Go Web编程--SecureCookie实现客户端Session管理

在Web应用开发中Session是在用户和服务器之间进行交换的非持久化交互信息。当用户登录时，可以在用户和服务器之间生成Session，然后来回交换数据，并在用户登出时销毁Session。gorilla/sessions软件包提供了易于使用的Go语言Session实现。该软件包提供了两种不同的实现。第一个是文件系统存储，它将每个会话存储在服务器的文件系统中。另一个是Cookie存储，它使用我们上篇文章讲的SecureCookie在客户端上存储会话。同时还提供了用户自定义Session存储实现的选项，我们可以根据应用的需求自己实现Session存储。因为我们的教程是学会使用为目的就不大费周章的去实现MySQL或者Redis版本的Session存储了，我们直接使用软件包提供的Cookie实现来完成本节的Session相关内容。

Go Web 编程系列的每篇文章的源代码都打了对应版本的软件包，供大家参考。公众号中回复gohttp09获取本文源代码

使用Cookie存储用户Session的优缺点

客户端使用Cookie管理用户Session较之在服务器进行用户的Session管理会有一些优势。客户端Session增加了应用程序的可伸缩性，因为所有的会话数据都存储在用户端，因此可以将用户的请求平衡到不同的远端服务器，也不必在服务器端对所有用户的会话进行统一管理，所以使用Cookie存储用户Session会更简单一些。

当然有优势就必定有劣势，客户端Cookie的整体大小是有限制的。目前，Google Chrome浏览器将Cookie限制为4096个字节。

客户端会话还意味着无法终止会话，从而导致注销不完整。如果用户在退出前保存了Cookie中的会话信息，则他们可以使用该会话信息创建一个新的Cookie，然后继续使用该应用程序，为了最大程度地降低安全风险，我们可以将会话Cookie设置为在合理的时间内过期，使用加密后的ScureCookie存储数据，同时还要避免在其中存储敏感信息（即使是服务端管理Session也不应该存储类似密码这种敏感信息）。

总之在考虑使用客户端还是服务端存储用户Session时一定要根据应用的使用场景来选择，这一点很重要。

安装gorilla/sessions

在开始编码前先来安装一下gorilla/sessions软件包，

$ go get github.com/gorilla/sessions

并简单看一下软件包功能特性的介绍

• 方便地设置签名（也可以选择加密）的Cookie。
• 自带将会话存储在Cookie或服务端文件系统中的SessionStore实现。
• 支持Flash消息：读取即销毁的会话数据。
• 支持方便地切换会话数据的持久化方式。
• 为不同的Session存储提供统一的接口和基础设施。

演示用户Session设计实现

我们今天的示例代码是用gorilla/sessions提供的CookieSessionStore实现一个简单的系统登录功能。

我们会定义如下几个路由：

• /user/login 用户登录验证，验证成功后在用户Session数据中标记用户是已验证的。
• /user/logout 用户登出，会在Session中标记用户是未认证的。
• /user/secret 通过用户Session判断用户是否已认证，未认证返回403 Forbidden错误。

为了达到演示目的的同时减少文章中出现过多代码，我们不会做前端页面，通过命令行cURL直接请求上面几个URL验证我们的系统登录功能。

初始化工作

我们现在项目的handler目录下新建一个user子目录，用于存放使用到用户Session的处理程序

...
handler/
└── user/
    └── init.go
    └── login.go
    └── logout.go
    └── secret.go
...
main.go

其下的四个分别是包的初始化程序init.go以及存放上面说的三个路由处理程序的.go源文件。

初始化Session存储

我们把Session存储的初始化工作放在user包的init函数中，这样首次导入user包时即可完成相关的初始化工作。

package user

import "github.com/gorilla/sessions"

const (
    //64位
    cookieStoreAuthKey = "..."
    //AES encrypt key必须是16或者32位
    cookieStoreEncryptKey = "..."
)

var sessionStore *sessions.CookieStore

func init () {
    sessionStore = sessions.NewCookieStore(
        []byte(cookieStoreAuthKey),
        []byte(cookieStoreEncryptKey),
    )

    sessionStore.Options = &sessions.Options{
        HttpOnly: true,
        MaxAge:   60 * 15,
    }

