Go Web编程--SecureCOOKIE实现客户端Session管理

在Web应用开发中Session是在用户和服务器之间进行交换的非持久化交互信息。当用户登录时&＃xff0c;可以在用户和服务器之间生成Session&＃xff0c;然后来回交换数据&＃xff0c;并在用户登出时销毁Session。gorilla/sessions软件包提供了易于使用的Go语言Session实现。该软件包提供了两种不同的实现。第一个是文件系统存储&＃xff0c;它将每个会话存储在服务器的文件系统中。另一个是COOKIE存储&＃xff0c;它使用我们上篇文章讲的SecureCOOKIE在客户端上存储会话。同时还提供了用户自定义Session存储实现的选项&＃xff0c;我们可以根据应用的需求自己实现Session存储。因为我们的教程是学会使用为目的就不大费周章的去实现MySQL或者Redis版本的Session存储了&＃xff0c;我们直接使用软件包提供的COOKIE实现来完成本节的Session相关内容。

Go Web 编程系列的每篇文章的源代码都打了对应版本的软件包&＃xff0c;供大家参考。公众号中回复gohttp09获取本文源代码

使用COOKIE存储用户Session的优缺点

客户端使用COOKIE管理用户Session较之在服务器进行用户的Session管理会有一些优势。客户端Session增加了应用程序的可伸缩性&＃xff0c;因为所有的会话数据都存储在用户端&＃xff0c;因此可以将用户的请求平衡到不同的远端服务器&＃xff0c;也不必在服务器端对所有用户的会话进行统一管理&＃xff0c;所以使用COOKIE存储用户Session会更简单一些。

当然有优势就必定有劣势&＃xff0c;客户端COOKIE的整体大小是有限制的。目前&＃xff0c;Google Chrome浏览器将COOKIE限制为4096个字节。

客户端会话还意味着无法终止会话&＃xff0c;从而导致注销不完整。如果用户在退出前保存了COOKIE中的会话信息&＃xff0c;则他们可以使用该会话信息创建一个新的COOKIE&＃xff0c;然后继续使用该应用程序&＃xff0c;为了最大程度地降低安全风险&＃xff0c;我们可以将会话COOKIE设置为在合理的时间内过期&＃xff0c;使用加密后的ScureCOOKIE存储数据&＃xff0c;同时还要避免在其中存储敏感信息(即使是服务端管理Session也不应该存储类似密码这种敏感信息)。

总之在考虑使用客户端还是服务端存储用户Session时一定要根据应用的使用场景来选择&＃xff0c;这一点很重要。

安装gorilla/sessions

在开始编码前先来安装一下gorilla/sessions软件包&＃xff0c;

$ go get github.com/gorilla/sessions

并简单看一下软件包功能特性的介绍

• 方便地设置签名(也可以选择加密)的COOKIE。
• 自带将会话存储在COOKIE或服务端文件系统中的SessionStore实现。
• 支持Flash消息&＃xff1a;读取即销毁的会话数据。
• 支持方便地切换会话数据的持久化方式。
• 为不同的Session存储提供统一的接口和基础设施。

演示用户Session设计实现

我们今天的示例代码是用gorilla/sessions提供的COOKIESessionStore实现一个简单的系统登录功能。

我们会定义如下几个路由&＃xff1a;

• /user/login 用户登录验证&＃xff0c;验证成功后在用户Session数据中标记用户是已验证的。
• /user/logout 用户登出&＃xff0c;会在Session中标记用户是未认证的。
• /user/secret 通过用户Session判断用户是否已认证&＃xff0c;未认证返回403 Forbidden错误。

为了达到演示目的的同时减少文章中出现过多代码&＃xff0c;我们不会做前端页面&＃xff0c;通过命令行cURL直接请求上面几个URL验证我们的系统登录功能。

初始化工作

我们现在项目的handler目录下新建一个user子目录&＃xff0c;用于存放使用到用户Session的处理程序

...handler/└── user/ └── init.go └── login.go └── logout.go └── secret.go...main.go

其下的四个分别是包的初始化程序init.go以及存放上面说的三个路由处理程序的.go源文件。

初始化Session存储

我们把Session存储的初始化工作放在user包的init函数中&＃xff0c;这样首次导入user包时即可完成相关的初始化工作。

package userimport "github.com/gorilla/sessions"const (//64位COOKIEStoreAuthKey &＃61; "..."//AES encrypt key必须是16或者32位COOKIEStoreEncryptKey &＃61; "...")var sessionStore *sessions.COOKIEStorefunc init () {sessionStore &＃61; sessions.NewCOOKIEStore([]byte(COOKIEStoreAuthKey),[]byte(COOKIEStoreEncryptKey),)sessionStore.Options &＃61; &sessions.Options{HttpOnly: true,MaxAge: 60 * 15,}}

实现登录验证

// login.govar sessionCOOKIEName &＃61; "user-session"func Login(w http.ResponseWriter, r *http.Request) {session, err :&＃61; sessionStore.Get(r, sessionCOOKIEName)if err !&＃61; nil {http.Error(w, err.Error(), http.StatusInternalServerError)return}// 登录验证name :&＃61; r.FormValue("name")pass :&＃61; r.FormValue("password")_, err &＃61; logic.AuthenticateUser(name, pass)if err !&＃61; nil {http.Error(w, err.Error(), http.StatusUnauthorized)return}// 在session中标记用户已经通过登录验证session.Values["authenticated"] &＃61; trueerr &＃61; session.Save(r, w)fmt.Fprintln(w, "登录成功!", err)}

• 我们将浏览器COOKIE中存储用户Session的COOKIE-Name设置成了user-session。
• 登录验证就是简单的用户名和密码查找匹配的用户&＃xff0c;在之前的文章应用数据库和应用 ORM两篇文章中有在MySQL数据库中创建users表&＃xff0c;并介绍了怎么使用ORM操作数据库&＃xff0c;没有看过的同学可以回看一下。
• 登录验证成功后在Session的authenticated中标记了用户已通过认证。session.Values是类型map[interface{}]interface{}的别名&＃xff0c;所以可以往其中存储任意类型的数据。

实现登出

登出我们这里就是简单的将Session中authenticated的值设置成了false.

//logout.gofunc Logout(w http.ResponseWriter, r *http.Request) { session, _ :&＃61; sessionStore.Get(r, sessionCOOKIEName) session.Values["authenticated"] &＃61; false session.Save(r, w)}

使用Session认证用户

//secret.gofunc Secret(w http.ResponseWriter, r *http.Request) { session, _ :&＃61; sessionStore.Get(r, sessionCOOKIEName) if auth, ok :&＃61; session.Values["authenticated"].(bool); !ok || !auth { http.Error(w, "Forbidden", http.StatusForbidden) return } fmt.Fprintln(w, "这里还是空空如也!")}

• 使用Session中存储的数据值都是接口类型的&＃xff0c;所以使用时要先对其进行类型断言session.Values["authenticated"].(bool)
• 如果authenticated的值不为true或者是从Session中获取不到对应的值&＃xff0c;这里直接返回HTTP 403 Forbidden错误。

注册路由

// router.gofunc RegisterRoutes(r *mux.Router) { ... userRouter :&＃61; r.PathPrefix("/user").Subrouter() userRouter.HandleFunc("/login", user.Login).Methods("POST") userRouter.HandleFunc("/secret", user.Secret) userRouter.HandleFunc("/logout", user.Logout) ...}

验证已实现的Session管理功能

编写完上面的Session管理的功能后&＃xff0c;重启服务器&＃xff0c;然后使用cURL分别请求URL验证一下效果。

curl -XPOST -d &＃39;name&＃61;Klein&password&＃61;123&＃39; -c - http://localhost:8000/user/login

-c选项表示将COOKIE写入到后面的文件中&＃xff0c;完整格式是-c -&＃xff0c;短横线后不带文件名表示把COOKIE写入到标准输出中。

我们可以在下图里看到&＃xff0c;COOKIE中的user-session存储的就是加密后的Session数据了

如果请求中不携带这个COOKIE访问/user/secret会直接返回HTTP 403错误

那么接下来在使用cURL请求/user/secret时带上上面返回的COOKIE值&＃xff0c;看看请求是否能成功

curl --COOKIE "user-session&＃61;MTU4m..." http://localhost:8000/user/secret

COOKIE加密后的值太长了&＃xff0c;搞得字儿好小&＃xff0c;cURL执行的结果显示服务器成功地响应了我们的请求。你们试验的时候换成自己生成的COOKIE值请求就可以啦。

你们实践时也可以用PostMan代替cURL试验&＃xff0c;不过感觉PostMan的返回不如cURL来的明显。