From c612a95519a2600f2e61e5ee3c8dbd344d813f71 Mon Sep 17 00:00:00 2001 From: xiemengjun Date: Sun, 23 Sep 2012 23:42:08 +0800 Subject: [PATCH] =?UTF-8?q?=E5=AE=8C=E6=88=90=E4=BA=86=E7=AC=AC=E4=BA=8C?= =?UTF-8?q?=E5=B0=8F=E8=8A=82session=E5=AE=9E=E7=8E=B0=E9=83=A8=E5=88=86?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit 接下来讲解session劫持 --- 6.2.md | 267 +++++++++++++++++++++++++++++++++------------------------ 6.3.md | 8 ++ 2 files changed, 162 insertions(+), 113 deletions(-) diff --git a/6.2.md b/6.2.md index e21f76ec..52d81db5 100644 --- a/6.2.md +++ b/6.2.md @@ -17,161 +17,202 @@ session的基本原理是服务端为每一个session维护一份会话信息数 ##Go实现session管理 通过上面session创建过程的讲解,读者应该对session有了一个大体的认识,但是具体到动态页面技术里面,又是怎么实现session的呢?下面我们将结合session的生命周期(lifecycle),用Go语言来实现session管理。 -###session数据结构 +###session管理设计 我们知道session管理需要有如下几个元素 - 全局session管理器 - sessionid 全局唯一性 -- sessionid对应的存储对象数据结构 我们采用map[key]interface{}来存储 -- session过期设置 +- 每个客户生成一个session +- session 的存储,可以存储到内存、文件、数据库等 +- session 过期处理 + +接下来让我们一一来讲解一下Go实现session管理的整个设计思路以及相应的代码示例: + +###Session管理器 我们就来定义一个全局的session管理器 type SessionManager struct { - cookieName string //识别cookie - lock sync.Mutex //用来锁 - sessions map[string]*session //用来存储 - list *list.List //用来做gc + cookieName string //private cookiename + lock sync.Mutex // protects session + provide Provide + maxlifetime int64 } + + func NewSessionManager(provideName, cookieName string, maxlifetime int64) (*SessionManager, error) { + provide, ok := provides[provideName] + if !ok { + return nil, fmt.Errorf("session: unknown provide %q (forgotten import?)", provideName) + } + return &SessionManager{provide: provide, cookieName: cookieName, maxlifetime: maxlifetime}, nil + } Go实现整个的流程应该也是这样的,在main包中创建一个全部的session管理器 var globalSessions *SessionManager //然后在init函数中初始化 func init() { - globalSessions = NewSessions() - } - -接下来的例子中创建的session都是放在内存里面的,当然也可以放在存储中,这个后面会详细的讲解。 - -接下来我们来定义针对每个用户的session对象 - - type session strcut{ - sid string //session id唯一标示 - timeAccessed time.Time //最后访问时间 - value map[string]interface{} //session里面存储的值 - } - -###创建 -首先我们要产生一个唯一的sessionid - - func (this *SessionManager) sessionId() string { - var n int = 24 - b := make([]byte, n) - io.ReadFull(rand.Reader, b) - return base64.URLEncoding.EncodeToString(b) - } - -那么这个sessionid什么时候创建呢?我们在启动我们的处理器的时候来进行session的创建,这里我继续前面表单处理的例子说明: - - func login(w http.ResponseWriter, r *http.Request) { - - fmt.Println("method:", r.Method) //获取请求的方法 - if r.Method == "GET" { - t, _ := template.ParseFiles("login.gtpl") - t.Execute(w, nil) - } else { - //请求的是登陆数据,那么执行登陆的逻辑判断 - fmt.Println("username:", r.Form["username"]) - fmt.Println("password:", r.Form["password"]) - } + globalSessions = NewSessionManager("memory","gosessionid",3600) } - //开始一个新的sessionid - //先通过cookiename查询是否已经中了sessionid,然后查找这个sessionid是否还在sessions里面 - //如果还在那么就更新timeAccessed,如果不存在就addnew一个 - func (this *SessionManager) SessionStart() { - - } - - //销毁当前sessionid - func (this *SessionManager) SessionDestroy() { - +我们知道session是保存在服务器段的数据,那么他可以以任何的方式存在起来,可以存储在内存、数据库或者文件中。那么我们就可以抽象出来Provide接口,这个接口实现session管理器底层存储的问题。 + + type Provide interface { + SessionInit(sid string) (Session, error) + SessionRead(sid string) (Session, error) + SessionDestroy(sid string) bool + SessionGC(maxlifetime int64) } - //新增一个session - func (this *SessionManager) AddNew(key string, value map[string]interface{}) { - newsid :=this.sessionId() - newsess:=&session{"sid":newsid,"timeAccessed":time.Now(),"value":value} - this.sessions[key]=newsess - this.list.Push(newsess) +- SessionInit函数实现初始化一个Session接口,然后返回一个新的Session接口 +- SessionRead函数根据sid返回一个已经存在的Session接口,如果不存在,那么内部调用SessionInit函数返回一个新的Session接口 +- SessionDestroy函数用来销毁对应sid的Session接口 +- SessionGC根据maxlifetime来删除过期的数据 + +那么Session接口需要实现怎么样的功能呢?有过PHP等Web开发经验的用户来说,Session操作一般也就几个功能,设置值、读取值、删除值,那么Session接口也就这三个功能 + + type Session interface { + Set(key interface{}, value interface{}) //set session value + Get(key interface{}) interface{} //get session value + Del(key interface{}) bool //delete session value + } + +>以上设计思路来源于database/sql/driver,定义好接口,然后session的存储实现相应的接口,这样就可以使用了,因此NewSessionManager也实现了如下功能函数Register,用来注册不同的session存储实现。 + + var provides = make(map[string]Provide) + + // Register makes a session provide available by the provided name. + // If Register is called twice with the same name or if driver is nil, + // it panics. + func Register(name string, provide Provide) { + if driver == nil { + panic("session: Register provide is nil") + } + if _, dup := provides[name]; dup { + panic("session: Register called twice for provide " + name) + } + provides[name] = provide + } + +###全局唯一的Session ID + +我们知道Session ID是用来识别每个访问Web应用的用户,因此必须保证sessionID都能有一个唯一的值,下面代码展示了如何实现这个唯一值: + + func (this *SessionManager) sessionId() string { + b := make([]byte, 32) + if _, err := io.ReadFull(rand.Reader, b); err != nil { + return "" + } + return string(b) } -###保持 +###session创建 +每个来访问的用户我们需要为他分配Session,然后根据Session里面的数据判断用户是否已经进行了相应的操作,那么我们如何来创建Session呢?SessionStart这个函数就是用来检测用户是否已经创建了Session,如果没有就创建之。 + func (this *SessionManager) SessionStart(w ResponseWriter, r *http.Request) (session Session) { + this.lock.Lock() + defer this.lock.Unlock() + cookie, err := r.Cookie(this.cookieName) + if err != nil || cookie.Value == "" { + sid := this.sessionId() + session = this.provide.SessionInit(sid) + expiration := time.Now() + expiration.Add(time.Duration(this.maxlifetime)) + cookie := http.Cookie{Name: this.cookieName, Value: sid, Expires: expiration} + http.SetCookie(w, &cookie) + } else { + session = this.provide.SessionRead(cookie.Value) + } + return + } + +我们根据前面用户登陆的操作我们来看看如何应用: + func login(w http.ResponseWriter, r *http.Request) { + session:=globalSessions.SessionStart(w,r) + fmt.Println("method:", r.Method) //获取请求的方法 + if r.Method == "GET" { + if session.Get("uid").(string) != "" { + t, _ := template.ParseFiles("main.gtpl") + }else{ + t, _ := template.ParseFiles("login.gtpl") + } + t.Execute(w, nil) + } else { + //请求的是登陆数据,那么执行登陆的逻辑判断 + fmt.Println("username:", r.Form["username"]) + fmt.Println("password:", r.Form["password"]) + } + } + ###操作值:设置、读取和删除 -session对象需要有设置和删除操作 +SessionStart函数返回的是一个实现了设置、读取、删除接口的Session接口,那么我们如何来对数据进行操作呢? - func (this *session) Set(key string, value interface{}){ - - } - - func (this *session) Get(key string){ - - } - - func (this *session) Del(key string){ - - } - -当我们设置完值之后需要去更新相应的sessionmanager里面的值 +上面的例子已经大概的展示了读取数据的操作`session.Get("uid")` - func (this *SessionManager) update(element *list.Element, value map[string]interface{}) { - this.lock.Lock() - defer this.lock.Unlock() - element.Value.