session修改
This commit is contained in:
astaxie
91
6.2.md
91
6.2.md
@@ -1,50 +1,51 @@
|
||||
#6.2 Go如何使用session
|
||||
通过上一小节的介绍,我们知道session是服务器端的一种实现用户和服务器之间认证的解决方案,那么session到底怎么样实现整个流程的呢?Go目前内部没有任何pkg支持session,我们这小节将会使用Go来实现session管理和创建
|
||||
通过上一小节的介绍,我们知道session是在服务器端实现的一种用户和服务器之间认证的解决方案,目前Go标准包没有为session提供任何支持,这小节我们将会自己动手来实现go版本的session管理和创建。
|
||||
|
||||
##session创建过程
|
||||
session的基本原理是服务端为每一个session维护一份会话信息数据,而客户端和服务端依靠一个全局唯一的标识来访问会话信息数据。用户访问web应用时,服务端程序决定何时创建session,创建session可以概括为三个步骤:
|
||||
session的基本原理是由服务器为每个会话维护一份信息数据,客户端和服务端依靠一个全局唯一的标识来访问这份数据,以达到交互的目的。当用户访问Web应用时,服务端程序会随需要创建session,这个过程可以概括为三个步骤:
|
||||
|
||||
- 生成全局唯一标识符(sessionid);
|
||||
- 开辟数据存储空间。一般会在内存中创建相应的数据结构,但这种情况下,系统一旦掉电,所有的会话数据就会丢失,如果是电子商务网站,这种事故会造成严重的后果。不过也可以写到文件里甚至存储在数据库中,这样虽然会增加I/O开销,但session可以实现某种程度的持久化,而且更有利于session的共享;
|
||||
- 开辟数据存储空间。一般会在内存中创建相应的数据结构,但这种情况下,系统一旦掉电,所有的会话数据就会丢失,如果是电子商务类网站,这将造成严重的后果。所以为了解决这类问题,你可以将会话数据写到文件里或存储在数据库中,当然这样会增加I/O开销,但是它可以实现某种程度的session持久化,也更有利于session的共享;
|
||||
- 将session的全局唯一标示符发送给客户端。
|
||||
|
||||
问题的关键就在服务端如何发送这个session的唯一标识上。考虑到HTTP协议的定义,数据无非可以放到请求行、头域或Body里,所以一般来说会有两种常用的方式:cookie和URL重写。
|
||||
以上三个步骤中,最关键的是如何发送这个session的唯一标识这一步上。考虑到HTTP协议的定义,数据无非可以放到请求行、头域或Body里,所以一般来说会有两种常用的方式:cookie和URL重写。
|
||||
|
||||
1. Cookie
|
||||
服务端只要设置Set-cookie头就可以将session的标识符传送到客户端,而客户端此后的每一次请求都会带上这个标识符,由于cookie可以设置失效时间,所以一般包含session信息的cookie会设置失效时间为0(会话cookie),即浏览器进程有效时间。至于浏览器怎么处理这个0,每个浏览器都有自己的方案,但差别都不会太大(一般体现在新建浏览器窗口的时候);
|
||||
服务端通过设置Set-cookie头就可以将session的标识符传送到客户端,而客户端此后的每一次请求都会带上这个标识符,另外一般包含session信息的cookie会将失效时间设置为0(会话cookie),即浏览器进程有效时间。至于浏览器怎么处理这个0,每个浏览器都有自己的方案,但差别都不会太大(一般体现在新建浏览器窗口的时候);
|
||||
2. URL重写
|
||||
所谓URL重写,顾名思义就是重写URL。试想,在返回用户请求的页面之前,将页面内所有的URL后面全部以get参数的方式加上session标识符(或者加在path info部分等等),这样用户在收到响应之后,无论点击哪个链接或提交表单,都会在再带上session的标识符,从而就实现了会话的保持。读者可能会觉得这种做法比较麻烦,确实是这样,但是,如果客户端禁用了cookie的话,URL重写将会是首选。
|
||||
所谓URL重写,就是在返回给用户的页面里的所有的URL后面追加session标识符,这样用户在收到响应之后,无论点击响应页面里的哪个链接或提交表单,都会自动带上session标识符,从而就实现了会话的保持。虽然这种做法比较麻烦,但是,如果客户端禁用了cookie的话,此种方案将会是首选。
|
||||
|
||||
##Go实现session管理
|
||||
通过上面session创建过程的讲解,读者应该对session有了一个大体的认识,但是具体到动态页面技术里面,又是怎么实现session的呢?下面我们将结合session的生命周期(lifecycle),用Go语言来实现session管理。
|
||||
通过上面session创建过程的讲解,读者应该对session有了一个大体的认识,但是具体到动态页面技术里面,又是怎么实现session的呢?下面我们将结合session的生命周期(lifecycle),来实现go语言版本的session管理。
|
||||
|
||||
###session管理设计
|
||||
我们知道session管理需要有如下几个元素
|
||||
我们知道session管理涉及到如下几个因素
|
||||
|
||||
- 全局session管理器
|
||||
- sessionid 全局唯一性
|
||||
- 每个客户生成一个session
|
||||
