Gibt es eine Möglichkeit, verbinden Verhalten von SESSION_EXPIRE_AT_BROWSER_CLOSE und SESSION_COOKIE_AGE

Aus Gründen der Sicherheit ich SESSION_EXPIRE_AT_BROWSER_CLOSE zu wahren.

Aber, browser-Länge-cookies (cookies, die verfallen, sobald der Nutzer schließen des Browsers) nicht über ein Auslaufen der Zeit, dann SESSION_COOKIE_AGE hat keine Wirkung (ja, ich es überprüfen). Aber ich möchte, um einen logout/timeout bei Untätigkeit plus die Abmeldung auf "durchsuchen" schließen.

Meine Frage ist, Was ist der beste Weg zur Umsetzung Inaktivitäts-timeout/logout im browser-Länge cookies Szenario?

InformationsquelleAutor dani herrera | 2012-02-13
  1. 19

    Als Sie erklärt, SESSION_EXPIRE_AT_BROWSER_CLOSE und SESSION_COOKIE_AGE nicht kompatibel sind. Wenn Sie ein Ablaufdatum ein cookie, dieses cookie wird kein browser-Länge cookie.

    Dann, um zu erreichen Ihre gewünschten Verhalten, sollten Sie set SESSION_EXPIRE_AT_BROWSER_CLOSE als Wahr und Kontrolle ablaufen timeout von hand.

    Einen eleganten Weg, um die Kontrolle von hand ablaufen timeout:

    1. Erstellen Sie eine neue benutzerdefinierte middleware, dass Steuern, timeout.
    2. Ändern settings.py damit Ihre benutzerdefinierte middleware (und Sitzungen).

    Den timeout benutzerdefinierte middleware kann, sieht wie folgt aus:

    # updated version that should work with django 1.10 middleware style
# tested up to django 2.2

import time
from django.conf import settings


class SessionIdleMiddleware:
    def __init__(self, get_response):
        self.get_response = get_response

    def __call__(self, request):
        if request.user.is_authenticated:
            if 'last_request' in request.session:
                elapsed = time.time() - request.session['last_request']
                if elapsed > settings.SESSION_IDLE_TIMEOUT:
                    del request.session['last_request'] 
                    logout(request)
                    # flushing the complete session is an option as well!
                    # request.session.flush()  
            request.session['last_request'] = time.time()
        else:
            if 'last_request' in request.session:
                del request.session['last_request']

        response = self.get_response(request)

        return response

    Lösung für die alten Django-Versionen (pre 1.10)

    class timeOutMiddleware(object):

    def process_request(self, request):
        if request.user.is_authenticated():
            if 'lastRequest' in request.session:            
                elapsedTime = datetime.datetime.now() - \
                              request.session['lastRequest']
                if elapsedTime.seconds > 15*60:
                    del request.session['lastRequest'] 
                    logout(request)

            request.session['lastRequest'] = datetime.datetime.now()
        else:
            if 'lastRequest' in request.session:
                del request.session['lastRequest'] 

        return None

    Erinnern ermöglichen Sitzungen um zu speichern lastRequest.

    Diese Lösung ist geschrieben und getestet werden und bei mir steht jetzt in meiner Website. Dieser code ist GNU-Lizenz 😉

    Neue auf django 1.6 ( ... zwei Jahre später ... )

    Datetime und timedelta Werte sind nur serialisierbar, wenn Sie mit der PickleSerializer. Wenn nicht, vielleicht einfach Lösung ist übersetzen datetime in unix-timestamp und zurück. Frei zu posten unterhalb dieser übersetzung.

    Bearbeitet

    django-session-security app bietet einen Mechanismus zur Abmeldung inaktive authentifizierte Benutzer. Werfen Sie einen Blick.

    • Wie ein Charme! thx!!!
    • Que hace un maño en HK?
    • Empece eine viajar y no quise volver 😉 para como han dejado el pais politicos y banqueros...
    • Ich bin die Speicherung von int(time.time()) in der Sitzung (Sekunden seit Epoche. Löst das problem der Serialisierung
    InformationsquelleAutor dani herrera
Schreibe einen Kommentar