当用户在我的 Django 应用程序中遇到空闲超时时,我想进行审核。换句话说,如果用户的会话 cookie 的过期日期超过了 settings.py 中的 SESSION_COOKIE_AGE,用户将被重定向到登录页面。当这种情况发生时,也应该进行审计。通过“审计”,我的意思是应该将记录写入我的 person.audit 表。
目前,我已经配置了一些中间件来捕获这些事件。不幸的是,当用户被重定向到登录页面时,Django 会生成一个新的 cookie,因此我无法确定用户是否通过空闲超时或其他事件被带到登录页面。
据我所知,我需要使用“django_session”表。但是,此表中的记录无法与该用户关联,因为 cookie 中的 sessionid 值在重定向发生时被重置。
我猜我不是第一个遇到这种困境的人。有没有人知道如何解决这个问题?
经过一番测试,我意识到下面的代码不能回答你的问题。尽管它有效,并且信号处理程序被调用,prev_session_data但如果它存在,则不会包含任何有用的信息。
首先,深入了解会话框架:
request.user是 AnonymousUser 的一个实例)。SessionStore._session);这会自动设置当前会话的accessedandmodified标志。SessionMiddleware保存当前会话,有效地Session在表中创建一个新实例django_session(如果您使用由 提供的默认数据库支持的会话django.contrib.sessions.backends.db)。新会话的 id 保存在settings.SESSION_COOKIE_NAMEcookie 中。loginfrom 方法。检查当前会话是否包含用户 ID;如果是,并且 ID 与登录用户的 ID 相同,则调用以创建新的会话密钥,同时保留会话数据。否则,调用,以删除所有数据并生成新会话。这两种方法都应该删除前一个会话(对于匿名用户),并调用创建一个新会话。django.contrib.authloginSessionStore.cycle_keySessionStore.flushSessionStore.createsettings.SESSION_COOKIE_NAME.所以你看,前一个解决方案的最大问题是在create被调用时(第 5 步),前一个会话的 ID 早已不复存在。正如其他人指出的那样,发生这种情况是因为一旦会话 cookie 过期,它就会被浏览器静默删除。
基于Alex Gaynor 的建议,我想我想出了另一种方法,这似乎可以满足您的要求,尽管边缘仍然有些粗糙。基本上,我使用第二个长期存在的“审计”cookie 来镜像会话 ID,并使用一些中间件来检查该 cookie 的存在。对于任何请求:
这是到目前为止的代码:
sessionaudit.middleware.py:
from django.conf import settings
from django.db.models import signals
from django.utils.http import cookie_date
import time
session_expired = signals.Signal(providing_args=['previous_session_key'])
AUDIT_COOKIE_NAME = 'sessionaudit'
class SessionAuditMiddleware(object):
def process_request(self, request):
# The 'print' statements are helpful if you're using the development server
session_key = request.COOKIES.get(settings.SESSION_COOKIE_NAME, None)
audit_cookie = request.COOKIES.get(AUDIT_COOKIE_NAME, None)
if audit_cookie is None and session_key is None:
print "** Got new user **"
elif audit_cookie and session_key is None:
print "** User session expired, Session ID: %s **" % audit_cookie
session_expired.send(self.__class__, previous_session_key=audit_cookie)
elif audit_cookie == session_key:
print "** User session active, Session ID: %s **" % audit_cookie
def process_response(self, request, response):
if request.session.session_key:
audit_cookie = request.COOKIES.get(AUDIT_COOKIE_NAME, None)
if audit_cookie != request.session.session_key:
# New Session ID - update audit cookie:
max_age = 60 * 60 * 24 * 365 # 1 year
expires_time = time.time() + max_age
expires = cookie_date(expires_time)
response.set_cookie(
AUDIT_COOKIE_NAME,
request.session.session_key,
max_age=max_age,
expires=expires,
domain=settings.SESSION_COOKIE_DOMAIN,
path=settings.SESSION_COOKIE_PATH,
secure=settings.SESSION_COOKIE_SECURE or None
)
return response
审计模型.py:
from django.contrib.sessions.models import Session
from sessionaudit.middleware import session_expired
def audit_session_expire(sender, **kwargs):
try:
prev_session = Session.objects.get(session_key=kwargs['previous_session_key'])
prev_session_data = prev_session.get_decoded()
user_id = prev_session_data.get('_auth_user_id')
except Session.DoesNotExist:
pass
session_expired.connect(audit_session_expire)
设置.py:
MIDDLEWARE_CLASSES = (
...
'django.contrib.sessions.middleware.SessionMiddleware',
'sessionaudit.middleware.SessionAuditMiddleware',
...
)
INSTALLED_APPS = (
...
'django.contrib.sessions',
'audit',
...
)
如果你正在使用它,你应该实现一个自定义的注销视图,当用户注销时,它会显式地删除审计 cookie。另外,我建议使用 django signed-cookies 中间件(但您可能已经这样做了,不是吗?)
我认为您应该能够使用自定义会话后端来做到这一点。这是一些(未经测试的)示例代码:
from django.contrib.sessions.backends.db import SessionStore as DBStore
from django.db.models import signals
session_created = signals.Signal(providing_args=['previous_session_key', 'new_session_key'])
class SessionStore(DBStore):
"""
Override the default database session store.
The `create` method is called by the framework to:
* Create a new session, if we have a new user
* Generate a new session, if the current user's session has expired
What we want to do is override this method, so we can send a signal
whenever it is called.
"""
def create(self):
# Save the current session ID:
prev_session_id = self.session_key
# Call the superclass 'create' to create a new session:
super(SessionStore, self).create()
# We should have a new session - raise 'session_created' signal:
session_created.send(self.__class__, previous_session_key=prev_session_id, new_session_key=self.session_key)
将上面的代码保存为“customdb.py”并将其添加到您的 django 项目中。在您的 settings.py 中,将“SESSION_ENGINE”设置或替换为上述文件的路径,例如:
SESSION_ENGINE = 'yourproject.customdb'
然后在您的中间件或models.py 中,为“session_created”信号提供一个处理程序,如下所示:
from django.contrib.sessions.models import Session
from yourproject.customdb import session_created
def audit_session_expire(sender, **kwargs):
# remember that 'previous_session_key' can be None if we have a new user
try:
prev_session = Session.objects.get(kwargs['previous_session_key'])
prev_session_data = prev_session.get_decoded()
user_id = prev_session_data['_auth_user_id']
# do something with the user_id
except Session.DoesNotExist:
# new user; do something else...
session_created.connect(audit_session_expire)
不要忘记包含包含models.pyin的应用程序INSTALLED_APPS。
SESSION_COOKIE_AGE = 1500 # 25 分钟
将其放入您的设置中,这应该会解决这个问题并使会话到期。
我不了解 Django,但是您可以简单地创建一个非持久性 cookie,它存储对您网站上页面的最后访问时间(您在每个页面加载时更新 cookie)
然后,在您的登录页面上,您可以检查您的用户是否有您的 cookie,但没有会话,那么,您知道用户的会话可能已经超时。由于您有最后一次访问网站页面的时间,因此您还可以根据会话的持续时间计算它是否已超时。