使用 Golang 打造 Web 應用程式
  • Introduction
  • Go 環境配置
    • Go 安裝
    • GOPATH 與工作空間
    • Go 命令
    • Go 開發工具
    • 小結
  • Go 語言基礎
    • 你好,Go
    • Go 基礎
    • 流程和函式
    • struct
    • 物件導向
    • interface
    • 併發
    • 小結
  • Web 基礎
    • web 工作方式
    • Go 建立一個簡單的 web 服務
    • Go 如何使得 web 工作
    • Go 的 http 套件詳解
    • 小結
  • 表單
    • 處理表單的輸入
    • 驗證表單的輸入
    • 預防跨站指令碼
    • 防止多次提交表單
    • 處理檔案上傳
    • 小結
  • 存取資料庫
    • database/sql 介面
    • 使用 MySQL 資料庫
    • 使用 SQLite 資料庫
    • 使用 PostgreSQL 資料庫
    • 使用 beedb 函式庫進行 ORM 開發
    • NoSQL 資料庫操作
    • 小結
  • session 和資料儲存
    • session 和 cookie
    • Go 如何使用 session
    • session 儲存
    • 預防 session 劫持
    • 小結
  • 文字檔案處理
    • XML 處理
    • JSON 處理
    • 正則處理
    • 範本處理
    • 檔案操作
    • 字串處理
    • 小結
  • Web 服務
    • Socket 程式設計
    • WebSocket
    • REST
    • RPC
    • 小結
  • 安全與加密
    • 預防 CSRF 攻擊
    • 確保輸入過濾
    • 避免 XSS 攻擊
    • 避免 SQL 注入
    • 儲存密碼
    • 加密和解密資料
    • 小結
  • 國際化和本地化
    • 設定預設地區
    • 本地化資源
    • 國際化站點
    • 小結
  • 錯誤處理,除錯和測試
    • 錯誤處理
    • 使用 GDB 除錯
    • Go 怎麼寫測試案例
    • 小結
  • 部署與維護
    • 應用日誌
    • 網站錯誤處理
    • 應用部署
    • 備份和還原
    • 小結
  • 如何設計一個 Web 框架
    • 專案規劃
    • 自訂路由器設計
    • controller 設計
    • 日誌和配置設計
    • 實現部落格的增刪改
    • 小結
  • 擴充套件 Web 框架
    • 靜態檔案支援
    • Session 支援
    • 表單支援
    • 使用者認證
    • 多語言支援
    • pprof 支援
    • 小結
  • 參考資料
Powered by GitBook
On this page
  • session 建立過程
  • Go 實現 session 管理
  • session 管理設計
  • Session 管理器
  • 全域性唯一的 Session ID
  • session 建立
  • 操作值:設定、讀取和刪除
  • session 重置
  • session 刪除
  • 總結
  • links

Was this helpful?

  1. session 和資料儲存

Go 如何使用 session

透過上一小節的介紹,我們知道 session 是在伺服器端實現的一種使用者和伺服器之間認證的解決方案,目前 Go 標準套件沒有為 session 提供任何支援,這小節我們將會自己動手來實現 go 版本的 session 管理和建立。

session 建立過程

session 的基本原理是由伺服器為每個會話維護一份資訊資料,客戶端和伺服器端依靠一個全域性唯一的標識來存取這份資料,以達到互動的目的。當用戶存取 Web 應用時,伺服器端程式會隨需要建立 session,這個過程可以概括為三個步驟:

  • 產生全域性唯一識別符號(sessionid);

  • 開闢資料儲存空間。一般會在記憶體中建立相應的資料結構,但這種情況下,系統一旦掉電,所有的會話資料就會丟失,如果是電子商務類別網站,這將造成嚴重的後果。所以為了解決這類別問題,你可以將會話資料寫到檔案裡或儲存在資料庫中,當然這樣會增加 I/O 開銷,但是它可以實現某種程度的 session 持久化,也更有利於 session 的共享;

  • 將 session 的全域性唯一標示符傳送給客戶端。

以上三個步驟中,最關鍵的是如何傳送這個 session 的唯一標識這一步上。考慮到 HTTP 協議的定義,資料無非可以放到請求行、頭域或 Body 裡,所以一般來說會有兩種常用的方式:cookie 和 URL 重寫。

  1. Cookie

    伺服器端透過設定 Set-cookie 頭就可以將 session 的識別符號傳送到客戶端,而客戶端此後的每一次請求都會帶上這個識別符號,另外一般包含 session 資訊的 cookie 會將失效時間設定為 0(會話 cookie),即瀏覽器程序有效時間。至於瀏覽器怎麼處理這個 0,每個瀏覽器都有自己的方案,但差別都不會太大(一般體現在建立瀏覽器視窗的時候);

