Authentifizierung und Autorisierung in Django: Django-Sitzung

Einführung in Django-Sitzungen

In modernen Webanwendungen ist die Aufrechterhaltung des Benutzerstatus über mehrere Anfragen hinweg unerlässlich, um personalisierte Erlebnisse zu schaffen. Django vereinfacht dies mit seinem integrierten Sitzungsframework und ermöglicht es Entwicklern, Benutzerdaten sicher und effizient zu verwalten.

Die integrierten Sitzungen in Django sind für die Verwaltung von Benutzerdaten über mehrere Anfragen hinweg verantwortlich. Wenn sich Benutzer bei der Django-App anmelden, erstellt der Server eine Sitzungs-ID, die normalerweise in einem Cookie im Browser des Clients gespeichert wird. Diese Session-ID dient als Schlüssel zum Abruf der auf dem Server gespeicherten Daten und zur Zuordnung von Anfragen zu einem bestimmten Benutzer. Aus diesem Grund bleibt der Authentifizierungsstatus auf verschiedenen Seiten bestehen.

---

Verwendung von Session-Middleware in Django

Djangos Sitzungs-Middleware automatisiert die Sitzungsverwaltung. Es verarbeitet eingehende Anfragen zum Abrufen von Sitzungsdaten und bereitet ausgehende Antworten zum Aktualisieren oder Setzen von Sitzungscookies vor. Um zu überprüfen, ob Sitzungs-Middleware aktiviert ist, schauen Sie in Ihrer Datei „settings.py“ im Abschnitt „MIDDLEWARE“ nach:

# settings.py
MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    # Other middleware
]

---

Arten der Sitzungsspeicherung in Django

Wir haben mehrere Möglichkeiten, Sitzungsdaten zu speichern. Abhängig von der Anwendung, die Sie erstellen möchten, hat jede davon Vor- und Nachteile.

1. Datenbankgestützte Sitzungen

Analogie: Stellen Sie sich vor, das Theater verfügt über einen sicheren Lagerraum mit Schließfächern, in dem alle Mäntel aufbewahrt werden. Jedem Schließfach wird eine eindeutige Nummer zugewiesen, die mit der Nummer auf Ihrem Ticket übereinstimmt. Wenn Sie mit Ihrem Ticket zurückkommen, sucht der Mitarbeiter die Schließfachnummer in einem Logbuch und holt Ihren Mantel ab.

Datenbankgestützte Sitzungen speichern Sitzungsdaten auf einem Datenbankserver. So bleiben vertrauliche Informationen wie Benutzereinstellungen, Anmeldestatus und Warenkorbdetails sicher im Backend gespeichert. Diese Art von Sitzung ist möglicherweise sicherer, verursacht jedoch einige Unannehmlichkeiten, wenn es um den Schreib- und Lesevorgang geht. Datenbankgestützte Sitzungen sind im Vergleich zu Cache-gestützten Sitzungen langsamer. Wenn Sie also eine Anwendung mit hohem Datenverkehr erstellen, sollten Sie noch einmal darüber nachdenken. Das Speichern von Sitzungen in der Datenbank kann die Belastung der Datenbank erhöhen und sich bei unsachgemäßer Verwaltung auf die Gesamtleistung auswirken.

Wenn Sie eine datenbankgestützte Sitzung verwenden möchten, müssen Sie django.contrib.sessions zu Ihrer INSTALLED_APPS-Einstellung hinzufügen. Bitte stellen Sie sicher, dass Sie manage.py migrate ausführen, um die einzelne Datenbanktabelle zu installieren, in der Sitzungsdaten gespeichert werden.

2. Dateibasierte Sitzungen

Analogie: In diesem Fall wird jeder Mantel in einem anderen, beschrifteten Schließfach in einem großen Raum im hinteren Teil des Theaters aufbewahrt. Jedes Schließfach verfügt über einen eindeutigen Anhänger oder eine Datei mit den Manteldetails. Wenn Sie Ihr Ticket vorzeigen, geht der Mitarbeiter in den Umkleideraum, findet den entsprechenden Anhänger und holt Ihren Mantel ab.

