前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Go Web编程--SecureCookie实现客户端Session管理

Go Web编程--SecureCookie实现客户端Session管理

作者头像
KevinYan
发布2020-03-12 20:30:52
1.3K0
发布2020-03-12 20:30:52
举报
文章被收录于专栏:网管叨bi叨

Web应用开发中Session是在用户和服务器之间进行交换的非持久化交互信息。当用户登录时,可以在用户和服务器之间生成Session,然后来回交换数据,并在用户登出时销毁Sessiongorilla/sessions软件包提供了易于使用的Go语言Session实现。该软件包提供了两种不同的实现。第一个是文件系统存储,它将每个会话存储在服务器的文件系统中。另一个是Cookie存储,它使用我们上篇文章讲的SecureCookie在客户端上存储会话。同时还提供了用户自定义Session存储实现的选项,我们可以根据应用的需求自己实现Session存储。因为我们的教程是学会使用为目的就不大费周章的去实现MySQL或者Redis版本的Session存储了,我们直接使用软件包提供的Cookie实现来完成本节的Session相关内容。

Go Web 编程系列的每篇文章的源代码都打了对应版本的软件包,供大家参考。公众号中回复gohttp09获取本文源代码

使用Cookie存储用户Session的优缺点

客户端使用Cookie管理用户Session较之在服务器进行用户的Session管理会有一些优势。客户端Session增加了应用程序的可伸缩性,因为所有的会话数据都存储在用户端,因此可以将用户的请求平衡到不同的远端服务器,也不必在服务器端对所有用户的会话进行统一管理,所以使用Cookie存储用户Session会更简单一些。

当然有优势就必定有劣势,客户端Cookie的整体大小是有限制的。目前,Google Chrome浏览器将Cookie限制为4096个字节。

客户端会话还意味着无法终止会话,从而导致注销不完整。如果用户在退出前保存了Cookie中的会话信息,则他们可以使用该会话信息创建一个新的Cookie,然后继续使用该应用程序,为了最大程度地降低安全风险,我们可以将会话Cookie设置为在合理的时间内过期,使用加密后的ScureCookie存储数据,同时还要避免在其中存储敏感信息(即使是服务端管理Session也不应该存储类似密码这种敏感信息)。

总之在考虑使用客户端还是服务端存储用户Session时一定要根据应用的使用场景来选择,这一点很重要。

安装gorilla/sessions

在开始编码前先来安装一下gorilla/sessions软件包,

代码语言:javascript
复制
$ go get github.com/gorilla/sessions

并简单看一下软件包功能特性的介绍

  • 方便地设置签名(也可以选择加密)的Cookie
  • 自带将会话存储在Cookie或服务端文件系统中的SessionStore实现。
  • 支持Flash消息:读取即销毁的会话数据。
  • 支持方便地切换会话数据的持久化方式。
  • 为不同的Session存储提供统一的接口和基础设施。

演示用户Session设计实现

我们今天的示例代码是用gorilla/sessions提供的CookieSessionStore实现一个简单的系统登录功能。

我们会定义如下几个路由:

  • /user/login 用户登录验证,验证成功后在用户Session数据中标记用户是已验证的。
  • /user/logout 用户登出,会在Session中标记用户是未认证的。
  • /user/secret 通过用户Session判断用户是否已认证,未认证返回403 Forbidden错误。

为了达到演示目的的同时减少文章中出现过多代码,我们不会做前端页面,通过命令行cURL直接请求上面几个URL验证我们的系统登录功能。

初始化工作

我们现在项目的handler目录下新建一个user子目录,用于存放使用到用户Session的处理程序

代码语言:javascript
复制
...
handler/
└── user/
    └── init.go
    └── login.go
    └── logout.go
    └── secret.go
...
main.go

其下的四个分别是包的初始化程序init.go以及存放上面说的三个路由处理程序的.go源文件。

初始化Session存储

我们把Session存储的初始化工作放在user包的init函数中,这样首次导入user包时即可完成相关的初始化工作。

代码语言:javascript
复制
package user

import "github.com/gorilla/sessions"

const (
    //64位
    cookieStoreAuthKey = "..."
    //AES encrypt key必须是16或者32位
    cookieStoreEncryptKey = "..."
)

var sessionStore *sessions.CookieStore

func init () {
    sessionStore = sessions.NewCookieStore(
        []byte(cookieStoreAuthKey),
        []byte(cookieStoreEncryptKey),
    )

    sessionStore.Options = &sessions.Options{
        HttpOnly: true,
        MaxAge:   60 * 15,
    }

