# Go 如何使用 session 透過上一小節的介紹,我們知道 session 是在伺服器端實現的一種使用者和伺服器之間認證的解決方案,目前 Go 標準套件沒有為 session 提供任何支援,這小節我們將會自己動手來實現 go 版本的 session 管理和建立。 ## session 建立過程 session 的基本原理是由伺服器為每個會話維護一份資訊資料,客戶端和伺服器端依靠一個全域性唯一的標識來存取這份資料,以達到互動的目的。當用戶存取 Web 應用時,伺服器端程式會隨需要建立 session,這個過程可以概括為三個步驟: * 產生全域性唯一識別符號(sessionid); * 開闢資料儲存空間。一般會在記憶體中建立相應的資料結構,但這種情況下,系統一旦掉電,所有的會話資料就會丟失,如果是電子商務類別網站,這將造成嚴重的後果。所以為了解決這類別問題,你可以將會話資料寫到檔案裡或儲存在資料庫中,當然這樣會增加 I/O 開銷,但是它可以實現某種程度的 session 持久化,也更有利於 session 的共享; * 將 session 的全域性唯一標示符傳送給客戶端。 以上三個步驟中,最關鍵的是如何傳送這個 session 的唯一標識這一步上。考慮到 HTTP 協議的定義,資料無非可以放到請求行、頭域或 Body 裡,所以一般來說會有兩種常用的方式:cookie 和 URL 重寫。 1. Cookie 伺服器端透過設定 Set-cookie 頭就可以將 session 的識別符號傳送到客戶端,而客戶端此後的每一次請求都會帶上這個識別符號,另外一般包含 session 資訊的 cookie 會將失效時間設定為 0(會話 cookie),即瀏覽器程序有效時間。至於瀏覽器怎麼處理這個 0,每個瀏覽器都有自己的方案,但差別都不會太大(一般體現在建立瀏覽器視窗的時候); 2. URL 重寫 所謂 URL 重寫,就是在回傳給使用者的頁面裡的所有的 URL 後面追加 session 識別符號,這樣使用者在收到回應之後,無論點選回應頁面裡的哪個連結或提交表單,都會自動帶上 session 識別符號,從而就實現了會話的保持。雖然這種做法比較麻煩,但是,如果客戶端禁用了 cookie 的話,此種方案將會是首選。 ## Go 實現 session 管理 透過上面 session 建立過程的講解,讀者應該對 session 有了一個大體的認識,但是具體到動態頁面技術裡面,又是怎麼實現 session 的呢?下面我們將結合 session 的生命週期(lifecycle),來實現 go 語言版本的 session 管理。 ### session 管理設計 我們知道 session 管理涉及到如下幾個因素 * 全域性 session 管理器 * 保證 sessionid 的全域性唯一性 * 為每個客戶關聯一個 session * session 的儲存(可以儲存到記憶體、檔案、資料庫等) * session 過期處理 接下來我將講解一下我關於 session 管理的整個設計思路以及相應的 go 程式碼範例: ### Session 管理器 定義一個全域性的 session 管理器 ```go type Manager struct { cookieName string // private cookiename lock sync.Mutex // protects session provider Provider maxLifeTime int64 } func NewManager(provideName, cookieName string, maxLifeTime int64) (*Manager, error) { provider, ok := provides[provideName] if !ok { return nil, fmt.Errorf("session: unknown provide %q (forgotten import?)", provideName) } return &Manager{provider: provider, cookieName: cookieName, maxLifeTime: maxLifeTime}, nil } ``` Go 實現整個的流程應該也是這樣的,在 main 套件中建立一個全域性的 session 管理器 ```go var globalSessions *session.Manager //然後在 init 函式中初始化 func init() { globalSessions, _ = NewManager("memory", "gosessionid", 3600) } ``` 我們知道 session 是儲存在伺服器端的資料,它可以以任何的方式儲存,比如儲存在記憶體、資料庫或者檔案中。因此我們抽象出一個 Provider 介面,用以表徵 session 管理器底層儲存結構。 ```go type Provider interface { SessionInit(sid string) (Session, error) SessionRead(sid string) (Session, error) SessionDestroy(sid string) error SessionGC(maxLifeTime int64) } ``` * SessionInit 函式實現 Session 的初始化,操作成功則回傳此新的 Session 變數 * SessionRead 函式回傳 sid 所代表的 Session 變數,如果不存在,那麼將以 sid 為參數呼叫 SessionInit 函式建立並回傳一個新的 Session 變數 * SessionDestroy 函式用來刪除 sid 對應的 Session 變數 * SessionGC 根據 maxLifeTime 來刪除過期的資料 那麼 Session 介面需要實現什麼樣的功能呢?有過 Web 開發經驗的讀者知道,對 Session 的處理基本就 設定值、讀取值、刪除值以及取得當前 sessionID 這四個操作,所以我們的 Session 介面也就實現這四個操作。 ```go type Session interface { Set(key, value interface{}) error // set session value Get(key interface{}) interface{} // get session value Delete(key interface{}) error // delete session value SessionID() string // back current sessionID } ``` > 以上設計思路來源於 database/sql/driver,先定義好介面,然後具體的儲存 session 的結構實現相應的介面並註冊後,相應功能這樣就可以使用了,以下是用來隨需註冊儲存 session 的結構的 Register 函式的實現。 ```go var provides = make(map[string]Provider) // Register makes a session provide available by the provided name. // If Register is called twice with the same name or if driver is nil, // it panics. func Register(name string, provider Provider) { if provider == nil { panic("session: Register provider is nil") } if _, dup := provides[name]; dup { panic("session: Register called twice for provider " + name) } provides[name] = provider } ``` ### 全域性唯一的 Session ID Session ID 是用來識別存取 Web 應用的每一個使用者,因此必須保證它是全域性唯一的(GUID),下面程式碼展示了如何滿足這一需求: ```go func (manager *Manager) sessionId() string { b := make([]byte, 32) if _, err := rand.Read(b); err != nil { return "" } return base64.URLEncoding.EncodeToString(b) } ``` ### session 建立 我們需要為每個來訪使用者分配或取得與他相關連的 Session,以便後面根據 Session 資訊來驗證操作。SessionStart 這個函式就是用來檢測是否已經有某個 Session 與當前來訪使用者發生了關聯,如果沒有則建立之。 ```go func (manager *Manager) SessionStart(w http.ResponseWriter, r *http.Request) (session Session) { manager.lock.Lock() defer manager.lock.Unlock() cookie, err := r.Cookie(manager.cookieName) if err != nil || cookie.Value == "" { sid := manager.sessionId() session, _ = manager.provider.SessionInit(sid) cookie := http.Cookie{Name: manager.cookieName, Value: url.QueryEscape(sid), Path: "/", HttpOnly: true, MaxAge: int(manager.maxLifeTime)} http.SetCookie(w, &cookie) } else { sid, _ := url.QueryUnescape(cookie.Value) session, _ = manager.provider.SessionRead(sid) } return } ``` 我們用前面 login 操作來示範 session 的運用: ```go func login(w http.ResponseWriter, r *http.Request) { sess := globalSessions.SessionStart(w, r) r.ParseForm() if r.Method == "GET" { t, _ := template.ParseFiles("login.gtpl") w.Header().Set("Content-Type", "text/html") t.Execute(w, sess.Get("username")) } else { sess.Set("username", r.Form["username"]) http.Redirect(w, r, "/", 302) } } ``` ### 操作值:設定、讀取和刪除 SessionStart 函式回傳的是一個滿足 Session 介面的變數,那麼我們該如何用他來對 session 資料進行操作呢? 上面的例子中的程式碼`session.Get("uid")`已經展示了基本的讀取資料的操作,現在我們再來看一下詳細的操作: ```go func count(w http.ResponseWriter, r *http.Request) { sess := globalSessions.SessionStart(w, r) createtime := sess.Get("createtime") if createtime == nil { sess.Set("createtime", time.Now().Unix()) } else if (createtime.(int64) + 360) < (time.Now().Unix()) { globalSessions.SessionDestroy(w, r) sess = globalSessions.SessionStart(w, r) } ct := sess.Get("countnum") if ct == nil { sess.Set("countnum", 1) } else { sess.Set("countnum", (ct.(int) + 1)) } t, _ := template.ParseFiles("count.gtpl") w.Header().Set("Content-Type", "text/html") t.Execute(w, sess.Get("countnum")) } ``` 透過上面的例子可以看到,Session 的操作和操作 key/value 資料庫類似:Set、Get、Delete 等操作 因為 Session 有過期的概念,所以我們定義了 GC 操作,當存取過期時間滿足 GC 的觸發條件後將會引起 GC,但是當我們進行了任意一個 session 操作,都會對 Session 實體進行更新,都會觸發對最後存取時間的修改,這樣當 GC 的時候就不會誤刪除還在使用的 Session 實體。 ### session 重置 我們知道,Web 應用中有使用者退出這個操作,那麼當用戶退出應用的時候,我們需要對該使用者的 session 資料進行刪除操作,上面的程式碼已經示範了如何使用 session 重置操作,下面這個函式就是實現了這個功能: ```go //Destroy sessionid func (manager *Manager) SessionDestroy(w http.ResponseWriter, r *http.Request){ cookie, err := r.Cookie(manager.cookieName) if err != nil || cookie.Value == "" { return } else { manager.lock.Lock() defer manager.lock.Unlock() manager.provider.SessionDestroy(cookie.Value) expiration := time.Now() cookie := http.Cookie{Name: manager.cookieName, Path: "/", HttpOnly: true, Expires: expiration, MaxAge: -1} http.SetCookie(w, &cookie) } } ``` ### session 刪除 我們來看一下 Session 管理器如何來管理刪除,只要我們在 Main 啟動的時候啟動: ```go func init() { go globalSessions.GC() } ``` ```go func (manager *Manager) GC() { manager.lock.Lock() defer manager.lock.Unlock() manager.provider.SessionGC(manager.maxLifeTime) time.AfterFunc(time.Duration(manager.maxLifeTime), func() { manager.GC() }) } ``` 我們可以看到 GC 充分利用了 time 套件中的定時器功能,當超時 `maxLifeTime` 之後呼叫 GC 函式,這樣就可以保證 `maxLifeTime` 時間內的 session 都是可用的,類似的方案也可以用於統計線上使用者數之類別的。 ## 總結 至此 我們實現了一個用來在 Web 應用中全域性管理 Session 的 SessionManager,定義了用來提供 Session 儲存實現 Provider 的介面,下一小節,我們將會透過介面定義來實現一些 Provider,供大家參考學習。 ## links * [目錄](https://github.com/doggy8088/build-web-application-with-golang-zhtw/tree/80abfb9f0c5f9f703922f4114d78f2e3c26a4dfb/preface.md) * 上一節: [session 和 cookie](https://willh.gitbook.io/build-web-application-with-golang-zhtw/06.0/06.1) * 下一節: [session 儲存](https://willh.gitbook.io/build-web-application-with-golang-zhtw/06.0/06.3)