From ad5f72ad03881a0d7ba4d8692e60f4f769ece664 Mon Sep 17 00:00:00 2001 From: xiemengjun Date: Tue, 18 Sep 2012 23:47:14 +0800 Subject: [PATCH] =?UTF-8?q?go=E5=AE=9E=E7=8E=B0session=E5=AE=9E=E7=8E=B0?= =?UTF-8?q?=E4=BA=86=E4=B8=80=E5=8D=8A=EF=BC=8C=E6=98=8E=E5=A4=A9=E7=BB=A7?= =?UTF-8?q?=E7=BB=AD=E5=86=99?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- 6.2.md | 75 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 6.3.md | 2 ++ 2 files changed, 77 insertions(+) diff --git a/6.2.md b/6.2.md index 3a0e463f..6bc47d66 100644 --- a/6.2.md +++ b/6.2.md @@ -1,4 +1,79 @@ #6.2 Go如何使用session +通过上一小节的介绍,我们知道session是服务器端的一种实现用户和服务器之间认证的解决方案,那么session到底怎么样实现整个流程的呢?Go目前内部没有任何pkg支持session,我们这小节将会使用Go来实现session管理和创建 + +##session创建过程 +session的基本原理是服务端为每一个session维护一份会话信息数据,而客户端和服务端依靠一个全局唯一的标识来访问会话信息数据。用户访问web应用时,服务端程序决定何时创建session,创建session可以概括为三个步骤: + +- 生成全局唯一标识符(sessionid); +- 开辟数据存储空间。一般会在内存中创建相应的数据结构,但这种情况下,系统一旦掉电,所有的会话数据就会丢失,如果是电子商务网站,这种事故会造成严重的后果。不过也可以写到文件里甚至存储在数据库中,这样虽然会增加I/O开销,但session可以实现某种程度的持久化,而且更有利于session的共享; +- 将session的全局唯一标示符发送给客户端。 + +问题的关键就在服务端如何发送这个session的唯一标识上。考虑到HTTP协议的定义,数据无非可以放到请求行、头域或Body里,所以一般来说会有两种常用的方式:cookie和URL重写。 + +1. Cookie +服务端只要设置Set-cookie头就可以将session的标识符传送到客户端,而客户端此后的每一次请求都会带上这个标识符,由于cookie可以设置失效时间,所以一般包含session信息的cookie会设置失效时间为0(会话cookie),即浏览器进程有效时间。至于浏览器怎么处理这个0,每个浏览器都有自己的方案,但差别都不会太大(一般体现在新建浏览器窗口的时候); +2. URL重写 +所谓URL重写,顾名思义就是重写URL。试想,在返回用户请求的页面之前,将页面内所有的URL后面全部以get参数的方式加上session标识符(或者加在path info部分等等),这样用户在收到响应之后,无论点击哪个链接或提交表单,都会在再带上session的标识符,从而就实现了会话的保持。读者可能会觉得这种做法比较麻烦,确实是这样,但是,如果客户端禁用了cookie的话,URL重写将会是首选。 + +##Go实现session管理 +通过上面session创建过程的讲解,读者应该对session有了一个大体的认识,但是具体到动态页面技术里面,又是怎么实现session的呢?下面我们将结合session的生命周期(lifecycle),用Go语言来实现session管理。 +###session数据结构 +我们知道session管理需要有如下几个元素 + +- 全局session管理器 +- sessionid 全局唯一性 +- sessionid对应的存储对象数据结构 我们采用map[key]interface{}来存储 +- session过期设置 + +我们就来定义一个全局的session管理器 + + type SessionManager struct { + CookieName string + lock sync.Mutex + sessions map[string]map[string]interface{} + list list.List + } + +Go实现整个的流程应该也是这样的,创建一个全部的session管理器 + + globalSessions = NewSessions() + +我们接下来的例子创建的session放在内存里面,当然也可以放在存储中,这个后面会详细的讲解。 + +###创建 +首先我们要产生一个唯一的sessionid + + func sessionId() string { + var n int = 24 + b := make([]byte, n) + io.ReadFull(rand.Reader, b) + return base64.URLEncoding.EncodeToString(b) + } + +那么这个sessionid什么时候创建呢? + +###保持 + +###设置值 + +###销毁 +我们来看一下Go如何来管理销毁 + + func GC() { + for true { + time.Sleep(1e9 * 60) + globalSessions.gc() + } + } + + func init() { + go GC() + } + + + +##总结 + ## links * [目录]() * 上一节: [session和cookie](<6.1.md>) diff --git a/6.3.md b/6.3.md index 84f83882..9d9dd53e 100644 --- a/6.3.md +++ b/6.3.md @@ -1,4 +1,6 @@ #6.3 预防session劫持 + + ## links * [目录]() * 上一节: [Go如何使用session](<6.2.md>)