用就是登陸功能。雖然直接通過 session 自己也可以寫出來不錯的登陸功能，但是在實際的項目中可以考慮 flask-login 這個三方的插件，方便我們的開發參考資料flask-session github pageFlask 源碼閱讀筆記題圖：pexels，CC0 授權。