Dateibasierte Sitzungen nutzen das Dateisystem des Servers, um Sitzungsdaten zu speichern. Dies bedeutet, dass jede Benutzersitzung in einer separaten Datei auf dem Server gespeichert wird. Standardmäßig speichert Django Sitzungsdateien im Verzeichnis django_session unter /tmp (auf Unix-basierten Systemen) oder in einem in den Django-Einstellungen angegebenen Verzeichnis.

Um dateibasierte Sitzungen zu aktivieren, setzen Sie SESSION_ENGINE in Ihrer Datei „settings.py“ auf django.contrib.sessions.backends.file.

# settings.py
MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    # Other middleware
]

3. Cache-gestützte Sitzungen

Analogie: Hier nutzt das Theater eine provisorische Garderobe in der Nähe des Eingangs, wo Mäntel nur kurz aufbewahrt werden. Dadurch ist das Abholen von Mänteln sehr schnell möglich, aber wenn das Regal voll ist, können die ältesten Mäntel in ein Zweitlager verschoben oder ganz entfernt werden.

Bei dieser Art der Sitzungsspeicherung speichert ein Caching-System (wie Memcached oder Redis) Sitzungsdaten. Das Speichern von Sitzungen im Speicher-Caching hilft Anwendungen mit hohem Datenverkehr oder Anwendungen, die schnelle Reaktionszeiten erfordern, da der Schreib- oder Lesevorgang sehr schnell abläuft.

Um Cache-gestützte Sitzungen zu verwenden, konfigurieren Sie die Einstellung SESSION_ENGINE in Ihrer Datei „settings.py“. Sie müssen auch den Cache konfigurieren, je nachdem, welchen Cache-Speicher Sie verwenden.

# settings.py
SESSION_ENGINE = 'django.contrib.sessions.backends.file'  # Use file-based session storage
SESSION_FILE_PATH = '/path/to/session/files/'  # Specify a directory for session files (optional)

Alternativ können Sie django.contrib.sessions.backends.cached_db verwenden, das Sitzungsdaten sowohl im Cache als auch in der Datenbank speichert und auf die Datenbank zurückgreift, wenn der Cache nicht verfügbar ist.

Die besten Vorteile dieser Art von Sitzung sind Skalierbarkeit und Geschwindigkeit. Cache-gestützte Sitzungen sind nicht nur schnell, da Daten im Speicher gespeichert werden, sondern reduzieren auch die Belastung der Datenbanksitzung. Daten können von mehreren Servern gemeinsam genutzt werden, was die Einrichtung mehrerer Server ermöglicht.

4. Signierte Cookie-Sitzungen

Analogie: Anstatt Ihren Mantel aufzubewahren, erlaubt Ihnen das Theater, ihn mit sich herumzutragen, erfordert aber einen speziellen Stempel auf der Eintrittskarte, der bestätigt, dass es sich um Ihren Mantel handelt. Sie bringen den Mantel (Sitzungsdaten) mit und jedes Mal, wenn Sie das Theater betreten, überprüft der Mitarbeiter den Stempel auf der Eintrittskarte, um sicherzustellen, dass diese nicht manipuliert wurde.

Signierte Cookie-Sitzungen in Django speichern Sitzungsdaten direkt im Browser des Clients in einem signierten und verschlüsselten Cookie, anstatt sie auf der Serverseite (Datenbank oder Cache) zu speichern.

Um signierte Cookie-Sitzungen zu aktivieren, legen Sie SESSION_ENGINE in der Datei „settings.py“ von Django fest, um das signierte Cookie-Backend zu verwenden:

# settings.py
MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    # Other middleware
]

Signierte Cookie-Sitzungen reduzieren die Serverlast und geben Serverressourcen frei. Aufgrund der Größenbeschränkung für Cookies (ca. 4 KB) sind signierte Cookie-Sitzungen jedoch nicht zum Speichern großer Mengen an Sitzungsdaten geeignet. Größere Cookie-Größen können zu langsameren Anfragen führen, da die Cookie-Daten bei jeder Anfrage gesendet werden.

