基于cookie的用户登录状态管理
- 2019 年 11 月 13 日
- 笔记
cookie是什么
先来花5分钟看完这篇文章:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Cookies
看完上文,相信大家对cookie已经有了一个整体的概念,我再强调一下,cookie是一个客户端概念,它是存储在浏览器本地的一小段文本(通常由服务器来生成这段文本)。
cookie的作用
如上文所说,cookie有许多作用,如会话状态管理,个性化设置,浏览器行为跟踪,客户端数据的存储等等。本篇文章就来讲讲基于cookie的用户登录状态管理。
插一句哈,一般提到cookie,还会有一个叫session的家伙和它一起出现,下篇文章我会讲到它,以及两者的区别。
cookie的产生过程
如上图所示,客户端携带账号和密码向服务器发起请求,服务器在校验通过后,通过HTTP Respose Header中的Set-Cookie头部,将一小段文本写入客户端浏览器,在以后的每个客户端HTTP Request Header的Cookie头部中会自动携带这段文本。
基于cookie的用户登录状态管理
下面我基于golang和gin框架(中间件使用比较舒服)来简单的实现一个基于cookie的用户登录状态管理demo
package main import ( "net/http" "time" "github.com/gin-gonic/gin" ) func main() { r := gin.Default() r.GET("/login", Login) // 需要登陆保护的 auth := r.Group("") auth.Use(AuthRequired()) { auth.GET("/me", UserInfo) auth.GET("/logout", Logout) } r.Run("localhost:9000") } // 登陆 func Login(c *gin.Context) { // 为了演示方便,我直接通过url明文传递账号密码,实际生产中应该用HTTP POST在body中传递 userID := c.Query("user_id") password := c.Query("password") // 用户身份校验(查询数据库) if userID == "007" && password == "007" { // 生成cookie expiration := time.Now() expiration = expiration.AddDate(0, 0, 1) // 实际生产中我们可以加密userID cookie := http.Cookie{Name: "userID", Value: userID, Expires: expiration} http.SetCookie(c.Writer, &cookie) c.JSON(http.StatusOK, gin.H{"msg": "Hello " + userID}) return } c.JSON(http.StatusBadRequest, gin.H{"msg": "账号或密码错误"}) } // 检测是否登陆的中间件 func AuthRequired() gin.HandlerFunc { return func(c *gin.Context) { cookie, _ := c.Request.Cookie("userID") if cookie == nil { c.JSON(http.StatusUnauthorized, gin.H{"msg": "请先登陆"}) c.Abort() } // 实际生产中应校验cookie是否合法 c.Next() } } // 查看用户个人信息 func UserInfo(c *gin.Context) { c.JSON(http.StatusOK, gin.H{"msg": "007的个人页面"}) } // 退出登陆 func Logout(c *gin.Context) { // 设置cookie过期 expiration := time.Now() expiration = expiration.AddDate(0, 0, -1) cookie := http.Cookie{Name: "userID", Value: "", Expires: expiration} http.SetCookie(c.Writer, &cookie) c.JSON(http.StatusOK, gin.H{"msg": "退出成功"}) }
我们来看具体的演示流程和效果:
如下图所示,当我们退出后再去尝试访问个人页面时,会出现401没有权限的错误。
上述例子的缺点
先来说说上面的demo存在的问题吧,我们的退出登录函数本质是设置了一个过期了的cookie来覆盖以前发送给用户的正常cookie。
但是,这儿存在着一个重大的安全问题。如果用户将之前未过期的正常cookie记录下来(即本例子中的userID=007),即使调用了我们的logout接口,只要用户自己手动输入之前未过期的正常cookie,也是可以通过服务器的验证。
而且,最重要的是,我们无法让其失效,因为cookie的过期删除机制是由浏览器来控制的,但是当用户记录了cookie中的哪段文本后,在cookie到期后,浏览器只能删除存在于浏览器中的cookie,对用户自己记录下来的cookie确无能为力,也就是说这段cookie永远有效。(后面我们会讲一种叫json web token的技术,可以做到让我们签发的凭证自带过期机制,而不依赖浏览器)
当然,有同学会说,我们可以在服务器存储一份有效的cookie列表,在用户退出登录后,从有效列表中删除对应的cookie,这种在服务端维护用户状态的机制本质是session的思想,我们后面会讲基于session的用户登录状态管理。
再来说说cookie别的缺点:
当然这个我们通过设置cookie的属性为HttpOnly,来禁止JavaScript读取cookie值,可以起到一定的防护作用。
当然,cookie也是有优点的,我们把用户的登录状态保存在客户端,这样就不需要每一次去访问数据库来检测用户是否登录,减少了系统的IO开销。
最后
本文希望通过一个不是很完美的demo来讲述基于cookie的用户登录状态管理,下期我们来讲讲session。