剖析Python的Tornado框架中session支持的實(shí)現(xiàn)代碼

更新時(shí)間：2015年08月21日 09:17:23 作者：一線涯

這篇文章主要介紹了剖析Python的Tornado框架中session支持的實(shí)現(xiàn)代碼,這樣就可以使用Django等框架中大家所熟悉的session了,需要的朋友可以參考下

tornado 里面沒有 session？不，當(dāng)然有~我知道 github 上肯定有人幫我寫好了~ O(∩_∩)O~
于是乎，找到下面這個(gè)項(xiàng)目，用 memcached 實(shí)現(xiàn) tornado 的 session。光會(huì)用可不行啊，讓我們看看是怎么寫的~

項(xiàng)目地址：tornado-memcached-sessions

讓我們先從 demo 看起....

app.py 中：
首先可以注意到，這里定義了一個(gè)新的 Application 類，繼承于 tornado.web.Application, 在該類的初始化方法中，設(shè)定了應(yīng)用參數(shù) settings, 之后初始化父類和 session_manager.（這是什么？暫時(shí)不管它...）

class Application(tornado.web.Application): 
  def __init__(self): 
    settings = dict( 
      # 設(shè)定 cookie_secret, 用于 secure_cookie 
      cookie_secret = "e446976943b4e8442f099fed1f3fea28462d5832f483a0ed9a3d5d3859f==78d", 
      # 設(shè)定 session_secret 用于生成 session_id 
      session_secret = "3cdcb1f00803b6e78ab50b466a40b9977db396840c28307f428b25e2277f1bcc", 
      # memcached 地址 
      memcached_address = ["127.0.0.1:11211"], 
      # session 過期時(shí)間 
      session_timeout = 60, 
      template_path = os.path.join(os.path.dirname(__file__), "templates"), 
      static_path = os.path.join(os.path.dirname(__file__), "static"), 
      xsrf_cookies = True, 
      login_url = "/login", 
    ) 
 
    handlers = [ 
      (r"/", MainHandler), 
      (r"/login", LoginHandler) 
    ] 
 
    # 初始化父類 tornado.web.Application 
    tornado.web.Application.__init__(self, handlers, **settings) 
    # 初始化該類的 session_manager 
    self.session_manager = session.SessionManager(settings["session_secret"], settings["memcached_address"], settings["session_timeout"])

在下面的 LoginHandler 中我們可以看到 session 的使用：

class LoginHandler(BaseHandler): 
  def get(self): 
    self.render("login.html") 
 
  def post(self): 
    # 以字典的鍵值對(duì)形式存取 
    self.session["user_name"] = self.get_argument("name") 
    # 修改完要調(diào)用 session 的 save, 否則等于沒有修改哦... 
    self.session.save() 
    self.redirect("/")

從使用來看是不是非常簡(jiǎn)潔和清晰？那么，細(xì)心的你是不是發(fā)現(xiàn)現(xiàn)在的 handler 沒有繼承于 tornado.web.RequestHandler？帶著強(qiáng)烈的探（zuo）索（si）精神我們打開了 base.py。天啊，好短....（噢，你想到哪里去了...）
BaseHandler 的方法只是初始化，并重寫了 get_current_user 的用于用戶登錄驗(yàn)證的方法。

class BaseHandler(tornado.web.RequestHandler): 
  def __init__(self, *argc, **argkw): 
    super(BaseHandler, self).__init__(*argc, **argkw) 
    # 定義 handler 的 session, 注意，根據(jù) HTTP 特點(diǎn)，每次訪問都會(huì)初始化一個(gè) Session 實(shí)例哦，這對(duì)于你后面的理解很重要 
    self.session = session.Session(self.application.session_manager, self) 
 
  # 這是干嘛的？用于驗(yàn)證登錄...請(qǐng) google 關(guān)于 tornado.web.authenticated, 其實(shí)就是 tornado 提供的用戶驗(yàn)證 
  def get_current_user(self): 
    return self.session.get("user_name")

看到這里，是不是心滿意足？噢，我終于理解了！。。。喂，說好的探（zuo）索（si）精神呢？關(guān)鍵在于 session.py ??！你一臉茫然地回過了頭....

