go Session的实现(一)

已于 2023-09-02 22:05:40 修改
阅读量811 收藏
点赞数
分类专栏: Golang Web 前端 文章标签: golang 后端 前端 网络
于 2023-09-02 16:57:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73651896/article/details/132631917
版权
Golang 同时被 3 个专栏收录
13 篇文章 0 订阅
订阅专栏
Web
8 篇文章 0 订阅
订阅专栏
前端
6 篇文章 0 订阅
订阅专栏

〇、前言

众所周知,http协议是无状态的,这对于服务器确认是哪一个客户端在发请求是不可能的,因此为了能确认到,通常方法是让客户端发送请求时带上身份信息。容易想到的方法就是客户端在提交信息时,带上自己的账户和密码。但是这样存在着严重的安全问题,可以改进的方法就是,服务器给一个确定的客户端返回一个唯一 id,客户端将这个 id 保存在本地,每次发送请求时只需要携带着这个 id,就可以做到较好的验证(当然也存在着安全问题,这个后面再说)。

这个方法就是 现今很成熟的 session、cookie 技术。session和cookie的目的相同,都是为了克服http协议无状态的缺陷,但完成的方法不同。session通过cookie,在客户端保存session id,而将用户的其他会话消息保存在服务端的session对象中。与此相对的,cookie需要将所有信息都保存在客户端。因此cookie存在着一定的安全隐患,例如本地cookie中保存的用户名密码被破译,或cookie被其他网站收集。

本文将尝试着实现一个成熟的 go session,从而实现会话保持。
思维导图如下:
在这里插入图片描述

一、架构设计

0、思维导图

在这里插入图片描述

1、管理器

type Manager struct {
	cookieName  string
	lock        sync.Mutex
	provider    Provider
	maxLifeTime int64
}

其中 Provider 是一个接口:

// Provider 接口
type Provider interface {
	SessionInit(sid string) (Session, error) // SessionInit函数实现Session的初始化,操作成功则返回此新的Session变量
	SessionRead(sid string) (Session, error) // SessionRead函数返回sid所代表的Session变量.如果不存在,那么将以sid为参数调用SessionInit函数创建并返回一个新的Session变量
	SessionDestroy(sid string) error         // SessionDestroy函数用来销毁sid对应的Session变量
	SessionGC(maxLifeTime int64)             // SessionGC根据maxLifeTime来删除过期的数据
}

这里又定义了一个Provider 结构体,它实现了 Provider 接口:

// Provider 实现接口 Provider

func (pder *Provider) SessionInit(sid string) (session.Session, error) {
	// 根据 sid 创建一个 SessionStore
	pder.lock.Lock()
	defer pder.lock.Unlock()
	v := make(map[interface{}]interface{})
	// 同时更新两个字段
	newsess := &SessionStore{sid: sid, timeAccessed: time.Now(), value: v}
	// list 用于GC
	element := pder.list.PushBack(newsess)
	// 存放 kv
	pder.sessions[sid] = element
	return newsess, nil
}

func (pder *Provider) SessionRead(sid string) (session.Session, error) {
	if element, ok := pder.sessions[sid]; ok {
		return element.Value.(*SessionStore), nil
	} else {
		sess, err := pder.SessionInit(sid)
		return sess, err
	}
}

// 服务端 session 销毁

func (pder *Provider) SessionDestroy(sid string) error {
	if element, ok := pder.sessions[sid]; ok {
		delete(pder.sessions, sid)
		pder.list.Remove(element)
		return nil
	}
	return nil
}

// 回收过期的 cookie

func (pder *Provider) SessionGC(maxlifetime int64) {
	pder.lock.Lock()
	defer pder.lock.Unlock()

	for {
		element := pder.list.Back()
		if element == nil {
			break
		}
		if (element.Value.(*SessionStore).timeAccessed.Unix() + maxlifetime) < time.Now().Unix() {
			// 更新两者的值

			// 垃圾回收
			pder.list.Remove(element)
			// 删除 map 中的kv
			delete(pder.sessions, element.Value.(*SessionStore).sid)
		} else {
			break
		}
	}
}

func (pder *Provider) SessionUpdate(sid string) error {
	pder.lock.Lock()
	defer pder.lock.Unlock()
	if element, ok := pder.sessions[sid]; ok {
		// 这里更新也就更新了个时间,这意味着 session 的生命得到了延长
		element.Value.(*SessionStore).timeAccessed = time.Now()
		pder.list.MoveToFront(element)
		return nil
	}
	return nil
}

管理器 Manager 实现的方法:

// 创建 Session

func (manager *Manager) SessionStart(w http.ResponseWriter, r *http.Request) (session Session) {
	manager.lock.Lock()
	defer manager.lock.Unlock()
	cookie, err := r.Cookie(manager.cookieName)
	if err != nil || cookie.Value == "" {
		// 查看是否为当前客户端注册过名为 gosessionid 的 cookie,如果没有注册过,就为客户端创建一个该 cookie

		// 创建 sessionID
		sid := manager.sessionID()
		// 创建一个 session 接口,这其实是一个 创建完成的 SessionStore ,SessionStore 实现了该接口
		session, _ = manager.provider.SessionInit(sid)
		// 创建 cookie
		cookie := http.Cookie{Name: manager.cookieName, Value: url.QueryEscape(sid), Path: "/", HttpOnly: true, MaxAge: int(manager.maxLifeTime)}
		http.SetCookie(w, &cookie)
	} else {
		sid, _ := url.QueryUnescape(cookie.Value)
		session, _ = manager.provider.SessionRead(sid)
	}
	return
}

// Session 重置

func (manager *Manager) SessionDestroy(w http.ResponseWriter, r *http.Request) {
	cookie, err := r.Cookie(manager.cookieName)
	if err != nil || cookie.Value == "" {
		return
	} else {
		manager.lock.Lock()
		defer manager.lock.Unlock()
		err := manager.provider.SessionDestroy(cookie.Value)
		if err != nil {
			return
		}
		expiration := time.Now()
		cookie := http.Cookie{Name: manager.cookieName, Path: "/", HttpOnly: true, Expires: expiration, MaxAge: -1}
		http.SetCookie(w, &cookie)
	}
}

// Session 回收

func (manager *Manager) GC() {
	manager.lock.Lock()
	defer manager.lock.Unlock()
	manager.provider.SessionGC(manager.maxLifeTime)
	// 每 20秒触发一次
	time.AfterFunc(time.Second*20, func() { manager.GC() })
}

2、sessions存放

在 Provider 结构体中:

sessions map[string]*list.Element // 存放 sessionStores
list     *list.List               // 用来做gc

sessions 中存放不同客户端的 session,而 list 中也会同时刷新,它用来回收过期的 session。
每一个session用 SessionStore 结构体来存储。

Session 接口:

// Session 接口
type Session interface {
	Set(key, value interface{}) error // 设置 session 的值
	Get(key interface{}) interface{}  // 获取 session 的值
	Delete(key interface{}) error     // 删除 session 的值
	SessionID() string                // 返回当前 session 的 ID
}

这个接口,由 SessionStore 实现:

// SessionStore 结构体

type SessionStore struct {
	sid          string                      // session id唯一标识
	timeAccessed time.Time                   // 最后访问时间
	value        map[interface{}]interface{} // 值
}

// SessionStore 实现 Session 接口

func (st *SessionStore) Set(key, value interface{}) error {
	st.value[key] = value
	err := pder.SessionUpdate(st.sid)
	if err != nil {
		return err
	}
	return nil
}

func (st *SessionStore) Get(key interface{}) interface{} {
	err := pder.SessionUpdate(st.sid)
	if err != nil {
		return nil
	}
	if v, ok := st.value[key]; ok {
		return v
	} else {
		return nil
	}
}

func (st *SessionStore) Delete(key interface{}) error {
	delete(st.value, key)
	err := pder.SessionUpdate(st.sid)
	if err != nil {
		return err
	}
	return nil
}

func (st *SessionStore) SessionID() string {
	return st.sid
}

二、实现细节

1、provider 注册表

// provider 注册表
var provides = make(map[string]Provider)

任何一个 Maneger 在创建之前,都需要在 provider 注册表中注册。因此在创建一个全局注册表pder,并注册,这应该是 init 的:

// 创建全局 pder
var pder = &Provider{list: list.New()}
func init() {
	pder.sessions = make(map[string]*list.Element)
	session.Register("memory", pder)
}

注册器:

func Register(name string, provider Provider) {
	if provider == nil {
		panic("session: Register provide is nil")
	}
	if _, dup := provides[name]; dup {
		panic("session: Register called twice for provide " + name)
	}
	provides[name] = provider
}

2、全局管理器

var globalSessions *session.Manager
func init() {
	globalSessions, _ = session.NewManager("memory", "gosessionid", 3600)
	go globalSessions.GC()
}

这个管理器就是一个 cookie 管理器,它只对cookie名字为gosessionid的 cookie 负责。

func NewManager(provideName, cookieName string, maxlifetime int64) (*Manager, error) {
	provider, ok := provides[provideName]
	if !ok {
		return nil, fmt.Errorf("session: unknown provide %q (forgotten import?)", provideName)
	}
	return &Manager{provider: provider, cookieName: cookieName, maxLifeTime: maxlifetime}, nil
}

3、案例演示

现在已经初始化好了,就等着客户端访问了。
现在我们写一个很简单的计数器,前端访问的时候,自动+1:

func count(c *gin.Context) {
	sess := globalSessions.SessionStart(c.Writer, c.Request)
	ct := sess.Get("countnum")
	if ct == nil {
		err := sess.Set("countnum", 1)
		if err != nil {
			return
		}
	} else {
		// 更新
		err := sess.Set("countnum", ct.(int)+1)
		if err != nil {
			return
		}
	}
	t, err := template.ParseFiles("template/count.html")
	if err != nil {
		fmt.Println(err)
	}
	c.Writer.Header().Set("Content-Type", "text/html")
	err = t.Execute(c.Writer, sess.Get("countnum"))
	if err != nil {
		return
	}
}

当中的count.html这样写:

<!DOCTYPE html>
<html lang="en">

<head>
  <meta charset="UTF-8">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  <title>Count</title>
</head>

<body>
  <h1>Hi. Now count:{{.}}</h1>
</body>

</html>

main.go这样写:

package main

import (
	_ "Go_Web/memory"
	"Go_Web/session"
	"fmt"
	"github.com/gin-gonic/gin"
	"html/template"
	"net/http"
)

// 全局 sessions 管理器
var globalSessions *session.Manager

// init 初始化

func init() {
	globalSessions, _ = session.NewManager("memory", "gosessionid",20)
	go globalSessions.GC()
}

func count(c *gin.Context) {
	sess := globalSessions.SessionStart(c.Writer, c.Request)
	ct := sess.Get("countnum")
	if ct == nil {
		err := sess.Set("countnum", 1)
		if err != nil {
			return
		}
	} else {
		// 更新
		err := sess.Set("countnum", ct.(int)+1)
		if err != nil {
			return
		}
	}
	t, err := template.ParseFiles("template/count.html")
	if err != nil {
		fmt.Println(err)
	}
	c.Writer.Header().Set("Content-Type", "text/html")
	err = t.Execute(c.Writer, sess.Get("countnum"))
	if err != nil {
		return
	}
}

func main() {
	r := gin.Default()
	r.GET("/count", count)
	err := r.Run(":9000")
	if err != nil {
		return
	}

}

我们把 session 的过期时间设为 20 秒,这样可以 更快的看到过期效果。
现在把服务器启动,来看看整个过程。
编译运行之后,在浏览器访问 count:
在这里插入图片描述

看下 cookie:
在这里插入图片描述
可以继续点击,这个只要在 20 秒之内点击,cookie 就不回过期,因为每次发送请求都会更新 sessionStore:

err := sess.Set("countnum", ct.(int)+1)

// SessionStore 实现 Session 接口

func (st *SessionStore) Set(key, value interface{}) error {
	st.value[key] = value
	err := pder.SessionUpdate(st.sid)
	if err != nil {
		return err
	}
	return nil
}

func (pder *Provider) SessionUpdate(sid string) error {
	pder.lock.Lock()
	defer pder.lock.Unlock()
	if element, ok := pder.sessions[sid]; ok {
		// 这里更新也就更新了个时间,这意味着 session 的生命得到了延长
		element.Value.(*SessionStore).timeAccessed = time.Now()
		pder.list.MoveToFront(element)
		return nil
	}
	return nil
}

在这里插入图片描述
不要点击等 20 秒等它过期,再点一下:
在这里插入图片描述
可以看到已经过期了,再查看下 cookie:
在这里插入图片描述
可以看到 sessionId 并没有变,这是因为就算本地 cookie过期,当发送请求时,服务器依然会拿到这个 cookie。
session 过期的时候,服务器会执行:

// 回收过期的 cookie

func (pder *Provider) SessionGC(maxlifetime int64) {
	pder.lock.Lock()
	defer pder.lock.Unlock()

	for {
		element := pder.list.Back()
		if element == nil {
			break
		}
		if (element.Value.(*SessionStore).timeAccessed.Unix() + maxlifetime) < time.Now().Unix() {
			// 更新两者的值

			// 垃圾回收
			pder.list.Remove(element)
			// 删除 map 中的kv
			delete(pder.sessions, element.Value.(*SessionStore).sid)
		} else {
			break
		}
	}
}

这意味着,pder 中的list 和 sessions 中都不存在 键为countnumsessionStore。但是依然会执行:

	sid, _ := url.QueryUnescape(cookie.Value)
	session, _ = manager.provider.SessionRead(sid)

SessionRead():

func (pder *Provider) SessionRead(sid string) (session.Session, error) {
	if element, ok := pder.sessions[sid]; ok {
		return element.Value.(*SessionStore), nil
	} else {
		sess, err := pder.SessionInit(sid)
		return sess, err
	}
}

执行SessionRead()的时候,由于 session 已经被删除,只能执行pder.SessionInit(sid)了,因此,服务器会创建一个和原来一样的 sessionId。之后count()自然就会执行err := sess.Set("countnum", 1)

ct := sess.Get("countnum")
	if ct == nil {
		err := sess.Set("countnum", 1)
		if err != nil {
			return
		}
	} else {
		// 更新
		err := sess.Set("countnum", ct.(int)+1)
		if err != nil {
			return
		}
	}

至此,整个过程就完了。

二、session 劫持

session劫持是一种广泛存在的比较严重的安全威胁,在session技术中,客户端和服务端通过session的标识符来维护会话, 但这个标识符很容易就能被嗅探到,从而被其他人利用。它是中间人攻击的一种类型。

这个服务是靠着 sessionid维持的,所以一旦这个 sessionid 泄露,被另一个客户端获取,就可以冒名顶替干一些操作(把过期时间设置长一点)。
首先在 Chrome 中访问服务器的服务,点击到随便一个数字:

在这里插入图片描述
然后打开 cookie,复制:
在这里插入图片描述
再打开FireFox,随便找一个 cookie 管理器,创建一个 cookie:
在这里插入图片描述
保存,直接访问服务器count 服务:
在这里插入图片描述
可以看到已经实现了“冒名顶替”。

全文完,感谢阅读。

瑜陀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Go操纵Session
太阳上的雨天
03-19 438
如果你使用的是框架,在框架中很好的支持了session实现。 但如果你没有使用框架,使用的Go原生,那么是不支持Session实现的。 在 Go 的标准库中并没有提供对 Sessoin 的实现。可以自己实现创建管理器存到内存、数据库或者文件当中。当然前提你会写或者有时间去写。小编自己去github上找了一个别人写好的包,拿来直接用 安装 在自己的项目中,执行以下命令安装go-session包 go get github.com/kataras/go-sessions/v3 实现 package mai
Go Session
JunChow
04-04 646
https://www.kancloud.cn/kancloud/web-application-with-golang/44177 Golang官方没有提供Session标准库,但net/http包存在函数可以方便地使用。 实现Session功能 服务端可通过内存、Redis、数据库等存储Seesion数据 可以通过Cookie将唯一SessionID发送给客户端 Session支持常用的...
Go与Session
weixin_44879611的博客
02-03 182
Session Session可以理解为保存在服务端的键值对数据,只要存储介质够大,就可以存很大,比cookie存得多
Go简单操作cookie&session
巍巍玮玮的博客
03-12 925
learnku.com 设置cookie http.SetCookie(w ResponseWriter, cookie *Cookie) w 表示需要写入的 response,cookie 是一个 struct cookie struct type Cookie struct { Name string Value string Path string Domain string Expires ..
在 Go 语言中使用 Session(一)
weixin_30340353的博客
01-18 416
在上一篇博客 理解Cookie和Session 中,我们了解了 Cookie 和 Session 的一些基础知识,也知道了 Session 的基本原理是由服务端保存一份状态信息(以及它的唯一标识符),客户端会通过这个唯一标识符来访问这份状态信息数据。 整个客户端和服务端的交互过程可以概括为以下三个步骤: 客户端第一次发送请求时,服务端创建 Session,并生成唯一标识符 Sessio...
一个简单的Go session 实现
05-01
本文将深入探讨如何在Go中实现一个简单的session管理机制,这对于构建Web应用时保持用户状态至关重要。我们将参考标题提及的博客文章《一个简单的Go session 实现》来展开讨论。 首先,我们需要了解session的基本...
django-利用session机制实现唯一登录的例子
12-20
在Django框架中,实现唯一登录机制通常涉及到session机制,这是一种服务器端保持用户状态的方法。在HTTP协议中,由于其无状态性,无法自动识别已登录的用户,因此需要借助额外的技术来跟踪用户身份。Django提供了...
基于Go实现Session组件.zip
最新发布
05-23
Go语言(也称为Golang)是由Google开发的一种静态强类型、编译型的编程语言。它旨在成为一门简单、高效、安全和并发的编程语言,特别适用于构建高性能的服务器和分布式系统。以下是Go语言的一些主要特点和优势: ...
实现京东抢茅台脚本源码go语言
02-10
Go语言,也称为Golang,是由Google开发的一种静态类型的、编译型的、并发型的、垃圾回收的编程语言,因其高效性能和简洁的语法而受到广大开发者喜爱。在后端开发领域,Go语言以其强大的并发处理能力而独树一帜,这...
如何使用Go语言实现远程执行命令
01-03
如果你有一个可以远程执行命令的工具,那么就可以像操作单台机器那样操作多台机器,机器越多,效率提高的越多。 远程执行命令最常用的方法就是利用 SSH 协议,将命令发送到远程机器上执行,并获取返回结果。 一般...
Go-GosessionGo编程语言最快的Websession管理器
08-14
Go session:Go编程语言最快的Web session管理器。同时支持net/http和fasthttp
Go语言WEB框架:session
haming123的专栏
02-22 653
