Flask中的session

目录

[Flask session概念:](#Flask session概念:)

session密钥的设置

测试代码

HTML

Flask

[Falask session添加](#Falask session添加)

[Flask session获取](#Flask session获取)

[Flask session删除](#Flask session删除)

执行结果

添加session再获取session后:

删除session再获取session后:

[Flask session安全性问题](#Flask session安全性问题)

Flask session概念:

程序可以把数据存储在用户会话 中,用户会话 是"私有存储 ",默认情况下session 会保存在客户端的cookie中。

session 是基于cookie实现,保存在服务端的键值对 (形式为:{加密字符串:"data"}),同时在浏览器中保存了这个"加密字符串"用来再此请求的时候验证。

因此使用session 时要设置一个密钥(加密字符串 ):"app.secret_key"

session密钥的设置

session设置密钥一般来说有三种方法:

  • 手动指定session密钥,例如我想要这个密钥是"abcd ",那么可以写下如下代码:app.secret = abcd,该方法风险性高,优点是便于调试
  • 使用"app.secret = secrets.token_hex(16)"生成随机的十六进制字符串作为密钥
  • 使用"app.secret = os.urandom(24)"生成随机的二进制字符串作为密钥

在这里我们推荐使用第二种和第三种,并且定期更新密钥,防止数据泄露

测试代码

在这里,我们创建了一个简单的前端页面,并且添加了三个按钮,方便为下面的功能做说明

点击"添加session"按钮,服务端会创建一个:"session["test"] = this is test"的session

点击"获取session"按钮,服务端会返回session的值,前端用console.log()打印出这个值

点击"删除session"按钮,服务端会删除所有session

为方便大家测试,作者将HTML代码和Flask代码贴出,方便大家测试:

HTML

html 复制代码
<!doctype html>
<html>
    <head>
      <title>测试</title>
      <script src="/static/JavaScript/jquery-3.7.1.min.js"></script>
    </head>
    <body>
        <button onclick="addSession()">添加session</button>
        <button onclick="getSession()">获取session</button>
        <button onclick="deleteSession()">删除session</button>
        <script>
            function addSession(){
                $.ajax({
                    url:"/add",
                    type:"post",
                    contentType:"application/json",
                    data:JSON.stringify({
                        type:"test",
                        content:"this is test"
                    })
                })
            }
            function getSession(){
                $.ajax({
                    url:"/get",
                    type:"get",
                    success:function(res){
                        console.log(res);
                    }
                })
            }
            function deleteSession(){
                $.ajax({
                    url:"/delete",
                    type:"get"
                })
            }
        </script>
    </body>
</html>

Flask

python 复制代码
from flask import *
from os import urandom

app = Flask(__name__)
app.secret_key = urandom(24)

@app.route("/")
def main():
    return render_template("ceshi.html")

@app.route("/add",methods=["POST"])
def add():
    data = request.get_json()
    key = data["type"]
    value = data["content"]
    session[key] = value
    return "success"

@app.route("/get")
def get():
    return session.get("test")

@app.route("/delete")
def delete():
    session.clear()
    return "success"

if __name__ == "__main__":
    app.run(debug=True)

Falask session添加

添加session ,可以直接使用:"session[key] = value"的形式添加

Flask session获取

操作session 就像操作Python 中的字典一样,我们可以使用session[key"] 获取值,也可以使用**session.get("key")**获取值

  • value = session["key"]如果"key"不存在,将会抛出异常
  • value = session.get("key")如果"key"不存在,将返回None(推荐使用)

Flask session删除

  • 删除全部session:"session.clear()"
  • 删除某个session:"session.pop(ky)

执行结果

添加session再获取session后:

删除session再获取session后:

Flask session安全性问题

只是单纯设计密钥,并不足应对所有的安全问题,由于Flask框架自身的问题,cookie在客户端是可读的,这也就造成session可能会被破解,因此我们需要进一步提升session安全,在这里,作者给出一种通用的方法:

  • 首先pip安装"falsk_session"

安装方法:

python 复制代码
pip install flask_session

添加如下代码:

python 复制代码
from flask import *
from flask_session import Session
from os import urandom

app = Flask(__name__)

app.secret_key = urandom(24)
app.config["SESSION_TYPE"] = 'filesystem'
Session(app)

这样session在客户端就会不可读,并且session是动态变化的,大大提高了安全性

相关推荐
Python×CATIA工业智造30 分钟前
Frida RPC高级应用:动态模拟执行Android so文件实战指南
开发语言·python·pycharm
onceco1 小时前
领域LLM九讲——第5讲 为什么选择OpenManus而不是QwenAgent(附LLM免费api邀请码)
人工智能·python·深度学习·语言模型·自然语言处理·自动化
狐凄2 小时前
Python实例题:基于 Python 的简单聊天机器人
开发语言·python
悦悦子a啊3 小时前
Python之--基本知识
开发语言·前端·python
Piper蛋窝3 小时前
深入 Go 语言垃圾回收:从原理到内建类型 Slice、Map 的陷阱以及为何需要 strings.Builder
后端·go
笑稀了的野生俊4 小时前
在服务器中下载 HuggingFace 模型:终极指南
linux·服务器·python·bash·gpu算力
Naiva4 小时前
【小技巧】Python+PyCharm IDE 配置解释器出错,环境配置不完整或不兼容。(小智AI、MCP、聚合数据、实时新闻查询、NBA赛事查询)
ide·python·pycharm
路来了5 小时前
Python小工具之PDF合并
开发语言·windows·python
蓝婷儿5 小时前
Python 机器学习核心入门与实战进阶 Day 3 - 决策树 & 随机森林模型实战
人工智能·python·机器学习
六毛的毛5 小时前
Springboot开发常见注解一览
java·spring boot·后端