- session 的存储,可以存储到内存、文件、数据库等
|
||||
- 保证sessionid 的全局唯一性
|
||||
- 为每个客户关联一个session
|
||||
- session 的存储(可以存储到内存、文件、数据库等)
|
||||
- session 过期处理
|
||||
|
||||
接下来让我们一一来讲解一下Go实现session管理的整个设计思路以及相应的代码示例:
|
||||
接下来我将讲解一下我关于session管理的整个设计思路以及相应的go代码示例:
|
||||
|
||||
###Session管理器
|
||||
|
||||
我们就来定义一个全局的session管理器
|
||||
定义一个全局的session管理器
|
||||
|
||||
type SessionManager struct {
|
||||
cookieName string //private cookiename
|
||||
lock sync.Mutex // protects session
|
||||
provide Provide
|
||||
maxlifetime int64
|
||||
provider Provider
|
||||
maxLifeTime int64
|
||||
}
|
||||
|
||||
func NewSessionManager(provideName, cookieName string, maxlifetime int64) (*SessionManager, error) {
|
||||
provide, ok := provides[provideName]
|
||||
func NewSessionManager(provideName, cookieName string, maxLifeTime int64) (*SessionManager, error) {
|
||||
provider, ok := provides[provideName]
|
||||
if !ok {
|
||||
return nil, fmt.Errorf("session: unknown provide %q (forgotten import?)", provideName)
|
||||
}
|
||||
return &SessionManager{provide: provide, cookieName: cookieName, maxlifetime: maxlifetime}, nil
|
||||
return &SessionManager{provider: provider, cookieName: cookieName, maxLifeTime: maxLifeTime}, nil
|
||||
}
|
||||
|
||||
Go实现整个的流程应该也是这样的,在main包中创建一个全部的session管理器
|
||||
@@ -55,21 +56,21 @@ Go实现整个的流程应该也是这样的,在main包中创建一个全部
|
||||
globalSessions = NewSessionManager("memory","gosessionid",3600)
|
||||
}
|
||||
|
||||
我们知道session是保存在服务器段的数据,那么他可以以任何的方式存在起来,可以存储在内存、数据库或者文件中。那么我们就可以抽象出来Provide接口,这个接口实现session管理器底层存储的问题。
|
||||
我们知道session是保存在服务器端的数据,它可以以任何的方式存储,比如存储在内存、数据库或者文件中。因此我们抽象出一个Provider接口,用以表征session管理器底层存储结构。
|
||||
|
||||
type Provide interface {
|
||||
type Provider interface {
|
||||
SessionInit(sid string) (Session, error)
|
||||
SessionRead(sid string) (Session, error)
|
||||
SessionDestroy(sid string) bool
|
||||
SessionGC(maxlifetime int64)
|
||||
SessionGC(maxLifeTime int64)
|
||||
}
|
||||
|
||||
- SessionInit函数实现初始化一个Session接口,然后返回一个新的Session接口
|
||||
- SessionRead函数根据sid返回一个已经存在的Session接口,如果不存在,那么内部调用SessionInit函数返回一个新的Session接口
|
||||
- SessionDestroy函数用来销毁对应sid的Session接口
|
||||
- SessionGC根据maxlifetime来删除过期的数据
|
||||
- SessionInit函数实现Session的初始化,操作成功则返回此新的Session变量
|
||||
- SSessionRead函数返回sid所代表的Session变量,如果不存在,那么将以sid为参数调用SessionInit函数创建并返回一个新的Session变量
|
||||
- SessionDestroy函数用来销毁sid对应的Session变量
|
||||
- SessionGC根据maxLifeTime来删除过期的数据
|
||||
|
||||
那么Session接口需要实现怎么样的功能呢?有过PHP等Web开发经验的用户来说,Session操作一般也就几个功能,设置值、读取值、删除值,那么Session接口也就这三个功能
