# 6.2 Go如何使用session
通過上一小節的介紹,我們知道session是在服務器端實現的一種用戶和服務器之間認證的解決方案,目前Go標準包沒有為session提供任何支持,這小節我們將會自己動手來實現go版本的session管理和創建。
## session創建過程
session的基本原理是由服務器為每個會話維護一份信息數據,客戶端和服務端依靠一個全局唯一的標識來訪問這份數據,以達到交互的目的。當用戶訪問Web應用時,服務端程序會隨需要創建session,這個過程可以概括為三個步驟:
- 生成全局唯一標識符(sessionid);
- 開辟數據存儲空間。一般會在內存中創建相應的數據結構,但這種情況下,系統一旦掉電,所有的會話數據就會丟失,如果是電子商務類網站,這將造成嚴重的后果。所以為了解決這類問題,你可以將會話數據寫到文件里或存儲在數據庫中,當然這樣會增加I/O開銷,但是它可以實現某種程度的session持久化,也更有利于session的共享;
- 將session的全局唯一標示符發送給客戶端。
以上三個步驟中,最關鍵的是如何發送這個session的唯一標識這一步上。考慮到HTTP協議的定義,數據無非可以放到請求行、頭域或Body里,所以一般來說會有兩種常用的方式:cookie和URL重寫。
1. Cookie
服務端通過設置Set-cookie頭就可以將session的標識符傳送到客戶端,而客戶端此后的每一次請求都會帶上這個標識符,另外一般包含session信息的cookie會將失效時間設置為0(會話cookie),即瀏覽器進程有效時間。至于瀏覽器怎么處理這個0,每個瀏覽器都有自己的方案,但差別都不會太大(一般體現在新建瀏覽器窗口的時候);
2. URL重寫
所謂URL重寫,就是在返回給用戶的頁面里的所有的URL后面追加session標識符,這樣用戶在收到響應之后,無論點擊響應頁面里的哪個鏈接或提交表單,都會自動帶上session標識符,從而就實現了會話的保持。雖然這種做法比較麻煩,但是,如果客戶端禁用了cookie的話,此種方案將會是首選。
## Go實現session管理
通過上面session創建過程的講解,讀者應該對session有了一個大體的認識,但是具體到動態頁面技術里面,又是怎么實現session的呢?下面我們將結合session的生命周期(lifecycle),來實現go語言版本的session管理。
### session管理設計
我們知道session管理涉及到如下幾個因素
- 全局session管理器
- 保證sessionid 的全局唯一性
- 為每個客戶關聯一個session
- session 的存儲(可以存儲到內存、文件、數據庫等)
- session 過期處理
接下來我將講解一下我關于session管理的整個設計思路以及相應的go代碼示例:
### Session管理器
定義一個全局的session管理器
type Manager struct {
cookieName string //private cookiename
lock sync.Mutex // protects session
provider Provider
maxlifetime int64
}
func NewManager(provideName, cookieName string, maxlifetime int64) (*Manager, error) {
provider, ok := provides[provideName]
if !ok {
return nil, fmt.Errorf("session: unknown provide %q (forgotten import?)", provideName)
}
return &Manager{provider: provider, cookieName: cookieName, maxlifetime: maxlifetime}, nil
}
Go實現整個的流程應該也是這樣的,在main包中創建一個全局的session管理器
var globalSessions *session.Manager
//然后在init函數中初始化
func init() {
globalSessions, _ = NewManager("memory","gosessionid",3600)
}
我們知道session是保存在服務器端的數據,它可以以任何的方式存儲,比如存儲在內存、數據庫或者文件中。因此我們抽象出一個Provider接口,用以表征session管理器底層存儲結構。
type Provider interface {
SessionInit(sid string) (Session, error)
SessionRead(sid string) (Session, error)
SessionDestroy(sid string) error
SessionGC(maxLifeTime int64)
}
- SessionInit函數實現Session的初始化,操作成功則返回此新的Session變量
- SessionRead函數返回sid所代表的Session變量,如果不存在,那么將以sid為參數調用SessionInit函數創建并返回一個新的Session變量
- SessionDestroy函數用來銷毀sid對應的Session變量
- SessionGC根據maxLifeTime來刪除過期的數據
那么Session接口需要實現什么樣的功能呢?有過Web開發經驗的讀者知道,對Session的處理基本就 設置值、讀取值、刪除值以及獲取當前sessionID這四個操作,所以我們的Session接口也就實現這四個操作。
type Session interface {
Set(key, value interface{}) error //set session value
Get(key interface{}) interface{} //get session value
Delete(key interface{}) error //delete session value
SessionID() string //back current sessionID
}
>以上設計思路來源于database/sql/driver,先定義好接口,然后具體的存儲session的結構實現相應的接口并注冊后,相應功能這樣就可以使用了,以下是用來隨需注冊存儲session的結構的Register函數的實現。
var provides = make(map[string]Provider)
// Register makes a session provide available by the provided name.