---

Sitzungskonfigurationseinstellungen

Django bietet mehrere Einstellungen zum Konfigurieren des Sitzungsverhaltens:

• SESSION_COOKIE_AGE: Legt die Ablaufzeit der Sitzung fest (in Sekunden).

• SESSION_COOKIE_SECURE: Erfordert die Übertragung von Sitzungen über HTTPS.

• SESSION_EXPIRE_AT_BROWSER_CLOSE: Beendet die Sitzung, wenn der Browser geschlossen wird.

• SESSION_COOKIE_HTTPONLY: Beschränkt den JavaScript-Zugriff auf Sitzungscookies und erhöht so die Sicherheit.

Diese Einstellungen helfen dabei, das Sitzungsverhalten an spezifische Anwendungsanforderungen anzupassen. Weitere Informationen zur Sitzungskonfiguration finden Sie in der Django-Dokumentation.

---

Implementierung von Sitzungen in Django-Ansichten

Um mit Sitzungen in Django-Ansichten zu interagieren, verwenden Sie das request.session-Objekt, das sich wie ein Wörterbuch verhält. Hier sind einige grundlegende Vorgänge:

Datenspeicherung:

# settings.py
SESSION_ENGINE = 'django.contrib.sessions.backends.file'  # Use file-based session storage
SESSION_FILE_PATH = '/path/to/session/files/'  # Specify a directory for session files (optional)

Daten abrufen:

# settings.py
SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # For caching session storage
SESSION_CACHE_ALIAS = 'default'  # Specify the cache alias if needed (e.g., 'redis' or 'memcached')

# Cache configuration (example with Redis)
CACHES = {
    'default': {
        'BACKEND': 'django_redis.cache.RedisCache',
        'LOCATION': 'redis://127.0.0.1:6379/1',  # Redis URL
        'OPTIONS': {
            'CLIENT_CLASS': 'django_redis.client.DefaultClient',
        }
    }
}

Daten löschen:

# settings.py
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'
SECRET_KEY = 'your-secret-key'  # Make sure this key is kept secure and unique for your app

Sitzungen werden häufig verwendet, um den Anmeldestatus von Benutzern zu verfolgen. So implementieren Sie ein einfaches Anmeldesystem mithilfe von Sitzungen:

request.session['username'] = 'Harry Potter'

Es gibt immer noch viele Methoden für Sitzungen in Django-Ansichten. Eine vollständige Liste finden Sie in der Django-Dokumentation.

---

Best Practice für Sitzungen

Django löscht regelmäßig abgelaufene Sitzungen. Sie können die Häufigkeit anpassen, indem Sie den Sitzungsbereinigungsprozess konfigurieren oder Verwaltungsbefehle wie django-admin clearsessions ausführen.

Vermeiden Sie das Speichern großer Datenmengen in Sitzungen, da dies die Serverlast erhöhen und die Antwortzeiten verlangsamen kann. Aktivieren Sie abschließend sichere Cookies, HttpOnly und HTTPS-Einstellungen, um Sitzungsdaten zu schützen.

---

Abschluss

Djangos Sitzungsframework ist leistungsstark, flexibel und sicher und erleichtert die Implementierung der Sitzungsverwaltung in Ihren Webanwendungen. Mit der richtigen Konfiguration und sicheren Vorgehensweisen können Sie Django-Sitzungen nutzen, um effiziente, personalisierte Benutzererlebnisse zu schaffen und gleichzeitig eine robuste Sicherheit aufrechtzuerhalten.

Das obige ist der detaillierte Inhalt vonAuthentifizierung und Autorisierung in Django: Django-Sitzung. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!