问题

  在多个并发请求修改session数据的情况下， Flask Session无法成功保存所有的session数据，不管是默认的Flask session模块还是使用redis作为存储的Flask-Session库。举个例子：
  服务器代码如下:

import time
from flask import Flask, session
from flask_session import Session

app = Flask(__name__)
app.secret_key = "example"
app.config["SESSION_TYPE"] = "redis"
Session(app)

@app.route("/set/<value>")
def set_value(value):
    """Simulate long running task."""
    time.sleep(1)
    session[value] = "done"
    return "ok\n"

@app.route("/keys")
def keys():
    return str(session.keys()) + "\n"

  测试代码如下：

# 创建cookie文件
curl -c 'cookie' http://localhost:5007/keys
# 使用上面创建的cookie文件，发起三个并发请求。
curl -b 'cookie' http://localhost:5007/set/key1 && echo "done1" &
curl -b 'cookie' http://localhost:5007/set/key2 && echo "done2" & 
curl -b 'cookie' http://localhost:5007/set/key3 && echo "done3" &
wait
# 获取服务器端Session数据
curl -b 'cookie' http://localhost:5007/keys

  运行的结果如下：

$ sh test.sh 
dict_keys(['_permanent'])
ok
ok
ok
done3
done1
done2
dict_keys(['_permanent', 'key2'])

$ sh test.sh 
dict_keys(['_permanent'])
ok
done3
ok
ok
done2
done1
dict_keys(['_permanent', 'key1'])

  每次都是发起三个并发请求，但是都只保存了最后一个请求的数据，理论上不应该是三个都保存成功吗？

分析

  Cookie-based session不是线程安全的，所有的请求都是根据Cookie来操作Session里的数据的。这不是Flask的问题，而是HTTP标准就这么设计的。
  这地方的主要问题是，三个并发请求使用的同样的Cookie向服务器发起请求，这个cookie只包含了_permanent这一个数据。服务器端根据三个并发请求的cookie数据，三个请求的session值都是只包含_permanent这一个数据，所以后来的请求就覆盖了前面请求的session数据。
  在实际的情况下，比如登录，是不会出现在同一个时间，发起多个并发请求的，所以一般情况下，这种设计没有问题的。
  在上面的问题中，也使用的Flask-Session这个库，并且使用Redis作为数据存储，但是当我们仔细查询Flask-Session的代码会发现，Flask-Session这个库没有单独存放每个session数据，而是把所有的session数据序列化成一个字符串，然后存放在Redis里面，而Redis的Key-Value结构是新数据覆盖旧数据的，所以也有同样的问题。如果采用其他的数据库，比如Mysql，则不会有这样的问题。但是具体的Session中间件逻辑，就得靠自己实现了。