estoy corriendo Django 1.3, utilizando Sesiones Middleware Middleware y autenticación:¿La forma más optimizada para eliminar todas las sesiones para un usuario específico en Django?
# settings.py
SESSION_ENGINE = django.contrib.sessions.backends.db # Persist sessions to DB
SESSION_COOKIE_AGE = 1209600 # Cookies last 2 weeks
Cada vez que un usuario se conecta desde una ubicación diferente (diferente del ordenador/navegador), un nuevo Session() se crea y guarda con un único session_id. Esto puede generar múltiples entradas en la base de datos para el mismo usuario. Su inicio de sesión persiste en ese nodo hasta que se elimine la cookie o la sesión expire.
Cuando un usuario cambia su contraseña, quiero eliminar todas las sesiones no vencidas para ese usuario de la base de datos. De esta manera, después de un cambio de contraseña, se ven obligados a volver a iniciar sesión. Esto es por razones de seguridad, como si su computadora fue robada, o accidentalmente se dejó conectado a una terminal pública.
Quiero saber la mejor manera de optimizar esto. Así es como lo he hecho:
# sessions_helpers.py
from django.contrib.sessions.models import Session
import datetime
def all_unexpired_sessions_for_user(user):
user_sessions = []
all_sessions = Session.objects.filter(expire_date__gte=datetime.datetime.now())
for session in all_sessions:
session_data = session.get_decoded()
if user.pk == session_data.get('_auth_user_id'):
user_sessions.append(session)
return user_sessions
def delete_all_unexpired_sessions_for_user(user, session_to_omit=None):
for session in all_unexpired_sessions_for_user(user):
if session is not session_to_omit:
session.delete()
Una visión muy simplificada:
# views.py
from django.http import HttpResponse
from django.shortcuts import render_to_response
from myapp.forms import ChangePasswordForm
from sessions_helpers import delete_all_unexpired_sessions_for_user
@never_cache
@login_required
def change_password(request):
user = request.user
if request.method == 'POST':
form = ChangePasswordForm(data=request)
if form.is_valid():
user.set_password(form.get('password'))
user.save()
request.session.cycle_key() # Flushes and replaces old key. Prevents replay attacks.
delete_all_unexpired_sessions_for_user(user=user, session_to_omit=request.session)
return HttpResponse('Success!')
else:
form = ChangePasswordForm()
return render_to_response('change_password.html', {'form':form}, context_instance=RequestContext(request))
como se puede ver en sessions_helpers.py, tengo que tirar de cada sesión no vencido fuera de la DB, Session.objects.filter(expire_date__gte=datetime.datetime.now()), decodificar todos ellos, y luego verifique si coincide con un usuario o no. Esto será extremadamente costoso para la base de datos si hay, digamos, más de 100,000 sesiones almacenadas allí.
¿Hay una manera más amigable con las bases de datos para hacer esto? ¿Existe una configuración de Sessions/Auth Middleware que te permita almacenar el nombre de usuario como columna en la tabla de Sesiones para que pueda ejecutar SQL en contra de eso, o tendré que modificar Sesiones para hacer eso? Desde el primer momento, solo tiene columnas session_key, session_data y expire_date.
Gracias por cualquier información o ayuda que pueda ofrecer. :)
Gracias por echarle un vistazo Jack. :) No estoy seguro si tu enfoque de dos DB-hit sería más rápido, pero lo probaré para estar seguro. –
Tienes razón y estoy equivocado; su código es más rápido para conjuntos de datos más grandes. Probé con 3 elementos, y el mío venció al tuyo por 1 ms. Cuando probé con 20 elementos, los tuyos vencieron al mío en 8.1ms. Tu respuesta es probablemente la mejor manera de mejorar la velocidad sin dar lugar a algunos trucos. –
Me sorprende que sea más lento incluso para un solo artículo. Desafortunadamente, sin embargo, está deserializando los datos, que probablemente será la verdadera ralentización, como parece que ya sabes. –