// If Register is called twice with the same name or if driver is nil,
// it panics.
func Register(name string, provider Provider) {
if provider == nil {
panic("session: Register provide is nil")
}
if _, dup := provides[name]; dup {
panic("session: Register called twice for provide " + name)
}
provides[name] = provider
}
### 全局唯一的Session ID
Session ID是用來識別訪問Web應用的每一個用戶,因此必須保證它是全局唯一的(GUID),下面代碼展示了如何滿足這一需求:
func (manager *Manager) sessionId() string {
b := make([]byte, 32)
if _, err := io.ReadFull(rand.Reader, b); err != nil {
return ""
}
return base64.URLEncoding.EncodeToString(b)
}
### session創建
我們需要為每個來訪用戶分配或獲取與他相關連的Session,以便后面根據Session信息來驗證操作。SessionStart這個函數就是用來檢測是否已經有某個Session與當前來訪用戶發生了關聯,如果沒有則創建之。
func (manager *Manager) SessionStart(w http.ResponseWriter, r *http.Request) (session Session) {
manager.lock.Lock()
defer manager.lock.Unlock()
cookie, err := r.Cookie(manager.cookieName)
if err != nil || cookie.Value == "" {
sid := manager.sessionId()
session, _ = manager.provider.SessionInit(sid)
cookie := http.Cookie{Name: manager.cookieName, Value: url.QueryEscape(sid), Path: "/", HttpOnly: true, MaxAge: int(manager.maxlifetime)}
http.SetCookie(w, &cookie)
} else {
sid, _ := url.QueryUnescape(cookie.Value)
session, _ = manager.provider.SessionRead(sid)
}
return
}
我們用前面login操作來演示session的運用:
func login(w http.ResponseWriter, r *http.Request) {
sess := globalSessions.SessionStart(w, r)
r.ParseForm()
if r.Method == "GET" {
t, _ := template.ParseFiles("login.gtpl")
w.Header().Set("Content-Type", "text/html")
t.Execute(w, sess.Get("username"))
} else {
sess.Set("username", r.Form["username"])
http.Redirect(w, r, "/", 302)
}
}
### 操作值:設置、讀取和刪除
SessionStart函數返回的是一個滿足Session接口的變量,那么我們該如何用他來對session數據進行操作呢?