|
||||
那么Session接口需要实现什么样的功能呢?有过Web开发经验的读者知道,对Session的处理基本就 设置值、读取值、删除值这三个操作,所以我们的Session接口也就实现这三个操作。
|
||||
|
||||
type Session interface {
|
||||
Set(key interface{}, value interface{}) //set session value
|
||||
@@ -77,7 +78,7 @@ Go实现整个的流程应该也是这样的,在main包中创建一个全部
|
||||
Del(key interface{}) bool //delete session value
|
||||
}
|
||||
|
||||
>以上设计思路来源于database/sql/driver,定义好接口,然后session的存储实现相应的接口,这样就可以使用了,因此NewSessionManager也实现了如下功能函数Register,用来注册不同的session存储实现。
|
||||
>以上设计思路来源于database/sql/driver,先定义好接口,然后具体的存储session的结构实现相应的接口并注册后,相应功能这样就可以使用了,以下是用来随需注册存储session的结构的Register函数的实现。
|
||||
|
||||
var provides = make(map[string]Provide)
|
||||
|
||||
@@ -96,7 +97,7 @@ Go实现整个的流程应该也是这样的,在main包中创建一个全部
|
||||
|
||||
###全局唯一的Session ID
|
||||
|
||||
我们知道Session ID是用来识别每个访问Web应用的用户,因此必须保证sessionID都能有一个唯一的值,下面代码展示了如何实现这个唯一值:
|
||||
Session ID是用来识别访问Web应用的每一个用户,因此必须保证它是全局唯一的(GUID),下面代码展示了如何满足这一需求:
|
||||
|
||||
func (this *SessionManager) sessionId() string {
|
||||
b := make([]byte, 32)
|
||||
@@ -107,7 +108,7 @@ Go实现整个的流程应该也是这样的,在main包中创建一个全部
|
||||
}
|
||||
|
||||
###session创建
|
||||
每个来访问的用户我们需要为他分配Session,然后根据Session里面的数据判断用户是否已经进行了相应的操作,那么我们如何来创建Session呢?SessionStart这个函数就是用来检测用户是否已经创建了Session,如果没有就创建之。
|
||||
我们需要为每个来访用户分配或获取与他相关连的Session,以便后面根据Session信息来验证操作。SessionStart这个函数就是用来检测是否已经有某个Session与当前来访用户发生了关联,如果没有则创建之。
|
||||
|
||||
func (this *SessionManager) SessionStart(w ResponseWriter, r *http.Request) (session Session) {
|
||||
this.lock.Lock()
|
||||
@@ -115,18 +116,18 @@ Go实现整个的流程应该也是这样的,在main包中创建一个全部
|
||||
cookie, err := r.Cookie(this.cookieName)
|
||||
if err != nil || cookie.Value == "" {
|
||||
sid := this.sessionId()
|
||||
session = this.provide.SessionInit(sid)
|
||||
session = this.provider.SessionInit(sid)
|
||||
expiration := time.Now()
|
||||
expiration.Add(time.Duration(this.maxlifetime))
|
||||
cookie := http.Cookie{Name: this.cookieName, Value: sid, Expires: expiration}
|
||||
http.SetCookie(w, &cookie)
|
||||
} else {
|
||||
session = this.provide.SessionRead(cookie.Value)
|
||||
session = this.provider.SessionRead(cookie.Value)
|
||||
}
|
||||
return
|
||||
}
|
||||
|
||||
我们根据前面用户登陆的操作我们来看看如何应用:
|
||||
我们用前面login操作来演示session的运用:
|
||||
|
||||
func login(w http.ResponseWriter, r *http.Request) {
|
||||
session:=globalSessions.SessionStart(w,r)
|
||||
@@ -146,11 +147,9 @@ Go实现整个的流程应该也是这样的,在main包中创建一个全部
|
||||
}
|
||||
|
||||
###操作值:设置、读取和删除
|
||||
SessionStart函数返回的是一个实现了设置、读取、删除接口的Session接口,那么我们如何来对数据进行操作呢?
|
||||
SessionStart函数返回的是一个满足Session接口的变量,那么我们该如何用他来对session数据进行操作呢?
|
||||
|
||||
上面的例子已经大概的展示了读取数据的操作`session.Get("uid")`
|
||||
|
||||
那么我们再来看看详细的操作
|
||||
上面的例子中的代码`session.Get("uid")`已经展示了基本的读取数据的操作,现在我们再来看一下详细的操作:
|
||||
|
||||
func login(w http.ResponseWriter, r *http.Request) {
|
||||
session:=globalSessions.SessionStart(w,r)
|
||||
@@ -172,12 +171,12 @@ SessionStart函数返回的是一个实现了设置、读取、删除接口的Se
|
||||
}
|
||||
}
|
||||
|
||||
通过上面的例子我们可以看到,这个Session的操作和操作key/value数据库类似,Set、Get、Del操作
|
||||
通过上面的例子可以看到,Session的操作和操作key/value数据库类似:Set、Get、Del等操作
|
||||
|
||||
我们知道Session里面有GC功能,那么只要当我们进行了相应的上面的任意一个操作,我们都需要去修改相应的Session实体的最后访问时间,这样当调用GC的时候就不会误删除还在使用的Session实体。
|
||||
因为Session有过期的概念,所以我们定义了GC操作,当访问过期时间满足GC的触发条件后将会引起GC,但是当我们进行了任意一个session操作,都会对Session实体进行更新,都会触发对最后访问时间的修改,这样当GC的时候就不会误删除还在使用的Session实体。
|
||||
|
||||
###session重置
|
||||
我们知道,Web应用中有用户退出这个操作,那么当用户退出应用的时候,我们是否需要进行session数据的重置,下面这个函数就是实现了这个功能:
|
||||
我们知道,Web应用中有用户退出这个操作,那么当用户退出应用的时候,我们需要对该用户的session数据进行销毁操作,下面这个函数就是实现了这个功能:
|
||||
|
||||
//Destroy sessionid
|
||||
func (this *SessionManager) SessionDestroy(w ResponseWriter, r *http.Request) {
|
||||
@@ -187,7 +186,7 @@ SessionStart函数返回的是一个实现了设置、读取、删除接口的Se
|
||||
} else {
|
||||
this.lock.Lock()
|
||||
defer this.lock.Unlock()
|
||||
this.provide.SessionDestroy(cookie.Value)
|
||||
this.provider.SessionDestroy(cookie.Value)
|
||||
expiration := time.Now()
|
||||
cookie := http.Cookie{Name: this.cookieName, Expires: expiration}
|
||||
http.SetCookie(w, &cookie)
|
||||
@@ -202,22 +201,22 @@ SessionStart函数返回的是一个实现了设置、读取、删除接口的Se
|
||||
globalSessions.GC()
|
||||
}
|
||||
|
||||
func (this *SessionManager) gc() {
|
||||
func (this *SessionManager) GC() {
|
||||
this.lock.Lock()
|
||||
defer this.lock.Unlock()
|
||||
this.provide.GC(this.maxlifetime)
|
||||
time.AfterFunc(this.maxlifetime, func() { this.GC() })
|
||||
this.provider.GC(this.maxLifeTime)
|
||||
time.AfterFunc(this.maxLifeTime, func() { this.GC() })
|
||||
}
|
||||
|
||||
我们可以看到GC充分利用了time包中的定时器功能,当大于`maxlifetime`之后调用GC函数,这样就可以保证`maxlifetime`时间内的session都是可用的,这个数字其实也可以用于统计在线用户数之类的。
|
||||
我们可以看到GC充分利用了time包中的定时器功能,当超时`maxLifeTime`之后调用GC函数,这样就可以保证`maxLifeTime`时间内的session都是可用的,类似的方案也可以用于统计在线用户数之类的。
|
||||
|
||||
##总结
|
||||
通过上面的介绍我们实现了一个Session管理器,定义了Provide接口,Provide接口用来提供Session存储实现。Session管理器用来在Web应用中实现全局的Session管理,接下来我们会实现内存的一个实现方式,供大家参考学习。
|
||||
至此 我们实现了一个用来在Web应用中全局管理Session的SessionManager,定义了用来提供Session存储实现Provider的接口,下一小节,我们将会通过接口定义来实现一些Provider,供大家参考学习。
|
||||
|
||||
## links
|
||||
* [目录](<preface.md>)
|
||||
* 上一节: [session和cookie](<6.1.md>)
|
||||
* 下一节: [预防session劫持](<6.3.md>)
|
||||
* 下一节: [session存储](<6.3.md>)
|
||||
|
||||
## LastModified
|
||||
* $Id$
|
||||
14
6.3.md
14
6.3.md
@@ -1,18 +1,8 @@
|
||||
#6.3 预防session劫持
|
||||
session劫持是一种比较严重的安全威胁,也是一种广泛存在的威胁,在session技术中,客户端和服务端通过传送session的标识符来维护会话,但这个标识符很容易就能被嗅探到,从而被其他人利用,这属于一种中间人攻击。
|
||||
|
||||
本部分通过一个实例来说明何为会话劫持,通过这个实例,读者其实更能理解session的本质。
|
||||
##session劫持过程
|
||||
|
||||
##session劫持防范
|
||||
###cookieonly和token
|
||||
###间隔生成新的SID
|
||||
|
||||
|
||||
#6.3 session存储
|
||||
## links
|
||||
* [目录](<preface.md>)
|
||||
* 上一节: [Go如何使用session](<6.2.md>)
|
||||
* 下一节: [session存储](<6.4.md>)
|
||||
* 下一节: [预防session劫持](<6.4.md>)
|
||||
|
||||
## LastModified
|
||||
* $Id$
|
||||
14
6.4.md
14
6.4.md
@@ -1,7 +1,17 @@
|
||||
#6.4 session存储
|
||||
#6.4 预防session劫持
|
||||
session劫持是一种比较严重的安全威胁,也是一种广泛存在的威胁,在session技术中,客户端和服务端通过传送session的标识符来维护会话,但这个标识符很容易就能被嗅探到,从而被其他人利用,这属于一种中间人攻击。
|
||||
|
||||
本部分通过一个实例来说明何为会话劫持,通过这个实例,读者其实更能理解session的本质。
|
||||
##session劫持过程
|
||||
|
||||
##session劫持防范
|
||||
###cookieonly和token
|
||||
###间隔生成新的SID
|
||||
|
||||
|
||||
## links
|
||||
* [目录](<preface.md>)
|
||||
* 上一节: [预防session劫持](<6.3.md>)
|
||||
* 上一节: [session存储](<6.3.md>)
|
||||
* 下一节: [小结](<6.5.md>)
|
||||
|
||||
## LastModified
|
||||
|
||||
4
6.md
4
6.md
@@ -6,8 +6,8 @@ Web开发中一个很重要的议题就是如何做好用户的整个浏览过
|
||||
## 目录
|
||||
* 1. [session和cookie](6.1.md)
|
||||
* 2. [Go如何使用session](6.2.md)
|
||||
* 3. [预防session劫持](6.3.md)
|
||||
* 4. [session存储](6.4.md)
|
||||
* 3. [session存储](6.3.md)
|
||||
* 4. [预防session劫持](6.4.md)
|
||||
* 5. [小结](6.5.md)
|
||||
|
||||
## links
|
||||
|
||||
@@ -37,8 +37,8 @@
|
||||
* 6.[session和数据存储](6.md)
|
||||
- 6.1 [session和cookie](6.1.md)
|
||||
- 6.2 [Go如何使用session](6.2.md)
|
||||
- 6.3 [预防session劫持](6.3.md)
|
||||
- 6.4 [session存储](6.4.md)
|
||||
- 6.3 [session存储](6.3.md)
|
||||
- 6.4 [预防session劫持](6.4.md)
|
||||
- 6.5 [小结](6.5.md)
|
||||
* 7.文本处理
|
||||
- 7.1 XML处理
|
||||
|
||||
Reference in New Issue
Block a user