首先看看需要的庫：
      pickle 一個(gè)用于序列化反序列化的庫（聽不懂？你直接看成和 json 一樣作用就行了...）
      hmac 和 hashlib 用于生成加密字符串
      uuid 用于生成一個(gè)唯一 id
      memcache Python 的 memcache 客戶端

這里面有三個(gè)類，SessionData Session 和 SessionManager。先看最簡(jiǎn)單的 SessionData。
SessionData 用于以字典的結(jié)構(gòu)存儲(chǔ) session 數(shù)據(jù)，繼承于字典，其實(shí)只比字典多了兩個(gè)成員變量：

# 繼承字典，因?yàn)?session 的存取類似于字典 
class SessionData(dict): 
  # 初始化時(shí)提供 session id 和 hmac_key 
  def __init__(self, session_id, hmac_key): 
    self.session_id = session_id 
    self.hmac_key = hmac_key

然后就是真正的 Session 類了。Session 類繼承于 SessionData, 注意，它還是十分像內(nèi)置類型字典，只是重寫了自己的初始化方法，并定義了 save 接口——用于保存修改后的 session 數(shù)據(jù)。

# 繼承 SessionData 類 
class Session(SessionData): 
  # 初始化，綁定 session_manager 和 tornado 的對(duì)應(yīng) handler 
  def __init__(self, session_manager, request_handler): 
    self.session_manager = session_manager 
    self.request_handler = request_handler 
 
    try: 
      # 正常是獲取該 session 的所有數(shù)據(jù)，以 SessionData 的形式保存 
      current_session = session_manager.get(request_handler) 
    except InvalidSessionException: 
      # 如果是第一次訪問會(huì)拋出異常，異常的時(shí)候是獲取了一個(gè)空的 SessionData 對(duì)象,里面沒有數(shù)據(jù)，但包含新生成的 
      # session_id 和 hmac_key 
      current_session = session_manager.get() 
 
    # 取出 current_session 中的數(shù)據(jù)，以鍵值對(duì)的形式迭代存下 
    for key, data in current_session.iteritems(): 
      self[key] = data 
 
    # 保存下 session_id 
    self.session_id = current_session.session_id 
    # 以及對(duì)應(yīng)的 hmac_key 
    self.hmac_key = current_session.hmac_key 
 
  # 定義 save 方法，用于 session 修改后的保存，實(shí)際調(diào)用 session_manager 的 set 方法 
  def save(self): 
    self.session_manager.set(self.request_handler, self)

     __init__ 方法比較難理解，基本流程是定義自己的 session_manager 和 handler 處理對(duì)象。然后通過 session_manager 獲得已有的 session 數(shù)據(jù)，用這些數(shù)據(jù)初始化一個(gè)訪問的用戶的 session, 如果用戶是第一次訪問，那么他拿到的是一個(gè)新的 SessionData 對(duì)象，因?yàn)橛锌赡苁切掠脩?，所以這里要對(duì) session_id 和 hmac_key（什么鬼）進(jìn)行賦值。
      而 save 方法是提供了對(duì)修改 session 數(shù)據(jù)后的保存接口，實(shí)際是調(diào)用 session_manager 的 set 方法，具體實(shí)現(xiàn)先不考慮。

看到這兩個(gè)類，你就應(yīng)該對(duì) session 的工作有基本理解，可以從用戶訪問的流程來考慮。注意 BaseHandler 這個(gè)入口，每個(gè)用戶的訪問都是一次 HTTP 請(qǐng)求。當(dāng)用戶第一次訪問或者上一次的 session 過期了，這時(shí)用戶訪問時(shí) tornado 建立了一個(gè) handler 對(duì)象（該 handler 一定繼承于 BaseHandler），并且在初始化時(shí)建立了一個(gè) session 對(duì)象，因?yàn)槭切略L問，所以目前 session 里面沒有數(shù)據(jù)，在之后采用鍵/值對(duì)的形式讀寫 session（不要忘了 Session 具有字典的所有操作），修改后通過 save 方法保存 session。如果用戶不是新訪問，那么也是按照上述的流程，不過 session 初始化時(shí)把之前的數(shù)據(jù)取出來保存在該實(shí)例中。當(dāng)用戶結(jié)束訪問，HTTP 斷開連接，handler 實(shí)例銷毀，session 實(shí)例銷毀（注意，是實(shí)例銷毀，不是數(shù)據(jù)銷毀）。

