Wylogowywanie użytkowników z witryny Django po N minutach bezczynności

Question

Pracuję nad witryną, która wymaga od nas zalogowania użytkownika po N minutach bezczynności. Czy są jakieś najlepsze praktyki do tego przy użyciu Django?

Answer 1

Spójrz na session middleware i jego ustawień. W szczególności te dwie:

SESSION_COOKIE_AGE

domyślne: 1209600 (2 tygodnie, w ciągu kilku sekund)

Wiek sesyjne, w sekund.

SESSION_SAVE_EVERY_REQUEST

domyślna: Fałsz

czy zapisać dane sesji na każde żądanie. Jeśli jest to wartość false (domyślnie), dane sesji będą zapisywane tylko, jeśli zostały zmodyfikowane - to znaczy, jeśli którakolwiek z jej wartości słownika została przypisana lub usunięta.

Ustawienie niskiego poziomu SESSION_COOKIE_AGE i włączenie SESSION_SAVE_EVERY_REQUEST powinno spowodować "wyślizgiwanie się" wygasania.

Answer 2

Spróbuj ustawić ustawienia.SESSION_COOKIE_AGE na N * 60 sekund.

http://docs.djangoproject.com/en/dev/ref/settings/#session-cookie-age

Answer 3

Ustawienie wieku ciasteczek sesji w oprogramowaniu pośredniczącym sesji django powoduje ustawienie czasu wygaśnięcia w nagłówku set-cookie przekazywanym do przeglądarki. Jest to tylko zgodność przeglądarki z czasem wygaśnięcia, który wymusza "wylogowanie".

W zależności od przyczyn potrzeby bezczynnego wylogowania użytkownik może nie uznać wystarczająco dobrze zgodności przeglądarki z czasem wygaśnięcia. W takim przypadku musisz rozszerzyć oprogramowanie pośrednie sesji, aby to zrobić.

Na przykład możesz przechowywać czas wygaśnięcia w silniku sesji, który aktualizujesz z zapytaniami. W zależności od rodzaju ruchu w Twojej witrynie, możesz chcieć tylko napisać z powrotem do obiektu sesji raz w X sekund, aby uniknąć nadmiernego zapisu danych w db.