我正在尝试使用Flask-KVSession作为Flask网站的替代会话实现。我已经创建了一个测试网站(请参阅下面的代码1 )。当我运行它时,我可以使用浏览器通过在我的Web浏览器中的各种资源之间导航来将值存储到会话中。这工作正常。此外,当我查看生成的SQLite数据库中的sessions表时,我看到一条记录用于整个时间存储此会话。
然后我尝试向此添加Flask-Security(请参阅下面的代码2 )。运行此站点后(确保首先删除现有的test.db sqlite文件),我被带到登录提示符并登录。然后我继续做同样的事情,在资源之间来回跳转。我得到了相同的结果。
问题是,当我查看sqlitebrowser sessions表时,有8条记录。事实证明,为所做的每个请求创建了一个新的会话记录。
为什么在使用Flask-Security时会为每个请求创建新的会话记录?为什么现有会话不像以前那样更新?
代码1(没有Flask-Security的KVSession)
import os
from flask import Flask, session
app = Flask(__name__)
app.secret_key = os.urandom(64)
#############
# SQLAlchemy
#############
from flask.ext.sqlalchemy import SQLAlchemy
db = SQLAlchemy(app)
DB_DIR = os.path.dirname(os.path.abspath(__file__))
DB_URI = 'sqlite:////{0}/test.db'.format(DB_DIR)
app.config['SQLALCHEMY_DATABASE_URI'] = DB_URI
@app.before_first_request
def create_user():
db.create_all()
############
# KVSession
############
from simplekv.db.sql import SQLAlchemyStore
from flask.ext.kvsession import KVSessionExtension
store = SQLAlchemyStore(db.engine, db.metadata, 'sessions')
kvsession = KVSessionExtension(store, app)
@app.route('/a')
def a():
session['last'] = 'b'
return 'Thank you for visiting A!'
@app.route('/b')
def b():
session['last'] = 'b'
return 'Thank you for visiting B!'
@app.route('/c')
def c():
return 'You last visited "{0}"'.format(session['last'])
app.run(debug=True)
代码2(KVSession with Flask-Security)
import os
from flask import Flask, session
app = Flask(__name__)
app.secret_key = os.urandom(64)
#############
# SQLAlchemy
#############
from flask.ext.sqlalchemy import SQLAlchemy
db = SQLAlchemy(app)
DB_DIR = os.path.dirname(os.path.abspath(__file__))
DB_URI = 'sqlite:////{0}/test.db'.format(DB_DIR)
app.config['SQLALCHEMY_DATABASE_URI'] = DB_URI
###########
# Security
###########
# This import needs to happen after SQLAlchemy db is created above
from flask.ext.security import (
Security, SQLAlchemyUserDatastore, current_user,
UserMixin, RoleMixin, login_required
)
# Define models
roles_users = db.Table('roles_users',
db.Column('user_id', db.Integer(), db.ForeignKey('user.id')),
db.Column('role_id', db.Integer(), db.ForeignKey('role.id')))
class Role(db.Model, RoleMixin):
id = db.Column(db.Integer(), primary_key=True)
name = db.Column(db.String(80), unique=True)
description = db.Column(db.String(255))
class User(db.Model, UserMixin):
id = db.Column(db.Integer, primary_key=True)
email = db.Column(db.String(255), unique=True)
password = db.Column(db.String(255))
active = db.Column(db.Boolean())
confirmed_at = db.Column(db.DateTime())
roles = db.relationship('Role', secondary=roles_users,
backref=db.backref('users', lazy='dynamic'))
user_datastore = SQLAlchemyUserDatastore(db, User, Role)
security = Security(app, user_datastore)
@app.before_first_request
def create_user():
db.create_all()
user_datastore.create_user(email='test@example.com', password='password')
db.session.commit()
############
# KVSession
############
from simplekv.db.sql import SQLAlchemyStore
from flask.ext.kvsession import KVSessionExtension
store = SQLAlchemyStore(db.engine, db.metadata, 'sessions')
kvsession = KVSessionExtension(store, app)
@app.route('/a')
@login_required
def a():
session['last'] = 'b'
return 'Thank you for visiting A!'
@app.route('/b')
@login_required
def b():
session['last'] = 'b'
return 'Thank you for visiting B!'
@app.route('/c')
@login_required
def c():
return 'You last visited "{0}"'.format(session['last'])
app.run(debug=True)
版本信息
Python 2.7.3
Flask==0.9
Flask==0.9
Flask-KVSession==0.3.2
Flask-Login==0.1.3
Flask-Mail==0.8.2
Flask-Principal==0.3.5
Flask-SQLAlchemy==0.16
Flask-Security==1.6.3
SQLAlchemy==0.8.1
答案 0 :(得分:6)
当flask-login与KVSession等会话存储库一起使用时,这与known problem flask-login(烧瓶安全使用)有关。
基本上,只要创建或修改会话中的数据,KVSession就需要使用新的会话信息更新数据库。在上面的示例中,这种情况正确发生:第一次点击页面时,会话被创建。之后,现有会话将更新。
但是,在后台,浏览器会向我的Web服务器发送一个无cookie请求,以查找我的favicon。因此,flask正在处理对/favicon.ico的请求。该请求(或404的任何其他请求)仍由烧瓶处理。这意味着flask-login将查看请求并尝试发挥其魔力。
碰巧烧瓶登录不会尝试将任何内容放入会话中,但就KVSession而言,它仍然像会话被修改一样。因为它看起来像会话被修改,KVSession更新数据库。以下是来自flask-login的代码:
def _update_remember_cookie(self, response):
operation = session.pop("remember", None)
...
在请求生命周期中调用_update_remember_cookie方法。虽然如果会话没有“记住”键(在这种情况下它没有),session.pop将不会更改会话,但KVSession仍会看到弹出并假设会话发生更改。
flask-login的问题提供了简单的错误修复,但它还没有被推入flask-login。似乎维护者正在寻找完整的重写,并将在那里实现。