下面準(zhǔn)備講 SessionManager 是吧，來～一個(gè)一個(gè)函數(shù)看～

首先是初始化，設(shè)置密鑰， memcache 地址，session 超時(shí)時(shí)間。

# 初始化需要一個(gè)用于 session 加密的 secret, memcache 地址, session 的過期時(shí)間 
def __init__(self, secret, memcached_address, session_timeout): 
  self.secret = secret 
  self.memcached_address = memcached_address 
  self.session_timeout = session_timeout

接著是 _fetch 方法，以 session_id 為鍵從 memcached 中取出數(shù)據(jù)，并用 pickle 反序列化解析數(shù)據(jù)：

# 該方法用 session_id 從 memcache 中取出數(shù)據(jù) 
def _fetch(self, session_id): 
  try: 
    # 連接 memcache 服務(wù)器 
    mc = memcache.Client(self.memcached_address, debug=0) 
    # 獲取數(shù)據(jù) 
    session_data = raw_data = mc.get(session_id) 
    if raw_data != None: 
      # 為了重新刷新 timeout 
      mc.replace(session_id, raw_data, self.session_timeout, 0) 
      # 反序列化 
      session_data = pickle.loads(raw_data) 
    # 如果拿到的數(shù)據(jù)是字典形式，才進(jìn)行返回 
    if type(session_data) == type({}): 
      return session_data 
    else: 
      return {} 
  except IOError: 
    return {}

get 經(jīng)過安全檢查后，以 SessionData 的形式返回 memcached 的數(shù)據(jù)（調(diào)用了 _fetch）方法。

def get(self, request_handler = None): 
 
  # 獲取對(duì)應(yīng)的 session_id 和 hmac_key 
  if (request_handler == None): 
    session_id = None 
    hmac_key = None 
  else: 
    # session 的基礎(chǔ)還是靠 cookie 
    session_id = request_handler.get_secure_cookie("session_id") 
    hmac_key = request_handler.get_secure_cookie("verification") 
 
  # session_id 不存在的時(shí)候則生成一個(gè)新的 session_id 和 hmac_key 
  if session_id == None: 
    session_exists = False 
    session_id = self._generate_id() 
    hmac_key = self._generate_hmac(session_id) 
  else: 
    session_exists = True 
 
  # 檢查 hmac_key 
  check_hmac = self._generate_hmac(session_id) 
  # 不通過則拋出異常 
  if hmac_key != check_hmac: 
    raise InvalidSessionException() 
 
  # 新建 SessionData 對(duì)象 
  session = SessionData(session_id, hmac_key) 
 
  if session_exists: 
    # 通過 _fetch 方法獲取 memcache 中該 session 的所有數(shù)據(jù) 
    session_data = self._fetch(session_id) 
    for key, data in session_data.iteritems(): 
      session[key] = data 
 
  return session

至于 set 方法，是為了更新 memcached 的數(shù)據(jù)。

# 設(shè)置新的 session,需要設(shè)置 handler 的 cookie 和 memcache 客戶端 
def set(self, request_handler, session): 
  # 設(shè)置瀏覽器的 cookie 
  request_handler.set_secure_cookie("session_id", session.session_id) 
  request_handler.set_secure_cookie("verification", session.hmac_key) 
  # 用 pickle 進(jìn)行序列化 
  session_data = pickle.dumps(dict(session.items()), pickle.HIGHEST_PROTOCOL) 
  # 連接 memcache 服務(wù)器 
  mc = memcache.Client(self.memcached_address, debug=0) 
  # 寫入 memcache 
  mc.set(session.session_id, session_data, self.session_timeout, 0)

最后的兩個(gè)函數(shù)，一個(gè)是生成 session_id，另一個(gè)用 session_id 與密鑰加密后生成一個(gè)加密字符串，用于驗(yàn)證。

# 生成 session_id 
def _generate_id(self): 
  new_id = hashlib.sha256(self.secret + str(uuid.uuid4())) 
  return new_id.hexdigest() 
 
# 生成 hmac_key 
def _generate_hmac(self, session_id): 
  return hmac.new(session_id, self.secret, hashlib.sha256).hexdigest()

我們?cè)谀睦锍跏蓟?SessionManager 呢？還記得第一篇里面的 Application 類嗎？噢...快回去翻翻。

您可能感興趣的文章: