美文网首页
Go语言 Web开发(7)cookie的使用

Go语言 Web开发(7)cookie的使用

作者: 小杰的快乐时光 | 来源:发表于2018-08-23 05:52 被阅读0次

    为了确定整个WEB操作过程中,哪些连接是跟同一用户有关,我们一般都会使用cookie和session。cookie作用于客户端,把用户数据保存在客户端,session是一种服务器端的机制,给每一位用户分配唯一的sessionID:要么通过url传递,要么保存在客户端的cookies里,或者保存到数据库中。

    cookie:在用户通过客户端发送请求给服务端时,服务端就会将赋值cookie,并将这个cookie保存到客户端,等到用户访问服务器上的其他页面时,就会一起将cookie和请求发送到服务器,从而完成验证。

    session:在服务端与客户端建立联系后,就会在服务端为客户端创建唯一的sessionID并保存在客户端上。客户端再次访问网站时就会通过sessionID获取内容,这样就可以避免在握手或者传输中暴露用户真实密码。

    Go语言中通过net/http包中的SetCookie来设置:

    // SetCookie将Set-Cookie标头添加到提供的ResponseWriter标头中。
    //提供的cookie必须具有有效的名称。 无效的cookie可能会被静默删除。
    //ResponseWriter 表示要写入的response,cookie是一个struct, 表示在Set-Cookie标头中发送的HTTP cookie
    func SetCookie(w ResponseWriter, cookie *Cookie) {
       if v := cookie.String(); v != "" {
          w.Header().Add("Set-Cookie", v)
       }
    }
    

    cookie的结构示意如下所示:

    type Cookie struct {
       Name  string
       Value string
    
       Path       string    // 可选
       Domain     string    // 可选
       Expires    time.Time // 可选
       RawExpires string    //  仅用于阅读cookies
    
        // MaxAge = 0表示未指定“Max-Age”属性。
        // MaxAge <0表示现在删除cookie,相当于'Max-Age:0'
        // MaxAge> 0表示存在Max-Age属性,以秒为单位给出
       MaxAge   int
       Secure   bool
       HttpOnly bool
       Raw      string
       Unparsed []string // 未解析的属性 - 值对的原始文本
    }
    

    Go设置cookie

    cookie := http.Cookie{Name: "cookiename", Value: "testcookievalue", Path: "/", MaxAge: 86400}
    http.SetCookie(w, &cookie)
    

    Go读取cookie

    cookie, err := req.Cookie("cookiename")
    

    Go删除cookie

    cookie := http.Cookie{Name: "cookiename", Path: "/", MaxAge: -1}
    http.SetCookie(w, &cookie)
    

    下面是一个Go测试Cookie的小例子

    package main
    
    import "net/http"
    
    func main()  {
       http.HandleFunc("/readcookie", ReadCookie)
       http.HandleFunc("/writecookie", WriteCookie)
       http.HandleFunc("/deletecookie", DeleteCookie)
       http.ListenAndServe(":9090", nil)
    }
    
    func WriteCookie(w http.ResponseWriter,r *http.Request)  {
       //创建新的本地cookie
       cookie := http.Cookie{Name:"localCookie",Value:"GoLang",Path:"/",MaxAge:86400}
       http.SetCookie(w,&cookie)
       w.Write([]byte("设置cookie成功"))
    }
    
    func ReadCookie(w http.ResponseWriter,r *http.Request)  {
       //读取cookie
       cookie,err := r.Cookie("localCookie")
       if err == nil {
          cookieValue := cookie.Value
          //将数据写入http连接中
          w.Write([]byte("cookie的值为:"+cookieValue))
       }else {
          w.Write([]byte("读取cookie出错:"+err.Error()))
       }
    }
    
    func DeleteCookie(w http.ResponseWriter,r *http.Request)  {
       cookie := http.Cookie{Name:"localCookie",Path:"/",MaxAge:-1}
       http.SetCookie(w,&cookie)
       w.Write([]byte("<删除cookie成功"))
    }
    

    预防session劫持,有以下三种方式
    ①sessionID的值只允许cookie设置,而不是通过URL重置方式设置,同时设置cookie的httponly为true,这个属性是设置是否可通过客户端脚本访问这个设置的cookie,第一这个可以防止这个cookie被XSS读取从而引起session劫持,第二cookie设置不会像URL重置方式那么容易获取sessionID

    ②每个请求里面加上token,实现类似前面章节里面讲的防止form重复递交类似的功能,我们在每个请求里面加上一个隐藏的token,然后每次验证这个token,从而保证用户的请求都是唯一性。

    ③给session额外设置一个创建时间的值,一旦过了一定的时间,我们销毁这个sessionID,重新生成新的session,这样可以一定程度上防止session劫持的问题。

    createtime := sess.Get("createtime")
    if createtime == nil {
        sess.Set("createtime", time.Now().Unix())
    //判断每次请求是否过期(这里设置了60秒)定期生成新的ID
    } else if (createtime.(int64) + 60) < (time.Now().Unix()) { 
        globalSessions.SessionDestroy(w, r)
        sess = globalSessions.SessionStart(w, r)
    }
    

    参考书籍:《Go Web编程》

    相关文章

      网友评论

          本文标题:Go语言 Web开发(7)cookie的使用

          本文链接:https://www.haomeiwen.com/subject/mbouiftx.html