}

实现登录验证

// login.go
var sessionCookieName = "user-session"
func Login(w http.ResponseWriter, r *http.Request) {
    session, err := sessionStore.Get(r, sessionCookieName)
    if err != nil {
        http.Error(w, err.Error(), http.StatusInternalServerError)
        return
    }
    // 登录验证
    name := r.FormValue("name")
    pass := r.FormValue("password")
    _, err = logic.AuthenticateUser(name, pass)
    if err != nil {
        http.Error(w, err.Error(), http.StatusUnauthorized)
        return
    }
    // 在session中标记用户已经通过登录验证
    session.Values["authenticated"] = true
    err = session.Save(r, w)

    fmt.Fprintln(w, "登录成功!", err)
}

• 我们将浏览器Cookie中存储用户Session的Cookie-Name设置成了user-session。
• 登录验证就是简单的用户名和密码查找匹配的用户，在之前的文章应用数据库和应用 ORM两篇文章中有在MySQL数据库中创建users表，并介绍了怎么使用ORM操作数据库，没有看过的同学可以回看一下。
• 登录验证成功后在Session的authenticated中标记了用户已通过认证。session.Values是类型map[interface{}]interface{}的别名，所以可以往其中存储任意类型的数据。

实现登出

登出我们这里就是简单的将Session中authenticated的值设置成了false.

//logout.go
func Logout(w http.ResponseWriter, r *http.Request) {
   session, _ := sessionStore.Get(r, sessionCookieName)

   session.Values["authenticated"] = false
   session.Save(r, w)
}

使用Session认证用户

//secret.go
func Secret(w http.ResponseWriter, r *http.Request) {
   session, _ := sessionStore.Get(r, sessionCookieName)

   if auth, ok := session.Values["authenticated"].(bool); !ok || !auth {
      http.Error(w, "Forbidden", http.StatusForbidden)
      return
   }

   fmt.Fprintln(w, "这里还是空空如也!")
}

• 使用Session中存储的数据值都是接口类型的，所以使用时要先对其进行类型断言session.Values["authenticated"].(bool)
• 如果authenticated的值不为true或者是从Session中获取不到对应的值，这里直接返回HTTP 403 Forbidden错误。

注册路由

// router.go
func RegisterRoutes(r *mux.Router) {
  ...
  userRouter := r.PathPrefix("/user").Subrouter()
  userRouter.HandleFunc("/login", user.Login).Methods("POST")
  userRouter.HandleFunc("/secret", user.Secret)
  userRouter.HandleFunc("/logout", user.Logout)
  ...
}

验证已实现的Session管理功能

编写完上面的Session管理的功能后，重启服务器，然后使用cURL分别请求URL验证一下效果。

curl -XPOST   -d 'name=Klein&password=123' \
     -c - http://localhost:8000/user/login

-c选项表示将Cookie写入到后面的文件中，完整格式是-c -<file_name>，短横线后不带文件名表示把Cookie写入到标准输出中。

我们可以在下图里看到，Cookie中的user-session存储的就是加密后的Session数据了

图片

如果请求中不携带这个Cookie访问/user/secret会直接返回HTTP 403错误

图片

那么接下来在使用cURL请求/user/secret时带上上面返回的Cookie值，看看请求是否能成功

curl --cookie "user-session=MTU4m..." http://localhost:8000/user/secret

图片

Cookie加密后的值太长了，搞得字儿好小，cURL执行的结果显示服务器成功地响应了我们的请求。你们试验的时候换成自己生成的Cookie值请求就可以啦。

你们实践时也可以用PostMan代替cURL试验，不过感觉PostMan的返回不如cURL来的明显。

Go Web 编程系列的每篇文章的源代码都打了对应版本的软件包，供大家参考。公众号中回复gohttp09获取本文源代码