Go Web编程-SecureCookie实现客户端Session管理

Go Web编程–SecureCookie实现客户端Session管理

2020 年 3 月 12 日
筆記

在Web应用开发中Session是在用户和服务器之间进行交换的非持久化交互信息。当用户登录时，可以在用户和服务器之间生成Session，然后来回交换数据，并在用户登出时销毁Session。gorilla/sessions软件包提供了易于使用的Go语言Session实现。该软件包提供了两种不同的实现。第一个是文件系统存储，它将每个会话存储在服务器的文件系统中。另一个是Cookie存储，它使用我们上篇文章讲的SecureCookie在客户端上存储会话。同时还提供了用户自定义Session存储实现的选项，我们可以根据应用的需求自己实现Session存储。因为我们的教程是学会使用为目的就不大费周章的去实现MySQL或者Redis版本的Session存储了，我们直接使用软件包提供的Cookie实现来完成本节的Session相关内容。

Go Web 编程系列的每篇文章的源代码都打了对应版本的软件包，供大家参考。公众号中回复gohttp09获取本文源代码

使用Cookie存储用户Session的优缺点

客户端使用Cookie管理用户Session较之在服务器进行用户的Session管理会有一些优势。客户端Session增加了应用程序的可伸缩性，因为所有的会话数据都存储在用户端，因此可以将用户的请求平衡到不同的远端服务器，也不必在服务器端对所有用户的会话进行统一管理，所以使用Cookie存储用户Session会更简单一些。

当然有优势就必定有劣势，客户端Cookie的整体大小是有限制的。目前，Google Chrome浏览器将Cookie限制为4096个字节。

客户端会话还意味着无法终止会话，从而导致注销不完整。如果用户在退出前保存了Cookie中的会话信息，则他们可以使用该会话信息创建一个新的Cookie，然后继续使用该应用程序，为了最大程度地降低安全风险，我们可以将会话Cookie设置为在合理的时间内过期，使用加密后的ScureCookie存储数据，同时还要避免在其中存储敏感信息（即使是服务端管理Session也不应该存储类似密码这种敏感信息）。

总之在考虑使用客户端还是服务端存储用户Session时一定要根据应用的使用场景来选择，这一点很重要。

安装gorilla/sessions

在开始编码前先来安装一下gorilla/sessions软件包，

$ go get github.com/gorilla/sessions

并简单看一下软件包功能特性的介绍

方便地设置签名（也可以选择加密）的Cookie。
自带将会话存储在Cookie或服务端文件系统中的SessionStore实现。
支持Flash消息：读取即销毁的会话数据。
支持方便地切换会话数据的持久化方式。
为不同的Session存储提供统一的接口和基础设施。

演示用户Session设计实现

我们今天的示例代码是用gorilla/sessions提供的CookieSessionStore实现一个简单的系统登录功能。

我们会定义如下几个路由：

/user/login 用户登录验证，验证成功后在用户Session数据中标记用户是已验证的。
/user/logout 用户登出，会在Session中标记用户是未认证的。
/user/secret 通过用户Session判断用户是否已认证，未认证返回403 Forbidden错误。

为了达到演示目的的同时减少文章中出现过多代码，我们不会做前端页面，通过命令行cURL直接请求上面几个URL验证我们的系统登录功能。

初始化工作

我们现在项目的handler目录下新建一个user子目录，用于存放使用到用户Session的处理程序

...  handler/  └── user/      └── init.go      └── login.go      └── logout.go      └── secret.go  ...  main.go

其下的四个分别是包的初始化程序init.go以及存放上面说的三个路由处理程序的.go源文件。

初始化Session存储

我们把Session存储的初始化工作放在user包的init函数中，这样首次导入user包时即可完成相关的初始化工作。

package user    import "github.com/gorilla/sessions"    const (      //64位      cookieStoreAuthKey = "..."      //AES encrypt key必须是16或者32位      cookieStoreEncryptKey = "..."  )    var sessionStore *sessions.CookieStore    func init () {      sessionStore = sessions.NewCookieStore(          []byte(cookieStoreAuthKey),          []byte(cookieStoreEncryptKey),      )        sessionStore.Options = &sessions.Options{          HttpOnly: true,          MaxAge:   60 * 15,      }    }

实现登录验证

// login.go  var sessionCookieName = "user-session"  func Login(w http.ResponseWriter, r *http.Request) {      session, err := sessionStore.Get(r, sessionCookieName)      if err != nil {          http.Error(w, err.Error(), http.StatusInternalServerError)          return      }      // 登录验证      name := r.FormValue("name")      pass := r.FormValue("password")      _, err = logic.AuthenticateUser(name, pass)      if err != nil {          http.Error(w, err.Error(), http.StatusUnauthorized)          return      }      // 在session中标记用户已经通过登录验证      session.Values["authenticated"] = true      err = session.Save(r, w)        fmt.Fprintln(w, "登录成功!", err)  }

我们将浏览器Cookie中存储用户Session的Cookie-Name设置成了user-session。
登录验证就是简单的用户名和密码查找匹配的用户，在之前的文章应用数据库和应用 ORM两篇文章中有在MySQL数据库中创建users表，并介绍了怎么使用ORM操作数据库，没有看过的同学可以回看一下。
登录验证成功后在Session的authenticated中标记了用户已通过认证。session.Values是类型map[interface{}]interface{}的别名，所以可以往其中存储任意类型的数据。

实现登出

登出我们这里就是简单的将Session中authenticated的值设置成了false.

//logout.go  func Logout(w http.ResponseWriter, r *http.Request) {     session, _ := sessionStore.Get(r, sessionCookieName)       session.Values["authenticated"] = false     session.Save(r, w)  }

使用Session认证用户

//secret.go  func Secret(w http.ResponseWriter, r *http.Request) {     session, _ := sessionStore.Get(r, sessionCookieName)       if auth, ok := session.Values["authenticated"].(bool); !ok || !auth {        http.Error(w, "Forbidden", http.StatusForbidden)        return     }       fmt.Fprintln(w, "这里还是空空如也!")  }

使用Session中存储的数据值都是接口类型的，所以使用时要先对其进行类型断言session.Values["authenticated"].(bool)
如果authenticated的值不为true或者是从Session中获取不到对应的值，这里直接返回HTTP 403 Forbidden错误。

注册路由

// router.go  func RegisterRoutes(r *mux.Router) {    ...    userRouter := r.PathPrefix("/user").Subrouter()    userRouter.HandleFunc("/login", user.Login).Methods("POST")    userRouter.HandleFunc("/secret", user.Secret)    userRouter.HandleFunc("/logout", user.Logout)    ...  }

验证已实现的Session管理功能

编写完上面的Session管理的功能后，重启服务器，然后使用cURL分别请求URL验证一下效果。

curl -XPOST   -d 'name=Klein&password=123'        -c - http://localhost:8000/user/login

-c选项表示将Cookie写入到后面的文件中，完整格式是-c -<file_name>，短横线后不带文件名表示把Cookie写入到标准输出中。

我们可以在下图里看到，Cookie中的user-session存储的就是加密后的Session数据了

图片

如果请求中不携带这个Cookie访问/user/secret会直接返回HTTP 403错误

图片

那么接下来在使用cURL请求/user/secret时带上上面返回的Cookie值，看看请求是否能成功

curl --cookie "user-session=MTU4m..." http://localhost:8000/user/secret

图片

Cookie加密后的值太长了，搞得字儿好小，cURL执行的结果显示服务器成功地响应了我们的请求。你们试验的时候换成自己生成的Cookie值请求就可以啦。

你们实践时也可以用PostMan代替cURL试验，不过感觉PostMan的返回不如cURL来的明显。

Go Web 编程系列的每篇文章的源代码都打了对应版本的软件包，供大家参考。公众号中回复gohttp09获取本文源代码