  2. URL 重寫

    所謂 URL 重寫,就是在回傳給使用者的頁面裡的所有的 URL 後面追加 session 識別符號,這樣使用者在收到回應之後,無論點選回應頁面裡的哪個連結或提交表單,都會自動帶上 session 識別符號,從而就實現了會話的保持。雖然這種做法比較麻煩,但是,如果客戶端禁用了 cookie 的話,此種方案將會是首選。

Go 實現 session 管理

透過上面 session 建立過程的講解,讀者應該對 session 有了一個大體的認識,但是具體到動態頁面技術裡面,又是怎麼實現 session 的呢?下面我們將結合 session 的生命週期(lifecycle),來實現 go 語言版本的 session 管理。

session 管理設計

我們知道 session 管理涉及到如下幾個因素

  • 全域性 session 管理器

  • 保證 sessionid 的全域性唯一性

  • 為每個客戶關聯一個 session

  • session 的儲存(可以儲存到記憶體、檔案、資料庫等)

  • session 過期處理

接下來我將講解一下我關於 session 管理的整個設計思路以及相應的 go 程式碼範例:

Session 管理器

定義一個全域性的 session 管理器

type Manager struct {
    cookieName  string     // private cookiename
    lock        sync.Mutex // protects session
    provider    Provider
    maxLifeTime int64
}

func NewManager(provideName, cookieName string, maxLifeTime int64) (*Manager, error) {
    provider, ok := provides[provideName]
    if !ok {
        return nil, fmt.Errorf("session: unknown provide %q (forgotten import?)", provideName)
    }
    return &Manager{provider: provider, cookieName: cookieName, maxLifeTime: maxLifeTime}, nil
}

Go 實現整個的流程應該也是這樣的,在 main 套件中建立一個全域性的 session 管理器

var globalSessions *session.Manager
//然後在 init 函式中初始化
func init() {
    globalSessions, _ = NewManager("memory", "gosessionid", 3600)
}

我們知道 session 是儲存在伺服器端的資料,它可以以任何的方式儲存,比如儲存在記憶體、資料庫或者檔案中。因此我們抽象出一個 Provider 介面,用以表徵 session 管理器底層儲存結構。

type Provider interface {
    SessionInit(sid string) (Session, error)
    SessionRead(sid string) (Session, error)
    SessionDestroy(sid string) error
    SessionGC(maxLifeTime int64)
}

  • SessionInit 函式實現 Session 的初始化,操作成功則回傳此新的 Session 變數

  • SessionRead 函式回傳 sid 所代表的 Session 變數,如果不存在,那麼將以 sid 為參數呼叫 SessionInit 函式建立並回傳一個新的 Session 變數

  • SessionDestroy 函式用來刪除 sid 對應的 Session 變數

  • SessionGC 根據 maxLifeTime 來刪除過期的資料

那麼 Session 介面需要實現什麼樣的功能呢?有過 Web 開發經驗的讀者知道,對 Session 的處理基本就 設定值、讀取值、刪除值以及取得當前 sessionID 這四個操作,所以我們的 Session 介面也就實現這四個操作。

type Session interface {
    Set(key, value interface{}) error // set session value
    Get(key interface{}) interface{}  // get session value
    Delete(key interface{}) error     // delete session value
    SessionID() string                // back current sessionID
}

以上設計思路來源於 database/sql/driver,先定義好介面,然後具體的儲存 session 的結構實現相應的介面並註冊後,相應功能這樣就可以使用了,以下是用來隨需註冊儲存 session 的結構的 Register 函式的實現。

var provides = make(map[string]Provider)

// Register makes a session provide available by the provided name.
// If Register is called twice with the same name or if driver is nil,
// it panics.
func Register(name string, provider Provider) {
    if provider == nil {
        panic("session: Register provider is nil")
    }
    if _, dup := provides[name]; dup {
        panic("session: Register called twice for provider " + name)
    }
    provides[name] = provider
}

全域性唯一的 Session ID

Session ID 是用來識別存取 Web 應用的每一個使用者,因此必須保證它是全域性唯一的(GUID),下面程式碼展示了如何滿足這一需求:

func (manager *Manager) sessionId() string {
    b := make([]byte, 32)
    if _, err := rand.Read(b); err != nil {
        return ""
    }
    return base64.URLEncoding.EncodeToString(b)
}

session 建立

我們需要為每個來訪使用者分配或取得與他相關連的 Session,以便後面根據 Session 資訊來驗證操作。SessionStart 這個函式就是用來檢測是否已經有某個 Session 與當前來訪使用者發生了關聯,如果沒有則建立之。

func (manager *Manager) SessionStart(w http.ResponseWriter, r *http.Request) (session Session) {
    manager.lock.Lock()
    defer manager.lock.Unlock()
    cookie, err := r.Cookie(manager.cookieName)
    if err != nil || cookie.Value == "" {
        sid := manager.sessionId()
        session, _ = manager.provider.SessionInit(sid)
        cookie := http.Cookie{Name: manager.cookieName, Value: url.QueryEscape(sid), Path: "/", HttpOnly: true, MaxAge: int(manager.maxLifeTime)}
        http.SetCookie(w, &cookie)
    } else {
        sid, _ := url.QueryUnescape(cookie.Value)
        session, _ = manager.provider.SessionRead(sid)
    }
    return
}