}

实现登录验证

代码语言:javascript
复制
// login.go
var sessionCookieName = "user-session"
func Login(w http.ResponseWriter, r *http.Request) {
    session, err := sessionStore.Get(r, sessionCookieName)
    if err != nil {
        http.Error(w, err.Error(), http.StatusInternalServerError)
        return
    }
    // 登录验证
    name := r.FormValue("name")
    pass := r.FormValue("password")
    _, err = logic.AuthenticateUser(name, pass)
    if err != nil {
        http.Error(w, err.Error(), http.StatusUnauthorized)
        return
    }
    // 在session中标记用户已经通过登录验证
    session.Values["authenticated"] = true
    err = session.Save(r, w)

    fmt.Fprintln(w, "登录成功!", err)
}
  • 我们将浏览器Cookie中存储用户SessionCookie-Name设置成了user-session
  • 登录验证就是简单的用户名和密码查找匹配的用户,在之前的文章应用数据库应用 ORM两篇文章中有在MySQL数据库中创建users表,并介绍了怎么使用ORM操作数据库,没有看过的同学可以回看一下。
  • 登录验证成功后在Sessionauthenticated中标记了用户已通过认证。session.Values是类型map[interface{}]interface{}的别名,所以可以往其中存储任意类型的数据。

实现登出

登出我们这里就是简单的将Sessionauthenticated的值设置成了false.

代码语言:javascript
复制
//logout.go
func Logout(w http.ResponseWriter, r *http.Request) {
   session, _ := sessionStore.Get(r, sessionCookieName)

   session.Values["authenticated"] = false
   session.Save(r, w)
}

使用Session认证用户

代码语言:javascript
复制
//secret.go
func Secret(w http.ResponseWriter, r *http.Request) {
   session, _ := sessionStore.Get(r, sessionCookieName)

   if auth, ok := session.Values["authenticated"].(bool); !ok || !auth {
      http.Error(w, "Forbidden", http.StatusForbidden)
      return
   }

   fmt.Fprintln(w, "这里还是空空如也!")
}
  • 使用Session中存储的数据值都是接口类型的,所以使用时要先对其进行类型断言session.Values["authenticated"].(bool)
  • 如果authenticated的值不为true或者是从Session中获取不到对应的值,这里直接返回HTTP 403 Forbidden错误。

注册路由

代码语言:javascript
复制
// router.go
func RegisterRoutes(r *mux.Router) {
  ...
  userRouter := r.PathPrefix("/user").Subrouter()
  userRouter.HandleFunc("/login", user.Login).Methods("POST")
  userRouter.HandleFunc("/secret", user.Secret)
  userRouter.HandleFunc("/logout", user.Logout)
  ...
}

验证已实现的Session管理功能

编写完上面的Session管理的功能后,重启服务器,然后使用cURL分别请求URL验证一下效果。

代码语言:javascript
复制
curl -XPOST   -d 'name=Klein&password=123' \
     -c - http://localhost:8000/user/login

-c选项表示将Cookie写入到后面的文件中,完整格式是-c -<file_name>,短横线后不带文件名表示把Cookie写入到标准输出中。

我们可以在下图里看到,Cookie中的user-session存储的就是加密后的Session数据了

图片

如果请求中不携带这个Cookie访问/user/secret会直接返回HTTP 403错误

图片

那么接下来在使用cURL请求/user/secret时带上上面返回的Cookie值,看看请求是否能成功

代码语言:javascript
复制
curl --cookie "user-session=MTU4m..." http://localhost:8000/user/secret

图片

Cookie加密后的值太长了,搞得字儿好小,cURL执行的结果显示服务器成功地响应了我们的请求。你们试验的时候换成自己生成的Cookie值请求就可以啦。

你们实践时也可以用PostMan代替cURL试验,不过感觉PostMan的返回不如cURL来的明显。

Go Web 编程系列的每篇文章的源代码都打了对应版本的软件包,供大家参考。公众号中回复gohttp09获取本文源代码

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-03-12,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 网管叨bi叨 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 使用Cookie存储用户Session的优缺点
  • 安装gorilla/sessions
  • 演示用户Session设计实现
    • 初始化工作
      • 初始化Session存储
        • 实现登录验证
          • 实现登出
            • 使用Session认证用户
              • 注册路由
                • 验证已实现的Session管理功能
                相关产品与服务
                对象存储
                对象存储(Cloud Object Storage,COS)是由腾讯云推出的无目录层次结构、无数据格式限制,可容纳海量数据且支持 HTTP/HTTPS 协议访问的分布式存储服务。腾讯云 COS 的存储桶空间无容量上限,无需分区管理,适用于 CDN 数据分发、数据万象处理或大数据计算与分析的数据湖等多种场景。
                领券
                问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档