深入理解 Flask 中的 Session 和 Cookies

K8sCat2023-12-13 0:33

原文链接:mp.weixin.qq.com/s/g9Gh6jjfy...

在构建 web 应用时,管理用户的状态和数据是至关重要的。Flask,作为一个灵活的微型 web 框架,提供了会话(Session)和 Cookies 管理的能力。本文将深入探讨 Flask 中的会话和 Cookies 的概念、工作机制以及应用实例,为读者提供全面而详细的理解。

会话和 Cookies 的基本概念

Cookies

  • 定义:Cookies 是服务器存储在用户浏览器上的小片段数据,每次浏览器向服务器发送请求时都会附带这些数据。
  • 用途:主要用于记住用户信息(如登录状态)、跟踪用户访问模式等。

会话(Session)

  • 定义:会话是一种在服务器上存储用户数据的方式,用于跨请求保持状态。
  • 用途:常用于存储用户特定的信息,如登录后的用户ID、购物车内容等。

Cookies 的使用

在 Flask 中操作 Cookies 是非常简单直观的。

设置 Cookies

python 复制代码 
from flask import Flask, make_response

app = Flask(__name__)

@app.route('/set_cookie')
def set_cookie():
    response = make_response('Cookie has been set')
    response.set_cookie('username', 'John Doe')
    return response

获取 Cookies

python 复制代码 
from flask import request

@app.route('/get_cookie')
def get_cookie():
    username = request.cookies.get('username')
    return 'The username in cookie is: ' + str(username)

Cookies 的局限性

  • 存储在用户浏览器端

,因此容易受到安全攻击,如跨站脚本(XSS)和跨站请求伪造(CSRF)。

  • Cookies 的大小通常限制在 4KB 左右,不适合存储大量数据。

Flask 会话(Session)的使用

会话(Session)在 Flask 中用于存储在服务端的用户数据,而浏览器只保存一个会话ID的 Cookie。

配置 Flask 会话

在 Flask 应用中,需要设置一个密钥来加密会话数据。

python 复制代码 
app = Flask(__name__)
app.secret_key = 'your_secret_key'  # 应为难以猜测的密钥

设置会话数据

python 复制代码 
from flask import session

@app.route('/login')
def login():
    session['user_id'] = '123456'  # 假设用户ID为123456
    return 'User logged in'

获取会话数据

python 复制代码 
@app.route('/profile')
def profile():
    user_id = session.get('user_id')
    if not user_id:
        return 'Not logged in!', 403
    return 'Profile page for user {}'.format(user_id)

会话的有效期

默认情况下,Flask 的会话是浏览器关闭时过期。也可以设置会话的持续时间:

python 复制代码 
from datetime import timedelta

app.permanent_session_lifetime = timedelta(days=5)
session.permanent = True  # 使当前会话持久化

会话与 Cookies 的安全性

安全性是管理会话和 Cookies 时必须考虑的重要因素。

安全实践

  • 使用 HTTPS 来防止会话被窃听。
  • 设置 Cookie 的 secure 标志,使其仅通过 HTTPS 发送。
  • 设置 Cookie 的 HttpOnly 标志,阻止 JavaScript 访问 Cookie。
  • 定期更换 secret_key
  • 对敏感数据进行加密处理。

使用 Flask-Session 扩展

对于需要更复杂会话管理的应用,可以使用 Flask-Session 扩展,它支持将会话数据保存在服务器端的多种后端中,例如 Redis、文件系统等。

安装 Flask-Session

bash 复制代码 
pip install Flask-Session

配置 Flask-Session

python 复制代码 
from flask import Flask
from flask_session import Session

app = Flask(__name__)
# 配置 Flask-Session
app.config['SESSION_TYPE'] = 'filesystem'

Session(app)

总结

在 Flask 应用中,正确地使用会话和 Cookies 对于维护一个安全且高效的用户状态管理机制至关重要。通过本文的介绍,读者应能够理解并有效地在自己的 Flask 应用中实现会话和 Cookies 的管理。

相关推荐
青瓷程序设计3 分钟前
【基于 YOLO的咖啡豆果实成熟度检测系统】+ Python+算法模型+目标检测+2026原创
python·算法·yolo
天才测试猿4 分钟前
Python接口自动化测试之Token详解及应用
自动化测试·软件测试·python·测试工具·职场和发展·测试用例·接口测试
童园管理札记12 分钟前
2026实测|GPT-4.5+Agent智能体:3小时搭建企业级客服系统,附完整源码与部署教程(二)
人工智能·python
:mnong18 分钟前
附图报价系统设计分析3
python·openvino
AmyLin_200120 分钟前
【pdf2md-2:关键核心】PDF 转 Markdown 技术拆解:两阶段流水线、四级标题检测与段落智能合并
windows·python·pdf·pip·pdf2md
薛不痒23 分钟前
Llamafactory的使用(1)
人工智能·python·llama
不喝水的鱼儿24 分钟前
KT Qwen3.5-35B-A3B 记录
java·前端·python
小陈工32 分钟前
Python Web开发入门(三):配置文件管理与环境变量最佳实践
开发语言·jvm·数据库·python·oracle·性能优化·开源
deep_drink38 分钟前
1.1、Python 与编程基础:开发环境、基础工具与第一个 Python 项目
开发语言·人工智能·python·llm
杨超越luckly1 小时前
HTML应用指南:利用GET请求获取中国生活垃圾焚烧发电厂位置信息
python·arcgis·html·数据可视化·生活垃圾焚烧发电厂
热门推荐
012026年3月AI领域大事件:DeepSeek引领开源风暴02GitHub 镜像站点03围棋-html版本04纯 HTML/CSS/JS 实现的高颜值登录页,还会眨眼睛!少女心爆棚!05“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)06Mac 本地部署 OMLX + 通义千问 Qwen3.5-27B 保姆级教程07OpenClaw 使用和管理 MCP 完全指南08安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)09Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services10UV安装并设置国内源