django - 如何在 5 分钟内使 Django 会话过期？

Question

我正在使用它来登录用户：

def login_backend(request):
    if request.method == 'POST':
        username = request.POST['username']
        password = request.POST['password']
        user = authenticate(username=username, password=password)
        if user is not None:
            login(request, user)
            request.session.set_expiry(300)
            return HttpResponseRedirect('/overview/')
        else:
            return HttpResponseRedirect('/login_backend/')
    else:
        return render_to_response('login_backend.html', context_instance=RequestContext(request))

我希望会话在 5 分钟后过期，因此我request.session.set_expiry(300)在上面的视图中添加了。但是会话永远不会过期。我究竟做错了什么？

Answer 1

会话过期有两个参数，SESSION_EXPIRE_AT_BROWSER_CLOSE和SESSION_COOKIE_AGE。如果您想在 5 分钟内过期，您的设置应如下所示：

SESSION_EXPIRE_AT_BROWSER_CLOSE = False
SESSION_COOKIE_AGE = 5 * 60 #

要结合两者，了解如何编写自定义中间件“有没有办法结合 SESSION_EXPIRE_AT_BROWSER_CLOSE 和 SESSION_COOKIE_AGE 的行为”

Answer 2

Django 1.6 更新

由于 json 可序列化，下面的中间件代码在 Django 1.6 及更高版本中不起作用。要使其在所有版本的 Django 中工作，请放置会话序列化程序。

设置.py

#Handle session is not Json Serializable
SESSION_SERIALIZER = 'django.contrib.sessions.serializers.PickleSerializer'

上面的序列化程序示例适用于 Django 1.6。请搜索其他版本。谢谢...

创建中间件.py

from datetime import datetime, timedelta
from django.conf import settings
from django.contrib import auth


class AutoLogout:
  def process_request(self, request):
    if not request.user.is_authenticated() :
      #Can't log out if not logged in
      return

    try:
      if datetime.now() - request.session['last_touch'] > timedelta( 0, settings.AUTO_LOGOUT_DELAY * 60, 0):
        auth.logout(request)
        del request.session['last_touch']
        return
    except KeyError:
      pass

    request.session['last_touch'] = datetime.now()

更新您的settings.py：

MIDDLEWARE_CLASSES = [
    .........................

    'app_name.middleware.AutoLogout', 
]

# Auto logout delay in minutes
AUTO_LOGOUT_DELAY = 5 #equivalent to 5 minutes

Answer 3

姜戈 1.9

编辑您的settings.py并添加以下内容：

# SESSION AGE 5 Minutes
SESSION_COOKIE_AGE = 5*60

Answer 4

根据您的项目，这可能还不够。

例如，如果用户花费 6 分钟填写表单并单击“保存”会怎样？浏览器将被重定向到登录页面，表单数据将丢失。

此外，如果用户在打开的浏览器页面中带着机密数据离开他的工作站，也会存在潜在的安全问题。

另外，如果用户在 6 分钟内阅读了一个页面怎么办？然后在没有警告或任何方式延长他的会话的情况下将他注销并不是很酷......

考虑到这些问题，您可能会发现django-session-security很有用。

Answer 5

我使用 Django 2.1.7，让 django 会话过期的最简单方法是：

• 首先，您需要使用命令安装 django-session-timeout：

  pip install django-session-timeout

• 那么你需要在 settings.py 中更新你的 SessionTimeoutMiddleware

  MIDDLEWARE_CLASSES = [
       ...
      'django.contrib.sessions.middleware.SessionMiddleware',
      'django_session_timeout.middleware.SessionTimeoutMiddleware',
       ...
  ]
  

• 最后你需要SESSION_EXPIRE_SECONDS在settings.py的末尾添加：

  SESSION_EXPIRE_SECONDS = 300 # 300 seconds = 5 minutes

默认情况下，会话将在会话开始后 X 秒过期。要在最后一个活动 X 秒后使会话过期，请使用以下设置：

SESSION_EXPIRE_AFTER_LAST_ACTIVITY = True

Answer 6

在调用 login() 之前设置会话时间！

...
request.session.set_expiry(300)
login(request, user)
...     

Answer 7

这对我有用

设置.py

TIME= 240*60  //four hours  or your time
SESSION_SERIALIZER = 'django.contrib.sessions.serializers.PickleSerializer'
SESSION_EXPIRE_AT_BROWSER_CLOSE= True
SESSION_COOKIE_AGE = TIME    //change expired session
SESSION_IDLE_TIMEOUT = TIME  //logout

中间件.py

from django.contrib.auth import logout
from django.contrib import messages
import datetime
from django.shortcuts import redirect

import settings

class SessionIdleTimeout:
    def process_request(self, request):
        if request.user.is_authenticated():
            current_datetime = datetime.datetime.now()
            if ('last_login' in request.session):
                last = (current_datetime - request.session['last_login']).seconds
                if last > settings.SESSION_IDLE_TIMEOUT:
                    logout(request, login.html)
            else:
                request.session['last_login'] = current_datetime
        return None

Answer 8

更新@jhonnylopez 的答案并在一段时间不活动后注销，而不是在给定时间后注销：

设置.py

# Logout after a period of inactivity
INACTIVE_TIME = 15*60  # 15 minutes - or whatever period you think appropriate
SESSION_SERIALIZER = 'django.contrib.sessions.serializers.PickleSerializer'
SESSION_EXPIRE_AT_BROWSER_CLOSE= True
SESSION_COOKIE_AGE = INACTIVE_TIME   # change expired session
SESSION_IDLE_TIMEOUT = INACTIVE_TIME  # logout

中间件.py

from django.contrib.auth import logout
import datetime

from settings import SESSION_IDLE_TIMEOUT


class SessionIdleTimeout(object):
    """Middle ware to ensure user gets logged out after defined period if inactvity."""
    def __init__(self, get_response):
        self.get_response = get_response

    def __call__(self, request):
        if request.user.is_authenticated:
            current_datetime = datetime.datetime.now()
            if 'last_active_time' in request.session:
                idle_period = (current_datetime - request.session['last_active_time']).seconds
                if idle_period > SESSION_IDLE_TIMEOUT:
                    logout(request, 'login.html')
            request.session['last_active_time'] = current_datetime

        response = self.get_response(request)
        return response

Answer 9

如果您正在寻找 5 分钟后的简单到期并且不关心提示用户或允许他们延长会话，django-session-timeout 效果很好。

pip install django-session-timeout

SESSION_EXPIRE_SECONDS = 300  # 5 min
SESSION_EXPIRE_AFTER_LAST_ACTIVITY = True
SESSION_TIMEOUT_REDIRECT = '/accounts/logout/'  # redirect to whatever page

虽然这是 5 分钟后会话到期的快速修复，并重定向到指定页面（注销），但它无助于解决本文中关于警告用户或提供延长会话机会的其他一些问题。将最后一个活动设置设置为 True，它将继续根据活动延长会话，但是如果他们正在阅读页面或填写需要超过 5 分钟的表格，它将注销它们，可能会给您的用户取决于您的网站功能。

此处的更多文档：https ://pypi.org/project/django-session-timeout/

我还没有实现它，但计划下一步。如果您需要添加提示用户并允许他们选择扩展会话的功能，其他一些帖子推荐了 django-session-security。

如果这不是您想要的路线，这些是不添加自己的中间件的好选择。

Answer 10

正如 Dmitry Nikitin 所指出的，在调用 login() 之前需要设置会话。您还需要SESSION_SAVE_EVERY_REQUEST = True在设置文件中添加。此设置将随着每个请求不断更新到期时间。因此，在 5 分钟不活动后，会话将过期。