(*session).value = value - this.moveToFront(element) - } +那么我们再来看看详细的操作 -###如何实时更新时间 -我们的session是有一定的时间限制的,那么如果用户一直在访问页面,那么我们需要实时的去更新这个时间,如何来做这一步呢?请看下面的函数处理 + func login(w http.ResponseWriter, r *http.Request) { + session:=globalSessions.SessionStart(w,r) + fmt.Println("method:", r.Method) //获取请求的方法 + if r.Method == "GET" { + if session.Get("uid").(string) != "" { + session.Del("password") + t, _ := template.ParseFiles("main.gtpl") + }else{ + t, _ := template.ParseFiles("login.gtpl") + } + t.Execute(w, nil) + } else { + //请求的是登陆数据,那么执行登陆的逻辑判断 + fmt.Println("username:", r.Form["username"]) + fmt.Println("password:", r.Form["password"]) + session.Set("username",r.Form["username"]) + session.Set("password",r.Form["password"]) + } + } - func (this *SessionManager) moveToFront(element *list.Element) { - this.lock.Lock() - defer this.lock.Unlock() - this.list.MoveToFront(element) - element.Value.(*session).timeAccessed = time.Now() - } +通过上面的例子我们可以看到,这个Session的操作和操作key/value数据库类似,Set、Get、Del操作 +我们知道Session里面有GC功能,那么只要当我们进行了相应的上面的任意一个操作,我们都需要去修改相应的Session实体的最后访问时间,这样当调用GC的时候就不会误删除还在使用的Session实体。 -###销毁 -我们来看一下Go如何来管理销毁,我们启动一个单独的goroutine来做session的销毁: +###session重置 +我们知道,Web应用中有用户退出这个操作,那么当用户退出应用的时候,我们是否需要进行session数据的重置,下面这个函数就是实现了这个功能: - func GC() { - for true { - time.Sleep(1e9 * 60) - globalSessions.gc() + //Destroy sessionid + func (this *SessionManager) SessionDestroy(w ResponseWriter, r *http.Request) { + cookie, err := r.Cookie(this.cookieName) + if err != nil || cookie.Value == "" { + return + } else { + this.lock.Lock() + defer this.lock.Unlock() + this.provide.SessionDestroy(cookie.Value) + expiration := time.Now() + cookie := http.Cookie{Name: this.cookieName, Expires: expiration} + http.SetCookie(w, &cookie) } } + - func init() { - go GC() +###session销毁 +我们来看一下Session管理器如何来管理销毁,只要我们在Main启动的时候启动: + + func init() { + globalSessions.GC() } - func (this *SessionManager) gc() { this.lock.Lock() defer this.lock.Unlock() - var expire int64 = 60 * 15 // 15 minutes - // back to front - for { - element := this.list.Back() - if element == nil { - break - } - if (element.Value.(*session).timeAccessed.Unix() + expire) < time.Now().Unix() { - this.list.Remove(element) - delete(this.table, element.Value.(*session).sid) - } else { - break - } - } + this.provide.GC(this.maxlifetime) + time.AfterFunc(this.maxlifetime, func() { this.GC() }) } - - + +我们可以看到GC充分利用了time包中的定时器功能,当大于`maxlifetime`之后调用GC函数,这样就可以保证`maxlifetime`时间内的session都是可用的,这个数字其实也可以用于统计在线用户数之类的。 ##总结 +通过上面的介绍我们实现了一个Session管理器,定义了Provide接口,Provide接口用来提供Session存储实现。Session管理器用来在Web应用中实现全局的Session管理,接下来我们会实现内存的一个实现方式,供大家参考学习。 ## links * [目录]() diff --git a/6.3.md b/6.3.md index 9d9dd53e..ca753148 100644 --- a/6.3.md +++ b/6.3.md @@ -1,4 +1,12 @@ #6.3 预防session劫持 +session劫持是一种比较严重的安全威胁,也是一种广泛存在的威胁,在session技术中,客户端和服务端通过传送session的标识符来维护会话,但这个标识符很容易就能被嗅探到,从而被其他人利用,这属于一种中间人攻击。 + +本部分通过一个实例来说明何为会话劫持,通过这个实例,读者其实更能理解session的本质。 +##session劫持过程 + +##session劫持防范 +###cookieonly和token +###间隔生成新的SID ## links