问题描述
我正在用 Go / Gin 构建一个简单的网络服务器,我想使用 cookie 创建一个持久会话,如果用户离开或浏览多个页面,则该会话保持登录状态。
理想情况下,流程如下:
稍后的代码将验证 cookie 令牌值是否已过期和/或对应于数据库中的活动用户。
我尝试过的最近一次迭代是:
router := gin.Default();
token_value := func(c *gin.Context) string {
var value string
if cookie,err := c.Request.Cookie("session"); err == nil {
value = cookie.Value
} else {
value = RandToken(64)
}
return value
}
cookie_store := cookie.NewStore([]byte(token_value))
router.Use(sessions.Sessions("session",cookie_store))
但这失败了,因为 token_value 是类型 func(c *gin.Context) 字符串,而不是字符串。
我知道我在这里遗漏了一些东西,我希望得到一些有关如何解决此问题的指导。
谢谢!
解决方法
演示代码主要是在做你想做的事,但有一个问题。不包含“Expires”或“Max-Age”属性的 cookie 是“会话”cookie and“当客户端关闭时会话结束,会话 cookie 将被删除。”。
因此,您没有成功检索现有 cookie 的原因是浏览器已将其删除(您可以在大多数浏览器中使用开发人员工具进行检查)。要解决此问题,请使用以下内容:
store := cookie.NewStore([]byte("secret"))
store.Options(sessions.Options{MaxAge: 60 * 60 * 24}) // expire in a day
在此更改之后,cookie 将与适当的选项一起发送(并且将在浏览器上保留一天,除非由于用户设置/操作而被清除):
mysession=MTYxMzg5MDc5OXxEdi1CQkFFQ180SUFBUkFCRUFBQUhQLUNBQUVHYzNSeWFXNW5EQWNBQldOdmRXNTBBMmx1ZEFRQ0FBWT18jWiVoXgauu5T16pLbinR4uYu5XakM7RSmnGHNxCzPf0=; Expires=Mon,22 Feb 2021 06:59:59 GMT; Max-Age=86400
您可以通过将上述内容添加到 example code 中来进行测试,即:
package main
import (
"github.com/gin-contrib/sessions"
"github.com/gin-contrib/sessions/cookie"
"github.com/gin-gonic/gin"
)
func main() {
r := gin.Default()
store := cookie.NewStore([]byte("secret"))
store.Options(sessions.Options{MaxAge: 60 * 60 * 24}) // expire in a day
r.Use(sessions.Sessions("mysession",store))
r.GET("/incr",func(c *gin.Context) {
session := sessions.Default(c)
var count int
v := session.Get("count")
if v == nil {
count = 0
} else {
count = v.(int)
count++
}
session.Set("count",count)
session.Save()
c.JSON(200,gin.H{"count": count})
})
r.Run(":8000")
}
如果你编译/运行它然后打开 http:127.0.0.1:8000/incr
你应该看到 "{"count":0}";刷新页面几次并验证数字是否增加。现在关闭并重新打开您的浏览器并转到 http:127.0.0.1:8000/incr
- 该数字应该比您关闭浏览器之前的数字高 1(证明 cookie 在重新启动后仍然存在)。
我相信这就是您要查找的信息,但我可能误解了。需要注意的是,在这种情况下,cookie 是由服务器生成的。浏览器收到 cookie 后,会将其包含在后续请求中(这意味着服务器可以使用它)。
我用它来读取 cookie 值:if cookie,err := c.Request.Cookie("test_session"); err == nil { value := cookie.Value log.Printf("Cookie value: %v",value) } 但它与我在浏览器中看到的 cookie 值不匹配。
会话存储正在为您管理 cookie;使用 session.Get
(按照示例)来检索它。
如果您想使用“原始”cookie,那么您不应该使用 store
来设置它们(使用 SetCookie
)。但请注意,您在执行此操作时需要非常小心,因为您不能相信收到的任何 cookie;最终用户编辑 cookie 的值很简单(浏览器开发工具为此提供了一个很好的用户界面!)。
为了防止这种情况,session
以一种可以检测它们是否已被更改的方式编写 cookie(有警告;如果安全是一个真正的问题,您需要阅读文档)。这使用“身份验证”密钥(在本例中为“秘密”,因此更改,因为任何知道密钥的人都可以更改令牌!)。还有一个选项可以加密 cookie 内容(因为它很容易让用户提取您的 cookie 包含的信息;在大多数情况下,这不是一个大问题,但可能对您来说)。