上面的例子中的代碼`session.Get("uid")`已經展示了基本的讀取數據的操作,現在我們再來看一下詳細的操作:
func count(w http.ResponseWriter, r *http.Request) {
sess := globalSessions.SessionStart(w, r)
createtime := sess.Get("createtime")
if createtime == nil {
sess.Set("createtime", time.Now().Unix())
} else if (createtime.(int64) + 360) < (time.Now().Unix()) {
globalSessions.SessionDestroy(w, r)
sess = globalSessions.SessionStart(w, r)
}
ct := sess.Get("countnum")
if ct == nil {
sess.Set("countnum", 1)
} else {
sess.Set("countnum", (ct.(int) + 1))
}
t, _ := template.ParseFiles("count.gtpl")
w.Header().Set("Content-Type", "text/html")
t.Execute(w, sess.Get("countnum"))
}
通過上面的例子可以看到,Session的操作和操作key/value數據庫類似:Set、Get、Delete等操作
因為Session有過期的概念,所以我們定義了GC操作,當訪問過期時間滿足GC的觸發條件后將會引起GC,但是當我們進行了任意一個session操作,都會對Session實體進行更新,都會觸發對最后訪問時間的修改,這樣當GC的時候就不會誤刪除還在使用的Session實體。
### session重置
我們知道,Web應用中有用戶退出這個操作,那么當用戶退出應用的時候,我們需要對該用戶的session數據進行銷毀操作,上面的代碼已經演示了如何使用session重置操作,下面這個函數就是實現了這個功能:
//Destroy sessionid
func (manager *Manager) SessionDestroy(w http.ResponseWriter, r *http.Request){
cookie, err := r.Cookie(manager.cookieName)
if err != nil || cookie.Value == "" {
return
} else {
manager.lock.Lock()
defer manager.lock.Unlock()
manager.provider.SessionDestroy(cookie.Value)
expiration := time.Now()
cookie := http.Cookie{Name: manager.cookieName, Path: "/", HttpOnly: true, Expires: expiration, MaxAge: -1}
http.SetCookie(w, &cookie)
}
}
### session銷毀
我們來看一下Session管理器如何來管理銷毀,只要我們在Main啟動的時候啟動:
func init() {
go globalSessions.GC()
}
func (manager *Manager) GC() {
manager.lock.Lock()
defer manager.lock.Unlock()
manager.provider.SessionGC(manager.maxlifetime)
time.AfterFunc(time.Duration(manager.maxlifetime), func() { manager.GC() })
}
我們可以看到GC充分利用了time包中的定時器功能,當超時`maxLifeTime`之后調用GC函數,這樣就可以保證`maxLifeTime`時間內的session都是可用的,類似的方案也可以用于統計在線用戶數之類的。
## 總結
至此 我們實現了一個用來在Web應用中全局管理Session的SessionManager,定義了用來提供Session存儲實現Provider的接口,下一小節,我們將會通過接口定義來實現一些Provider,供大家參考學習。
## links
* [目錄](<preface.md>)
* 上一節: [session和cookie](<06.1.md>)
* 下一節: [session存儲](<06.3.md>)
- 目錄
- Go環境配置
- Go安裝
- GOPATH 與工作空間
- Go 命令
- Go開發工具
- 小結
- Go語言基礎
- 你好,Go
- Go基礎
- 流程和函數
- struct
- 面向對象
- interface
- 并發
- 小結
- Web基礎
- web工作方式
- Go搭建一個簡單的web服務
- Go如何使得web工作
- Go的http包詳解
- 小結
- 表單
- 處理表單的輸入
- 驗證表單的輸入
- 預防跨站腳本
- 防止多次遞交表單
- 處理文件上傳
- 小結
- 訪問數據庫
- database/sql接口
- 使用MySQL數據庫
- 使用SQLite數據庫
- 使用PostgreSQL數據庫
- 使用beedb庫進行ORM開發
- NOSQL數據庫操作
- 小結
- session和數據存儲
- session和cookie
- Go如何使用session
- session存儲
- 預防session劫持
- 小結
- 文本文件處理
- XML處理
- JSON處理
- 正則處理
- 模板處理
- 文件操作
- 字符串處理
- 小結
- Web服務
- Socket編程
- WebSocket
- REST
- RPC
- 小結
- 安全與加密
- 預防CSRF攻擊
- 確保輸入過濾
- 避免XSS攻擊
- 避免SQL注入
- 存儲密碼
- 加密和解密數據
- 小結
- 國際化和本地化
- 設置默認地區
- 本地化資源
- 國際化站點
- 小結
- 錯誤處理,調試和測試
- 錯誤處理
- 使用GDB調試
- Go怎么寫測試用例
- 小結
- 部署與維護
- 應用日志
- 網站錯誤處理
- 應用部署
- 備份和恢復
- 小結
- 如何設計一個Web框架
- 項目規劃
- 自定義路由器設計
- controller設計
- 日志和配置設計
- 實現博客的增刪改
- 小結
- 擴展Web框架
- 靜態文件支持
- Session支持
- 表單支持
- 用戶認證
- 多語言支持
- pprof支持
- 小結
- 參考資料