Django中删除特定用户所有会话的最优方式是什么？

如果您从all_unexpired_sessions_for_user函数中返回一个QuerySet，您可以将数据库查询限制为两个：

def all_unexpired_sessions_for_user(user):
    user_sessions = []
    all_sessions  = Session.objects.filter(expire_date__gte=datetime.datetime.now())
    for session in all_sessions:
        session_data = session.get_decoded()
        if user.pk == session_data.get('_auth_user_id'):
            user_sessions.append(session.pk)
    return Session.objects.filter(pk__in=user_sessions)

def delete_all_unexpired_sessions_for_user(user, session_to_omit=None):
    session_list = all_unexpired_sessions_for_user(user)
    if session_to_omit is not None:
        session_list.exclude(session_key=session_to_omit.session_key)
    session_list.delete()

这将给你对数据库的总共两次操作。一次是循环所有的Session对象，另一次是删除所有的会话。不幸的是，我不知道有更直接的方法来过滤会话本身。

另一种使用列表推导式的函数版本，可以直接删除用户的所有未过期会话:

from django.utils import timezone
from django.contrib.sessions.models import Session


def delete_all_unexpired_sessions_for_user(user):
    unexpired_sessions = Session.objects.filter(expire_date__gte=timezone.now())
    [
        session.delete() for session in unexpired_sessions
        if str(user.pk) == session.get_decoded().get('_auth_user_id')
    ]

最有效的方法是在登录时存储用户的会话ID。您可以使用request.session._session_key访问会话ID，并将其存储在一个引用了用户的单独模型中。现在，当您想要删除用户的所有会话时，只需查询此模型，它将返回有关该用户的所有活动会话。现在，您只需要从会话表中删除这些会话，而不是查找所有会话以过滤出特定用户的会话。

使用以下工具可能会有帮助：

• django-password-session，用于在更改密码后使用户会话无效。自Django 1.7以来，该功能已经实现。
• django-admin clearsessions，用于删除过期的cookie。

我们曾经遇到过类似的情况，我们有一个SSO应用程序，使用不同种类的身份验证/授权解决方案，如OAuth、CSR应用程序的令牌和SSR应用程序的Cookie-Session。在注销时，我们必须从所有应用程序中清除所有会话和令牌，以实时注销用户。

如果您仔细观察Django中Session模型的源代码，您会发现所有行都有一个session_key。主要思路是在登录时找到用户的session_key，然后将其存储在某个地方（最好是用户自身的模型或具有FK的模型），然后在注销期间恢复并删除具有此键的会话行。

例如：

# in model.py a regular User model
from django.contrib.postgres.fields import ArrayField

class User(AbstractUser):
    # other fields
    
    # This could be a JsonField to store other data of logedin user 
    # like IP or Agent to have more control on users logout
    session_keys = ArrayField(models.CharField(max_length=255), default=list)


# in views.py a simple login view
def login(request):
    form = LoginForm(request.POST or None, request=request)
    if form.is_valid():
        form.save()
        return redirect(request.GET.get('next'))

    context = {
        'form': form,
        'next': request.GET.get('next'),
    }
    return render(request, 'register.html', context)

# in forms.py a form that check regular password and user name checks


class LoginForm(forms.Form):
    username = forms.CharField(required=True)
    password = forms.CharField(required=True)

    def __init__(self, *args, **kwargs):
        self.request = kwargs.pop('request', None)
        super().__init__(*args, **kwargs)

    def clean(self):
        # some check

    def save(self):
        # create a session for user
        # I had multiple backend if you have one session backend
        # there is no need to provide it
        login(self.request, self.user, backend='django.contrib.auth.backends.ModelBackend')
        
        # if everything be ok after creating session, login 
        # function will add created session instance to request 
        # object as a property and we can find its key
        # (it is little complicated then what I said...)
        self.user.session_keys.append(self.request.session.session_key)
        self.user.save()

# then again in views.py 
from django.contrib.sessions.models import Session

def logout(request):
    user = self.request.user
    Session.objects.filter(session_key__in=user.session_keys).delete()
    user.session_keys = []
    user.save()
    return render(request, 'logout.html')

这个解决方案适用于 Django 3，但对于其他版本，会话可能有不同的行为

https://docs.djangoproject.com/en/dev/topics/http/sessions/#cookie-session-backend