我們用前面 login 操作來示範 session 的運用:

func login(w http.ResponseWriter, r *http.Request) {
    sess := globalSessions.SessionStart(w, r)
    r.ParseForm()
    if r.Method == "GET" {
        t, _ := template.ParseFiles("login.gtpl")
        w.Header().Set("Content-Type", "text/html")
        t.Execute(w, sess.Get("username"))
    } else {
        sess.Set("username", r.Form["username"])
        http.Redirect(w, r, "/", 302)
    }
}

操作值:設定、讀取和刪除

SessionStart 函式回傳的是一個滿足 Session 介面的變數,那麼我們該如何用他來對 session 資料進行操作呢?

上面的例子中的程式碼session.Get("uid")已經展示了基本的讀取資料的操作,現在我們再來看一下詳細的操作:

func count(w http.ResponseWriter, r *http.Request) {
    sess := globalSessions.SessionStart(w, r)
    createtime := sess.Get("createtime")
    if createtime == nil {
        sess.Set("createtime", time.Now().Unix())
    } else if (createtime.(int64) + 360) < (time.Now().Unix()) {
        globalSessions.SessionDestroy(w, r)
        sess = globalSessions.SessionStart(w, r)
    }
    ct := sess.Get("countnum")
    if ct == nil {
        sess.Set("countnum", 1)
    } else {
        sess.Set("countnum", (ct.(int) + 1))
    }
    t, _ := template.ParseFiles("count.gtpl")
    w.Header().Set("Content-Type", "text/html")
    t.Execute(w, sess.Get("countnum"))
}

透過上面的例子可以看到,Session 的操作和操作 key/value 資料庫類似:Set、Get、Delete 等操作

因為 Session 有過期的概念,所以我們定義了 GC 操作,當存取過期時間滿足 GC 的觸發條件後將會引起 GC,但是當我們進行了任意一個 session 操作,都會對 Session 實體進行更新,都會觸發對最後存取時間的修改,這樣當 GC 的時候就不會誤刪除還在使用的 Session 實體。

session 重置

我們知道,Web 應用中有使用者退出這個操作,那麼當用戶退出應用的時候,我們需要對該使用者的 session 資料進行刪除操作,上面的程式碼已經示範了如何使用 session 重置操作,下面這個函式就是實現了這個功能:

//Destroy sessionid
func (manager *Manager) SessionDestroy(w http.ResponseWriter, r *http.Request){
    cookie, err := r.Cookie(manager.cookieName)
    if err != nil || cookie.Value == "" {
        return
    } else {
        manager.lock.Lock()
        defer manager.lock.Unlock()
        manager.provider.SessionDestroy(cookie.Value)
        expiration := time.Now()
        cookie := http.Cookie{Name: manager.cookieName, Path: "/", HttpOnly: true, Expires: expiration, MaxAge: -1}
        http.SetCookie(w, &cookie)
    }
}

session 刪除

我們來看一下 Session 管理器如何來管理刪除,只要我們在 Main 啟動的時候啟動:

func init() {
    go globalSessions.GC()
}
func (manager *Manager) GC() {
    manager.lock.Lock()
    defer manager.lock.Unlock()
    manager.provider.SessionGC(manager.maxLifeTime)
    time.AfterFunc(time.Duration(manager.maxLifeTime), func() { manager.GC() })
}

我們可以看到 GC 充分利用了 time 套件中的定時器功能,當超時 maxLifeTime 之後呼叫 GC 函式,這樣就可以保證 maxLifeTime 時間內的 session 都是可用的,類似的方案也可以用於統計線上使用者數之類別的。

總結

至此 我們實現了一個用來在 Web 應用中全域性管理 Session 的 SessionManager,定義了用來提供 Session 儲存實現 Provider 的介面,下一小節,我們將會透過介面定義來實現一些 Provider,供大家參考學習。

links

Previoussession 和 cookieNextsession 儲存

Last updated 4 years ago

Was this helpful?

上一節:

下一節:

目錄
session 和 cookie
session 儲存