Session wego使用缓存引擎来存储session数据,目前wego支持以下类型的缓存引擎: cookie memory(使用本地内存的缓存引擎) redis memcache 使用cookie引擎存储session数据 本节我们使用cookie引擎存储session数据,并实现用户登录验证以及获取用户登录信息。 首先初始化Session: func main() { web, err := wego.NewWeb() if err != nil{ log.Error(err) r
【Go语言】go_session(超级详细)
qq_62068476的博客
08-15 1176
[CISCN 2023 初赛]go_session
6.2 Go如何使用session
Kaitiren的专栏
02-01 481
通过上一小节的介绍,我们知道session是在服务器端实现的一种用户和服务器之间认证的解决方案,目前Go标准包没有为session提供任何支持,这小节我们将会自己动手来实现go版本的session管理和创建。 session创建过程 session的基本原理是由服务器为每个会话维护一份信息数据,客户端和服务端依靠一个全局唯一的标识来访问这份数据,以达到交互的目的。当用户访问Web应用时,服务端程序会随需要创建session,这个过程可以概括为三个步骤: 生成全局唯一标识符(sessionid); 开
Go 如何使用session
热门推荐
无风的雨
12-07 1万+
Go 语言实现操作session不像cookie那样,net/http包里有现成函数可以很方便的使用,一些web服务用到session的话,没办法地自己敲代码实现。 Go具体实现session: 服务端可以通过内存、redis、数据库等存储session数据(本例只有内存)。 通过cookie将唯一SessionID发送到客户端 session.go package session impo...
【Go Web学习笔记】第九章 Go与Session
ClimberCoding
11-22 776
前言:大家好,以下所有内容都是我学习韩茹老师的教程时所整理的笔记。部分内容有过删改, 推荐大家去看原作者的文档进行学习, 本文章仅作为个人的学习笔记,后续还会在此基础上不断修改。学习Go Web时应该已经熟悉Go语言基本语法以及计算机网络的相关内容。 学习链接:https://www.chaindesk.cn/witbook/17/253 参考书籍:《Go Web编程》谢孟军 第九章、session Web开发中一个很重要的议题就是如何做好用户的整个浏览过程的控制,因为HTTP协议是无状态的,所以用户.
session管理组件实现[go实现]
qq_36557960的博客
05-11 311
回想起MySQL中辅助索引和聚簇索引的关系和php7.0版本中Array的底层数据结构实现session的底层数据结构也以类似的数据结构组合模式进行session会话的管理,所以用到的核心数据结构为最小堆+Map。使用最小堆的目的是为了session集合进行有效管理,而Map则是为了通过sid快速找到session。(分享一个开发心得:session 不仅占用服务器资源再加上其生产方式,很容易受到网络黑客攻击,所以只给合法的用户在服务端设置session,没通过验证的,我们尽量使用cookie代替sess
go语言网络编程之session实现
august5291的博客
10-27 1037
网络编程中cookie和session是必不可少的,今天就简单说一下go语言对session实现。 图片来源于网络 cookie,简而言之就是在本地计算机保存一些用户操作的历史信息(当然包括登录信息),并在用户再次访问该站点时浏览器通过HTTP协议将本地cookie内容发送给服务器,从而完成验证,或继续上一步操作。 session在Web开发环境下,它的含义是指一类用来在客户端与服务器端之间保持状态的解决方案。有时候Session也用来指这种解决方案的存储结构。 简而言之,cookie是本
42.Go语言实现session:一个简易的session管理器(二)
YouMing_Li的博客
11-26 351
至此 我们实现了一个用来在Web应用中全局管理Session的,定义了用来提供Session存储实现Provider的接口,下一小节,我们将会通过接口定义来实现一些Provider,供大家参考学习。本次文件结构如下(主要就是定义了Manager管理器以及Provider和Session
golang 实现session
05-27
在 Golang 中实现 session 可以使用第三方库,比如 `gorilla/sessions`。这个库提供了一个简单易用的 API,可以轻松地实现 session 功能。 以下是一个简单的示例: ```go package main import ( "net/http" ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值